2017年6月5日至6月11日,國家互聯網應急中心通過自主監測和樣本交換形式共發現75個竊取用戶個人信息的惡意程序變種,該類病毒通過簡訊進行傳播會私自竊取用戶簡訊和通訊錄,對用戶信息安全造成嚴重的安全威脅。
01樣本惡意行為分析
1)運行后隱藏安裝圖標,同時誘騙用戶點擊激活設備管理器功能,導致用戶無法正常卸載;
2)私自向黑客指定的手機號發送提示簡訊,"軟體安裝完畢,識別碼:IMEI號碼,型號,手機系統版本和激活成功";
3)私自將用戶手機里已存在的所有簡訊和通訊錄上傳至指定的郵箱;
4)私自接收指定手機號碼發來簡訊控制指令,執行控制指令內容;
5)私自將用戶接收到新的簡訊轉發至指定的手機號,同時在用戶的收件箱中刪除該簡訊。
02樣本惡意數據共享
2.1本次事件涉及惡意程序變種文件MD5信息如下:
惡意程序變種文件MD5 |
3A088F83589F9ACA6703516782B345C9 |
3A64936AB8A08FC7A8E45447615CF18E |
3AAA16AE7119618FE5A75AE05A8E55CF |
0EF3AEBBC0FA64399D9586B9064920DE |
3A20FB1ACBF3A4B95FC3492FA233D31A |
3A3020EC375A42B2A99DF8374E3214F1 |
3A481EC66375134E8113F0E0613BCFE3 |
3AAE59D5294D41F0D97F04EA47245B76 |
3B7B2572226FF4AED3CC84D1FBB430D2 |
485D018AFF698E61DBD501EC7EAE1DC4 |
4BB14AE9F7A7ED4C5762CCFD543A0713 |
507466161D64F0C3A6EEF5C274B2C294 |
50F394311DB295C0F05144025A9CB8AF |
522D9B10AA14EB3C7ACA76E499BC7DEE |
534865755215B0F9D0B5620A84A26C2B |
5A522BE6F79DB3FDF083570DDB6F0C24 |
5C2FEB856C1687794BCFEAFB2DF4BF0E |
E99BD393C9DD17750361B7104A4874FC |
F773ECE133210613D6DEA8C117EF6E7F |
F7C24856178FBDACC3009D728DD3AA26 |
97AC42D0F3299F608628CA55EC18AE61 |
65CDF9D2F0AEC7B624976B7DF76C9DF6 |
699E7882C69561E8C74AEB9B979304C9 |
72FB61C1274CF71A578EDED0C0032EB5 |
73AE1E40901B1A7E029CF20B80BD8446 |
8BBC56A67D859836D561D9D949224250 |
8C18E49FC5FDD611A7C7B4CBAFC22583 |
946AA2EA51943CBD2FC5AFE9A3048362 |
95348EFE3F9D8C675C0EEE36B64FDD2B |
99F13C8D8F91E249F539294293DA5F3B |
B0B2453BA378180FA0FE0AEBFFD9827C |
3B2CC78E7CCF7390A8C8BBDA4CB5DD39 |
3B7B070FF5FC334F2822BC9FC0A4852B |
4D8B7D2E9C0205B83C91F330D777E835 |
4F9857D322AC260CBBC419C1A3D92F29 |
513AD76F140DBAD960FF87A00EB07F20 |
7E3DD4F56B0D93C50F760AFFC76426F0 |
F01848DBBBE158488DCF1C7DC34675FA |
F151A8CBBE2A1B1D36AE32410F27D73C |
F6E4CCB6B22CB7541EC4A969CFA1A195 |
F986C2958ACCB437C3D82B2C4DD1054A |
F9C8D4A60A875CEB6EEDFFB291908CFE |
FAA5961EE3ACBCFFA449311D0BCF18BD |
C64D272583561EB1DC9F8F4277C278AE |
81D4A2A85779906817AAE19D25A9612D |
91F53BEE9391C92785154CE4B61B63D4 |
96C417AC013A744B00E27B563F9835E9 |
9AD6D6408B5BA10EB7EF2D0EC9701A9F |
9F2182D9C72EDB9DBAD61120EF90900C |
A091DAE4B90FC1C0D2253382348590FA |
A2D7149432BDE79D9484A3CDE5FBF4EF |
A67F06E01EAF2E62A65F4877309BD805 |
A797BC3F38283B0F8DE32E2568E6B3C1 |
AD3DBC2D712B531F377A172FDEC9DF44 |
B5028824AAB4CE918E35AD73F43D801A |
BE64C5B8D7372DBA00AA4BB0AE37758D |
4BC87096A1C5A33479F1CA8B82F3C130 |
7895FC127BCE4D4543CC3BD3D8549F37 |
3B7F4D72DA1D37867B148C34D39F4522 |
3B9609364B303B4F4BA2325C0F758094 |
4D0FFE0FF4C6A8B4D66FC46E431A574D |
F1C81402C9FEB699159CB2F652653BDD |
A77159988C2C4E8E646A84D0FF851A5D |
3A19F0245D20B04D72D4CFD340A95441 |
3AFAD517EBBDABCCA982EE3C593FE4D6 |
4BC8435C3017705E88E2C31F2C32282D |
FA5F7B19BC6D921EFBA3D88AA6CE94CF |
FB6355ADEA2691350B847C8E47DC870E |
A70233FBDA4FC52A879A11AF63EB41B5 |
3B156AFC5CC7687763B5981D782551A6 |
3A09254350003257D1DF9C2C000E77CD |
3A2192B41DE914DE5C3E3611025A185D |
3A248862C7C102EB0335FF45FD3F9339 |
3A783F62579966B59797DB279CFD7912 |
3A92CF9B9218FF6E1BD762730322B709 |
2.2 本次事件威脅安全的郵箱賬戶MD5信息如下:
郵箱賬戶的MD5 | 郵箱服務商 |
手機號MD5 | 運營商 | 歸屬地 |
各成員單位可在網路安全威脅信息共享平台獲取該移動互聯網惡意程序樣本信息。網路安全威脅信息共享平台地址:
網路安全威脅信息共享平台由互聯網協會反網路病毒聯盟(ANVA)主持並建設, 以方便企業共享威脅信息為出發點,以建立網路安全縱深防禦體系為目標,匯總基礎電信運營企業、網路安全企業等各渠道提供的惡意程序、惡意地址、惡意手機號、惡意郵箱等網路安全威脅信息數據,建立公開透明、公平公正的信息評價體系,利於各企業獲得想要的數據,激勵企業貢獻有價值的數據,促進信息共享的發展,遏制威脅信息在網路中的泛濫。