2017年7月31日至8月06日,國家互聯網應急中心通過自主監測和樣本交換形式共發現91個竊取用戶個人信息的惡意程序變種,該類病毒通過簡訊進行傳播會私自竊取用戶簡訊和通訊錄,對用戶信息安全造成嚴重的安全威脅。
01樣本惡意行為分析
1)運行后隱藏安裝圖標,同時誘騙用戶點擊激活設備管理器功能,導致用戶無法正常卸載;
2)私自向黑客指定的手機號發送提示簡訊,「軟體安裝完畢\n識別碼:IMEI號碼,型號,手機系統版本」和「激活成功」;
3)私自將用戶手機里已存在的所有簡訊和通訊錄上傳至指定的郵箱;
4)私自接收指定手機號碼發來簡訊控制指令,執行控制指令內容;
5) 私自將用戶接收到新的簡訊轉發至指定的手機號,同時在用戶的收件箱中刪除該簡訊。
02樣本惡意數據共享
2.1 本次事件涉及的惡意程序變種文件MD5信息分別如下:
樣本MD5 | 程序名稱 |
9F7FAD92BAD277508056AE28353B19C9 | 資料圖片 |
C91FC3BF46785E632E07F1635DBE8A90 | 資料圖片 |
6AD963A390BA47D7F0694B3906A10E0E | 影集 |
36C99C5764DAE8BEB44C9297C6B00D20 | 影 集 |
6DAD9ABDA9BB5CDEC20D4FCE6EA0053D | 樣板 |
7F9EBFEEB9B2740F6AB0D2EE7C8061C8 | 樣板 |
8D4B96BFBF9986CB509C4A3013AD6C65 | 樣板 |
9E3A10CF632BE36E656CF004BD815E2B | 學習信息表 |
3640BD09BD7858C153E5260B64ACC67E | 學生檔案 |
6AC9BDAC155D9928668835C138DC020C | 學生檔案 |
621551F77126F202D59C4BD4EB094821 | 新的影集 |
A8CBE405C77BE8B760E2415BB42D7C7E | 新的影集 |
35B5E6E7CE8CA0A9CB9F7A858CA294B2 | 相片 |
8D31B8304635651851C05FC866BA2DCC | 相片 |
25BE4FB3510DCAEE096429705AFD140C | 相冊 |
27A3352D871F4AB5326992FF046D794A | 相冊 |
6D4BE36A05CD70037CFE9E2039EF1D5F | 相冊 |
63100097F2096E7D7C5E80046A33736C | |
5285D6BB86C9B839E65E0D9E20FBCB19 | 通訊名錄 |
8C6DD755089DC3EDF20A822EA3A0E2BE | 通訊名錄 |
6918301BBEFFFA9255D9819689BC4AC7 | 體檢報告單 |
97C75BDC0C955DD484194C895449989E | 體檢報告單 |
042CE2537CD239D6BB45B584449456D3 | 視頻 |
25AD80AC5EBF63CF804F4583447B0EFB | 視頻 |
25DB66C001AA3645B1A65B056AFDF927 | 視頻 |
28AEDB6956A71A300B47FEE17DA13314 | 視頻 |
28AF133D4FB7172375321AF3BF8E8C4A | 視頻 |
31A2D1598BFF7939D90CC6BF7F258B8B | 視頻 |
31EBA4F4FABD5F164D3727D3356FE1A1 | 視頻 |
40B64312B7AB0E0478EA9BF1C08981E6 | 視頻 |
40DBCB1436B69CCA404C2056439C5B24 | 視頻 |
40F09DADC628F41AF3FD1B21C2510BA5 | 視頻 |
41E265EE662AE88A12E6263DE7EFFFAD | 視頻 |
57C56B466CC0C6BD1048396D4104A0B3 | 視頻 |
6DA944700ED48819F5BEA84520D8B3BA | 視頻 |
7ED3A79B26A2E0B60798A2FA95674984 | 視頻 |
7ED3E9C569E7BE23D719F523CE867A02 | 視頻 |
7EE3CCFB94027348F4D838AA4A2955C2 | 視頻 |
7F1D091D78313B445FA66AB3360D2726 | 視頻 |
7F5D4FF15A83491AF906ADF2D15638AE | 視頻 |
