2017年7月17日至7月23日,國家互聯網應急中心通過自主監測和樣本交換形式共發現45個竊取用戶個人信息的惡意程序變種,該類病毒通過簡訊進行傳播會私自竊取用戶簡訊和通訊錄,對用戶信息安全造成嚴重的安全威脅。
01樣本惡意行為分析
1)運行后隱藏安裝圖標,同時誘騙用戶點擊激活設備管理器功能,導致用戶無法正常卸載;
2)私自向黑客指定的手機號發送提示簡訊,「軟體安裝完畢\n識別碼:IMEI號碼,型號,手機系統版本」和「激活成功」;
3)私自將用戶手機里已存在的所有簡訊和通訊錄上傳至指定的郵箱;
4)私自接收指定手機號碼發來簡訊控制指令,執行控制指令內容;
5) 私自將用戶接收到新的簡訊轉發至指定的手機號,同時在用戶的收件箱中刪除該簡訊。
02樣本惡意數據共享
2.1 本次事件涉及的惡意程序變種文件MD5和程序名稱信息分別如下:
樣本MD5 | 程序名稱 |
0AE7FBAD2B34AC8520EDA21E56E63FE0 | 資料圖片 |
0B5AFB832EC8492B443657E06BD807B0 | 資料 |
0B94D17121386D6E88C4EA4F43D92B91 | 資料 |
00E75AD38CF8DD0EDDF219244360E10A | 移動商城FD |
05A585DBD3EEC6243ACF4CD16C4FB089 | 移動端 |
3F41C412B9B745FFDB8E360CE37BCF9E | 移動SJ |
0BABFD420CCB906B7EAA4F5849B3B8AC | 照片 |
0BCA5470C4D976AA7566EBB3A15CD61F | 照片 |
3DD940B061F25257AEE1C229B67842C5 | 影 集 |
00D5EA5A45EFB30EBA980D1A18535FE0 | 移動客戶端 |
0B0AEFF89AA4261F772E6C6D823F2D1E | 樣板 |
384D8941C66BECCC885C7EAD1C858548 | 新影集 |
44A646FB776B1BCF85BAB8B99C91F0C6 | 新影集 |
0C87C9C27CC865C929DB51554DB037BF | 校園E網 |
0B3AD65126D836E835947AEAEF071F67 | 校訊通 |
0B5503B94CD77AA0D6A85C132364E238 | 校訊通 |
0C6D4BF51F83AC21E1A2BE4439FE47F3 | 校訊通 |
43DF3EED8B29193C19783FF417840405 | 違章查詢 |
3F49A12D7E68B170DAADF20933FD569D | 圖表 |
3F46B65DBEB450C4D81BDE1B331833B4 | 體檢報告 |
3EFB72D058CE25D898E30357C6479D06 | 隨風的相冊 |
0A43E426F7577C3E718911B7469A1816 | 視頻 |
0A5C252F26B8CF6D434BF69E24D1F8A3 | 視頻 |
0B2532FD0F562F380B3A2AACE6603AD9 | 視頻 |
3C7EC616507C5C81674B83E5BF1D4F7D | 視頻 |
3CB338C30B05352772ACFFA0D3FB6BA5 | 視頻 |
3D9E3086EB8F0C5E288ACF6FA8C40498 | 視頻 |
3F72C29E05EF37F88FD690DF79EA4C87 | 視頻 |
9D4AD6DFD9203D463AD601183DEC0058 | 視頻 |
0A1A55492EE15EB8A2C542DAE7C709EA | 錄像 |
0A25B2F8601BB69189267322477D0E08 | 錄像 |
0ABC9880E47C7035A347EEDAD2434D1D | 錄像 |
3CB6DB090082AB9C6667D2C1B30AF582 | 錄像 |
3DDE375B1DE0EC0CCF659027E62587DB | 錄像 |
EDBF65D6AC34B2BB4CE451D5E82876B3 | 錄像 |
9A78C1B9E69E3433A7BA3152144B1DD3 | 錄像 |
0A5C946869D14FEC45BB6C2CD7D4AE8E | 錄 像 |
0A69D1821312378CECBB352ED73E2E09 | 錄 像 |
3C65C268E481369F3A4280560563A5E3 | 錄 像 |
3D079608678D5798B8BD7C332A5DC784 | 錄 像 |
3C50D509AE4DEF0591F48D289ACED25A | 紀念冊 |
