安天蜜罐捕风系统捕获到一个下载者样本。该样本运行后访问一个由黑客搭建的轻型文件服务器（Http File Server）。通过使用捕风系统进行追溯与关联分析，分析人员发现目前有很多使用HFS搭建的服务器。通过对其中一个下载服务器进行监控，其在线6天的总点击量近3W次，可见其传播范围极广。该软件的"傻瓜式"教程颇受低水平的攻击者喜爱，同时由于其架设方便，便于传播等特点，已被黑客多次恶意利用。经过安天CERT分析人员进行关联与分析发现，目前这种轻型服务器工具已普遍流行。

Dyreza家族以窃取用户银行账号和比特币为目的，以利用入侵的路由器进行传播为特点，应引起用户和企业的关注。在此之前，2014年4月份的CVE-2014-0160（心脏出血）漏洞即可入侵大量的路由器设备。安天CERT判定，Dyreza家族与Rovnix家族有着必然的联系，它们使用相同的Upatre下载者进行传播，并使用相似的下载地址。在本报告发布前，安天又捕获到一个更新的Dyreza变种，在传播方式上，它使用与Rovnix攻击平台相似的下载地址，都使用WordPress搭建的网站，或入侵由WordPress搭建的第三方正常网站。

宏病毒是一个古老而又风靡一时的病毒，它不像普通病毒可以感染EXE文件，宏病毒可以感染office文档文件，有跨平台能力，并且感染宏病毒的文档会很危险，其破坏程度完全取决于病毒作者的想象力。宏病毒在上个世纪90年代的时候比较流行，在后来相当长一段时间内销声匿迹，慢慢淡出了"安全圈"。近两年，宏病毒再次出现，配合钓鱼邮件、社工手段等方式又有卷土重来的气势。

安天CERT的研究人员针对Kasidet家族对调试器、模拟器、虚拟机、沙箱和在线自动化恶意代码分析平台的检测进行了详细分析。从Kasidet家族反制在线自动化恶意代码分析平台的方法上看，该家族的作者有可能通过对常见的在线自动化恶意代码分析平台进行过针对性的研究，利用收集各种系统信息的恶意代码提炼出反制在线自动化恶意代码分析平台的方法，并应用到Kasidet家族中。

勒索软件（ransomware）是一种流行的木马，通过骚扰、恐吓甚至采用绑架用户文件等方式，使用户数据资产或计算资源无法正常使用，并以此为条件向用户勒索钱财。这类用户数据资产包括文档、邮件、数据库、源代码、图片、压缩文件等多种文件。赎金形式包括真实货币、比特币或其它虚拟货币。一般来说，勒索软件作者还会设定一个支付时限，有时赎金数目也会随着时间的推移而上涨。有时，即使用户支付了赎金，最终也还是无法正常使用系统，无法还原被加密的文件。

近期，安天安全研究与应急处理中心（安天CERT）的安全研究人员在跟踪分析HaveX家族样本的过程中，意外地发现了Rovnix家族（Trojan/Win32.Rovnix）在建立其恶意代码下载服务器时，也开始使用类似HaveX的方式，即：使用WordPress搭建的网站，或入侵第三方由WordPress搭建的正常网站（HaveX的C&C服务器地址都是通过入侵由WrdPress搭建的网站得到的）。因此，安天CERT 的研究人员对Rovnix家族展开分析。

近年来，安天诱饵信箱系统持续捕获大量利用社工技巧进行批量传播的带毒邮件。安天分析人员从诱饵信箱中随机抽取了两封附件攻击手段一致的邮件作为分析起点。其中第一封邮件的捕获时间为2015年4月11号，这是一封伪装成摩根大通集团的钓鱼邮件，邮件包括一个ZIP压缩包，压缩包解压后是一个PDF图标的PE文件，运行PE文件后会从后端下载其它文件，另一封邮件的捕获时间为2015年4月13号，这两封邮件的附件行为一致。安天CERT分析人员首先对第一封邮件样本进行了分析，随后对两封邮件的传播手段、附件文件的技巧方法进行了关联，最后通过提取类似特点挖掘出更多的类似攻击邮件进行了整体的关联分析与总结。

安天近期发现一例针对中方机构的准APT攻击事件，在攻击场景中，攻击者依托自动化攻击测试平台Cobalt Strike生成的、使用信标（Beacon）模式进行通信的Shellcode，实现了对目标主机进行远程控制的能力。这种攻击模式在目标主机中体现为:无恶意代码实体文件、每60秒发送一次网络心跳数据包、使用Cookie字段发送数据信息等行为，这些行为在一定程度上可以躲避主机安全防护检测软件的查杀与防火墙的拦截。鉴于这个攻击与Cobalt Strike平台的关系，我们暂时将这一攻击事件命名为APT-TOCS（TOCS，取Threat on Cobalt Strike之意。）

该病毒为最近两年在国内肆虐的短信拦截马的一个新变种。短信拦截马的主要传播过程是，攻击者把木马上传到某个站点，攻击者构造带有木马下载地址的相关短信进行初始传播。如果有用户点击URL后，导致下载木马并安装，木马执行后，将对用户通讯录中的人员继续发送带有样本下载URL的短信，导致接力式传播。

4月30日，安天接到用户提供的恶意邮件附件，据该用户称已将该附件提交至第三方开放沙箱，并怀疑其专门攻击wps办公系统及窃取信息。由于该样本可能与国产办公软件环境相关，引发了部分用户的关注，希望安天能尽快给予帮助确认，经过安天CERT分析确认，该样本确实是恶意代码，但并对WPS办公环境并无针对性。经安天CERT分析确认该样本为CTB-Locker（敲诈者）。