8C93DF6AE706D0E39E0D746D4991EB7D | 視頻 |
8E52B51CB9840F4A39CE57DDFBEA58EA | 視頻 |
8E87007E41A92C1D8BE8720B81BF37E8 | 視頻 |
8FB9554056E0D1AC3DE80B7454F89D80 | 視頻 |
9E5E2FBC16A2D3FB5F9497DA060526FF | 視頻 |
9EAA43FBE61BA3B7A40126222ADEF757 | 視頻 |
9F5B2F2D2C2318B0C55557926AEE3EA4 | 視頻 |
186570A7A108DBB9D0B06EEE08CD80D6 | 錄像 |
26F29E50756F99E12A1B224F320B26C8 | 錄像 |
26FF9461E707C14552EB670578A12D75 | 錄像 |
28CFDD03425567DA069B0383A95286C8 | 錄像 |
32AD3FD0E347DA3F624F7D6D9B8BE3FC | 錄像 |
34CF0250DBCC5D94F99FA3018584D4A5 | 錄像 |
39EF5EBEF31F64903FC960CFAFD3026A | 錄像 |
42E7D933D3C46AF27EC5DF1B7E30A6C9 | 錄像 |
6A7C290FFA8697DD79625565A84576BC | 錄像 |
6AAA06EC0995AFA40524A8482DB6B76F | 錄像 |
6ACEDDC027160CA7C6155E4BED84E198 | 錄像 |
6AE5B5101223F6AF622A4B4E603D3853 | 錄像 |
6D7DAA5ABF08E04A28822F69CA5252B9 | 錄像 |
7CD3FDA4328C8AE6D4C8AFFDCF8C5E5F | 錄像 |
7CEB86E209074DAE0366A093D8F04FFA | 錄像 |
7EEE6B1F7AC36AB550BF32E6DE61540A | 錄像 |
7FA2AF81B583057286C078F04D0EC2A6 | 錄像 |
8C7807C23726D8BC98942F3E166551FF | 錄像 |
8D542309AAB68A55FB7C06453EF78668 | 錄像 |
8D73DE65871C3FA55E9DBCDF2752C0BA | 錄像 |
8F823A8301A0BCFBD941074033DC80F0 | 錄像 |
8FAB017301A25C7923598EB53ADCCC1C | 錄像 |
8FEEDC95EA4AB72E0A22DD5228AAF237 | 錄像 |
8FFEEDB7176355A5BE5A9EDA586B8C2C | 錄像 |
9ED2F98DAE3CE708860EE5E2FAF65C89 | 錄像 |
B2D4B257B88F50A98F5870B031072C6E | 錄像 |
32B07550525B581FC7D4EA182B28754E | 錄 像 |
33EDA173CA56EE7F24EE16CA4CFCB4AE | 錄 像 |
36A9AE45DFD20451461CB06B92D022C0 | 錄 像 |
38A882FCFFDE9A0A5A00FC2BCEF17DC4 | 錄 像 |
38B14CF869629CE7B851FAED7A43B344 | 錄 像 |
40CB33A786412A7EA7A5EA79426A23AF | 錄 像 |
4D804CD5D14CF920C443A6A190473FE3 | 錄 像 |
8D2DDC919DE4EE3810ECC8D2E5CBD566 | 錄 像 |
8D835458A9B5E733AB94600041E597F7 | 錄 像 |
9A000D6D1A62A783BE1D461B3F5F754A | 錄 像 |
39DDF922DD3083BEB342EA22EB0FBF12 | 紀念冊 |
41C0A4227B82BC4C62D4E45CCCC17D23 | 紀念冊 |
59A64600BE9D8AA9BEED04C1EBF0EC66 | 紀念冊 |
6C542A8F429CF6B4C3697DB5E2043E36 | 積分客戶端 |
353D648E27CFF70FA597D00865A4501B | 回憶過去 |
7FA9EA62F803A3D3BE2B0B2313194F82 | 回憶過去 |