D5A2EC5F3A3A5538A22BE4293865257B | 紀念冊 |
C846D81FCE2F98643FD9C3FB54CCF6CC | 回憶過去 |
CCC3122C3FC30D2A9988794B7D3F6EE8 | 回憶過去 |
3F32DEA62AE5545B3ABF2A737C7C31D9 | 百姓徵婚網 |
2.2 本次事件威脅安全的郵箱賬戶MD5信息分別如下:
郵箱賬戶MD5 | 郵箱服務商 |
8DD42A34C9AEAFF6D747DFC43C4DE9B6 | 139郵箱 |
856C81F0FC5569134A36E031D01BF924 | 139郵箱 |
991BEF1CC00A569D52D7C17F4BC08AD1 | 163郵箱 |
CE65339C0D85D98D177D0FED4E13B744 | 163郵箱 |
D34E3CBA63AEA890796CB2C73DC66572 | 163郵箱 |
769B756E79E260832657C15C420C3D75 | 163郵箱 |
854BBF32F8E1E3FC788D9A902B08E057 | 189郵箱 |
6575681C237B43600C2632696F004E33 | 189郵箱 |
F461E13CB5B59EFD910E7CF87D54D909 | 189郵箱 |
7A1A29E6F134796EDAD2F67800B12BC5 | 189郵箱 |
C0AE833C73D92BBB4F5A8A00F0A51EED | 189郵箱 |
2B21280EBE411BA02FE895A4C16ED53A | 189郵箱 |
5392FA5B12DA905666D902D83F2C074E | 189郵箱 |
B4CF623466664E476EB60A67AF1475E0 | 189郵箱 |
FD1D8F118C0C34FB13194A4878CDFCA6 | 189郵箱 |
AF333F018D495C20E18B0EFE4DF665A0 | 189郵箱 |
E328BB2F971C45D097679C158B5B0901 | 21CN郵箱 |
BB50536FDBF73022ECF80CBE7301353A | 21CN郵箱 |
1D90B89584837FD9F563447461479F47 | 21CN郵箱 |
8815985C9FBEA4F548042D1E56D0EC01 | 21CN郵箱 |
65F37A6F04400BABF7B9A680E7A7D923 | 21CN郵箱 |
10C21DB1381356FBB805A462ECBDC21D | 21CN郵箱 |
86DBE66AE0A3F45024247F5933BB175D | 263郵箱 |
EE2BD5D4F2E27EEA76D610D8BF23B8AA | 263郵箱 |
262E7BC2B49DFBE191597BADA4CB25C4 | 263郵箱 |
EE6BC828953B569765893D8B14ECDA8C | 阿里雲企業郵箱 |
2C5325885FACCAD9B39AFAC9FDDB76E4 | 阿里雲企業郵箱 |
1E3B5980C67DF36D290932E5CCF04389 | 阿里雲企業郵箱 |
F1E392D71B8CA7784D334A9C1A1CA5C2 | 阿里雲企業郵箱 |
7420A2E524799B2902241063BD82530E | 阿里雲企業郵箱 |
38271877554E7BF8A95FCDA46373C609 | 阿里雲郵箱 |
345FB2C32C889BBF540968E306D9EC4A | 阿里雲郵箱 |
62CDA02D7EB86786DE0EC3308999919C | 新浪VIP郵箱 |
95576DFBB882DFDC5CE4CB66A0897E11 | 新浪VIP郵箱 |
9F148491385FDCB9BAAC9A6BF126F097 | 新浪VIP郵箱 |
415EDCE9FB173E656CD0B6E6F724AACC | 新浪郵箱 |
2.3 本次事件威脅安全的手機號碼MD5信息分別如下:
手機號碼MD5 | 運營商 | 歸屬地 |
50C1D2E2182A7EFD98EA06E246B9FB3A | 移動 | 安徽 |
297927168FB244A581D9CA9A9C7C6C27 | 移動 | 安徽 |
E1A12ED13B427012AABB23620A53128B | 移動 | 北京 |
638B77AFBA34FF7522A3B240B59081FA | 移動 | 北京 |
DC24F89EE07BBE05A3CD6804AA033E7C | 移動 | 北京 |
9A4C8D5912A5F844EE15AFCF8D8EB606 | 電信 | 廣東 |
A9303B98DACFEE6A27238996A7B54CDB | 電信 | 廣東 |
767EDE1B16593DD09E67D2952FA0152D | 聯通 | 廣東 |
E80C755557FD8BBF20127137937E9211 | 聯通 | 廣東 |
A8AB71438A5FE1C046DD50130BEE457B | 聯通 | 廣東 |
FB7F2090E8F84B8D285256910A492C14 | 聯通 | 廣東 |
81E5AD1D07E015A2FE1C7C4A64901663 | 移動 | 廣東 |
0BBF046AD7B9829CFABB412472B976AF | 移動 | 廣東 |
C435B86C0EDA4F8A4AB252485AF7A906 | 移動 | 廣東 |
2535686C1BD4F94B47CFA56570ACD6D4 | 移動 | 廣東 |
0020653D2C668E5BD901FEF155B868D4 | 移動 | 廣東 |
7FEF8623113113D6F9869E9C9C93A941 | 移動 | 廣東 |
C40280E0D62C602CCD6164443E5B556A | 移動 | 廣東 |
0B2D80CABBC2240515A189F13B8DB787 | 移動 | 廣東 |
8186975605CC606A7D1F2999649831C9 | 移動 | 廣東 |
8BB9EFCA94328CD5CEEE4FE732A8B9AA | 移動 | 廣東 |
DF89AE4E56BBD9B12E608EE9CCA29FB4 | 移動 | 廣東 |
CCA8D31FABEAF381BA57E7F74E05ED20 | 聯通 | 廣西 |
85402DC32B6ED36EBCF60E4D0A49F3FF | 聯通 | 廣西 |
69238EF0E0ECE6406AFC57ECCF6420F4 | 聯通 | 廣西 |
653D78A074A17307196A968415B53F23 | 移動 | 廣西 |
F17B22377E8E70BAC1B64D95D3BEBAA8 | 電信 | 河北 |
1BB941F0C436D0D07827C28C55C7456B | 電信 | 河北 |
17AF61DE1DDB0268B1ADAFB7BB5E177A | 移動 | 河南 |
AE2DFFCB120A7C85474D9B1247FEE13C | 聯通 | 黑龍江 |
63E0B7A05013BDB83CF2FA1A5834330D | 聯通 | 遼寧 |
C52F4CD2C554A52DBDAF230D6B24FF54 | 聯通 | 遼寧 |
0F0CF16E026362B967B0DDC1AAA756BF | 聯通 | 遼寧 |
BEAF29A0B0E6729E0070FC1821F17189 | 聯通 | 遼寧 |
1CFD3CDEE5C56E3B1D462EBEE7C479AE | 聯通 | 遼寧 |
021FEF07735E08CD79B1F12EC23087AD | 移動 | 遼寧 |
99A5F6FBE3C55121C3D0BF7585F9A5FF | 移動 | 遼寧 |
4F02CABA185A49BB3D8A9410C2FC6E5E | 電信 | 山東 |
B878A37D591DAD79049F191A02446ACD | 電信 | 山東 |
0325F464BD5FB3B6DE90C25DBEDF7912 | 電信 | 山東 |
5C0C7144C51B2127C29BD26E38EA9543 | 電信 | 山東 |
9325A8A64C685275119B193A301B4BC3 | 電信 | 山東 |
ADBE34B30F2D35B7B17375CDB11AB945 | 聯通 | 山東 |
588E1BB964EF3788FF58AFC5EB84A6EA | 移動 | 上海 |
各成員單位可在網路安全威脅信息共享平台獲取該移動互聯網惡意程序樣本信息。網路安全威脅信息共享平台地址:
網路安全威脅信息共享平台由互聯網協會反網路病毒聯盟(ANVA)主持並建設, 以方便企業共享威脅信息為出發點,以建立網路安全縱深防禦體系為目標,匯總基礎電信運營企業、網路安全企業等各渠道提供的惡意程序、惡意地址、惡意手機號、惡意郵箱等網路安全威脅信息數據,建立公開透明、公平公正的信息評價體系,利於各企業獲得想要的數據,激勵企業貢獻有價值的數據,促進信息共享的發展,遏制威脅信息在網路中的泛濫。