10D26A73916C8992187DFC30D448E98F | 工行手機控制項 |
6A9F4F1E0A8B04E72E91093DEF26475D | Android |
2.2 本次事件威脅安全的郵箱賬戶MD5信息分別如下:
郵箱賬戶MD5 | 郵箱服務商 |
1945CDA187AC083242E560C064172515 | 126郵箱 |
88E5DF272F5A73FAAB280D7BBF1247E8 | 163VIP郵箱 |
50BBC2BE9BD10399A1625017D3019B8F | 163郵箱 |
04362CA2D6793BBF90495C6A48B323F3 | 163郵箱 |
2A93210126A703637FF98F655BDDB58D | 163郵箱 |
F497998B04C9DC15F656FBEC464ACCA2 | 189郵箱 |
967709BEE062227E185AE9990AD2594D | 189郵箱 |
A1BD79FD35FF96D6312F2CE7A086FD7F | 189郵箱 |
E79E621EF09E97AB3C5A547B57C4EC36 | 189郵箱 |
C08298FF47AD90B7192B45FBCE0521FD | 189郵箱 |
6575681C237B43600C2632696F004E33 | 189郵箱 |
FADBB59D8C1F286E201892FD35F4AFD3 | 189郵箱 |
4340EB06F8CEC91023994E0A7B71076A | 189郵箱 |
C480040B968043B10250CC179A156A45 | 189郵箱 |
E6850F28E0EAEEB494EF9A624FA602CA | 189郵箱 |
A1766B22BBB3DE33D16B4B2E54321B81 | 189郵箱 |
E62D5D39AD246652C396ABF4E6BF9962 | 189郵箱 |
ED7AC9FBD5674BDFF4DE4FFEBD06F65B | 189郵箱 |
8C4E37984FFA93E48A5C5C5BB175F5F3 | 189郵箱 |
021B89DE301D89A96107B12F29900037 | 189郵箱 |
E72AC985A0E959B77B1FAC0EB78EA258 | 189郵箱 |
EBF4298D76B050FD41C14B9797FD1BEB | 189郵箱 |
AE8054C61785105729D31BA0C879D9CC | 189郵箱 |
119E085BD4153633F88DE14C68771F8D | 189郵箱 |
AB94E44140AC67804A08AAEE838F9A1D | 189郵箱 |
2C5E97A2BC41257F4BF5F5D509A1B4A4 | 189郵箱 |
50C4086695179C086199F08242644238 | 189郵箱 |
FD65A847957343AEB342EC1DEDFB8130 | 189郵箱 |
1EADC6EADAEBDB5BF72C0DDDDFF01636 | 189郵箱 |
C9EEB51E90D376648ABC8782BD19BEFF | 189郵箱 |
EE2BD5D4F2E27EEA76D610D8BF23B8AA | 263郵箱 |
262E7BC2B49DFBE191597BADA4CB25C4 | 263郵箱 |
07FD9F3381A771435E104C8D005C41D0 | 263郵箱 |
FA789F3E8BE43FD2D2C09DCB87F529FD | 阿里雲企業郵箱 |
87F259D76B8EA1AD391A71F577E6AE94 | 阿里雲企業郵箱 |
EE6BC828953B569765893D8B14ECDA8C | 阿里雲企業郵箱 |
752D6D7956238B986DE34D3DB338E0D4 | 阿里雲企業郵箱 |
1E3B5980C67DF36D290932E5CCF04389 | 阿里雲企業郵箱 |
CFFE916522D2B33952BB1890D07C9EA1 | 阿里雲郵箱 |
9E0E4ED2C5A58BF7D05BEF135AC4354D | 阿里雲郵箱 |
C2C188C34C8A1F3F9341EE6EB5D117E1 | 阿里雲郵箱 |
9848A991808227CCDD4E508E789B3729 | 沃郵箱 |
D90AED46E0C843D2C3284721D53C86B3 | 新浪VIP郵箱 |
3D6F3C6B14158A4369F28C6C32A7531E | 新浪郵箱 |
86C0F5D06B34E199EF766713D71A31FA | 新浪郵箱 |
D81D99EE32451A6F317F98AE91A0E112 | 新浪郵箱 |
87603B257EBDB6AD075D58C18B76A239 | 新浪郵箱 |
C33336342C772B6939FED37119DAF379 | 阿里雲企業郵箱 |
F1E392D71B8CA7784D334A9C1A1CA5C2 | 阿里雲企業郵箱 |
7420A2E524799B2902241063BD82530E | 阿里雲企業郵箱 |
2.3本次事件威脅安全的手機號碼MD5信息分別如下:
手機號碼MD5 | 運營商 | 歸屬地 |
FA713C53A747700C6FB73BCB15978767 | 移動 | 安徽 |
B76A8F4EA35C0E27B495014947F0710D | 移動 | 安徽 |
0C3F2720DB2C96946E66FE7B9D8D46CE | 移動 | 安徽 |
3E6CD299424091856CE659CEDCD9E7B5 | 移動 | 安徽 |
D4DD7CEE18329CC280466385BFBCF46A | 移動 | 安徽 |
650E4A4D01976AD84A173899695680FF | 移動 | 北京 |
50176993DBAD968D420F2E04096C23B6 | 聯通 | 北京 |
6A7CBCA2D24D05D6BB05EADB126AD552 | 移動 | 北京 |
7FC90509198FAA7F987E9ED9C5012E82 | 移動 | 北京 |
120557A101B4029ABFA5D9A826B8166C | 移動 | 北京 |
FF40BF93845854C5C830FED8029B505F | 移動 | 廣東 |
25F62818578F07D3FE8D6D280A667901 | 電信 | 廣東 |
9AB948689F17FB3F36D9E47065076CAC | 移動 | 廣東 |
05749F94E065BE881FD0FEC10737175D | 聯通 | 廣東 |
B1C0D4FD4720F3D0A3950A15A6BD62D3 | 移動 | 廣東 |
BE38138EB49B06518D00D18D29C83B2D | 電信 | 廣東 |
E80C755557FD8BBF20127137937E9211 | 聯通 | 廣東 |
A8AB71438A5FE1C046DD50130BEE457B | 聯通 | 廣東 |
FA2365BCA440244AB26DA125967F6028 | 移動 | 廣東 |
3E7C9BDBF9C167E404B9B1A123E71A28 | 移動 | 廣東 |
CD11A40807082937F51E391B5AE33FE3 | 移動 | 廣東 |
6449CE6423ACE6E4AE8D876215ADB738 | 移動 | 廣東 |
A9C89D2A02897785A26978E0DBD4ACD6 | 電信 | 廣東 |
BCAF76F9A005116FE17BA57B896FAEFB | 移動 | 廣東 |
D36D876D463FED8A40204235C4041315 | 聯通 | 廣東 |
8F1ACB2C86E49EEE457F3BECB1B2558B | 聯通 | 廣東 |
FC9694A28AB39FFC7AC41E8E01904AD7 | 移動 | 廣東 |
790C194A628F5F753CDDEC434E98542A | 聯通 | 廣東 |
611A2FCB7B6BCB5537F433F3E3457529 | 聯通 | 廣東 |
60A78ED0B62D8D75309D7FCC3FED9F1D | 聯通 | 廣東 |
64FC0BEBC56020758796D36E209648A1 | 移動 | 廣東 |
D19399CFFE48667B08BE823F09D98EC3 | 聯通 | 廣東 |
F3BBA7509362D3CF2DACA5DEF6860E50 | 移動 | 廣東 |
AACC48DD9A1B7D4FC04908472D4A2566 | 移動 | 廣東 |
58C1A9E28FD6E2985233FC1FE0C7A1CE | 聯通 | 廣東 |
8E66AED646D4516CF2A2EBDDCE1F5AB3 | 移動 | 廣東 |
AAD1B03CCB0D24B317DD7F57C10E687A | 移動 | 廣東 |
2B5915CF6D1C6226157FBB21329491ED | 聯通 | 廣西 |
64D37D5C71E9071FA46461216F91A403 | 聯通 | 廣西 |
262219A7BD38DA85499CE42E902BBF19 | 聯通 | 廣西 |
CA4878CDCE1E3E80415B3AF2FA420715 | 電信 | 河北 |
F17B22377E8E70BAC1B64D95D3BEBAA8 | 電信 | 河北 |
27EAAB68F13BFB1FD58210F1A6DC25EF | 聯通 | 黑龍江 |
D948A8FED4474EF9F22E939757DCCDB0 | 聯通 | 湖北 |
8CA66D23BAA67F6925992E73995D43D8 | 聯通 | 湖北 |
49AD8F5F4098606D38B8027E3C35A7B1 | 聯通 | 湖北 |
1AE7FDEEBB652076D73290E6E189D9A1 | 聯通 | 湖北 |
731ED2F83CCE5D9807793563E005B68F | 聯通 | 湖南 |
FA263036271F5EAFDF09CC092ED44FF9 | 聯通 | 江蘇 |
3D75EF0059C1246E034A25C1BF87DBC1 | 聯通 | 江蘇 |
1019D2AE2CC296893D74B7EB4323C115 | 移動 | 江蘇 |
6EB784C24FBA7005AE18E47B75709E40 | 聯通 | 遼寧 |
2AD2AA4BF57BFC3AABEB7553008CE5DB | 聯通 | 遼寧 |
14C2FA14C3CCA8AA2CFF18ED682ABF7E | 聯通 | 遼寧 |
1964EFF612426FD29157CF6D60D1762D | 聯通 | 遼寧 |
CC1D93A66C742D99387C4E63A1A3C782 | 聯通 | 遼寧 |
A644D4CDD3DE168879D2AA738C06FC7B | 電信 | 山東 |
B878A37D591DAD79049F191A02446ACD | 電信 | 山東 |
623689FF70BE558A6039A4F0850D56BB | 電信 | 山東 |
3755522F4CDED56E9FBD388460413D7A | 電信 | 山東 |
992FC0E69DCADD6DF2B7FE8B2ADA7D87 | 電信 | 山東 |
268C5D68FBF9BCBA2001C2AECD41E267 | 濟南 | 山東 |
4F02CABA185A49BB3D8A9410C2FC6E5E | 電信 | 山東 |
56A8014FC11039DE93AC5C1E01EF088F | 電信 | 山東 |
5C0C7144C51B2127C29BD26E38EA9543 | 電信 | 山東 |
D1EDFAAE59CD4E4FE2C1C723C061BF10 | 電信 | 山東 |
CCE4EB1CD142D0626BD66C0C0FF204DF | 電信 | 山東 |
958BFD0C60C83D830E08E0901AC0840C | 電信 | 山東 |
BDBA1C6D539D6E132953F3E7DAA0DFEB | 電信 | 山東 |
72D4987C7E07C236EC849A485D4EB373 | 電信 | 山東 |
F7C34C623492C111BF69F77AB3732EDC | 電信 | 山東 |
6BC44827C60A58A6CDDDABE0B26A99C9 | 電信 | 山東 |
C1F2DB72DF34A03C4EA4EF21D071ADA5 | 電信 | 山東 |
6F1727971855799A1FA4BAA6904C9050 | 移動 | 上海 |
7295039B06D0E38A8BD5004407FF6C36 | 移動 | 上海 |
各成員單位可在網路安全威脅信息共享平台獲取該移動互聯網惡意程序樣本信息。網路安全威脅信息共享平台地址:
網路安全威脅信息共享平台由互聯網協會反網路病毒聯盟(ANVA)主持並建設, 以方便企業共享威脅信息為出發點,以建立網路安全縱深防禦體系為目標,匯總基礎電信運營企業、網路安全企業等各渠道提供的惡意程序、惡意地址、惡意手機號、惡意郵箱等網路安全威脅信息數據,建立公開透明、公平公正的信息評價體系,利於各企業獲得想要的數據,激勵企業貢獻有價值的數據,促進信息共享的發展,遏制威脅信息在網路中的泛濫。
關注我們