Zi 字媒體

近日，國家互聯網應急中心（簡稱「CNCERT」）發現了4款冒充時下熱門手游《王者榮耀》輔助工具的手機勒索病毒，該批病毒程序運行后都具有系統破壞及流氓行為，具體情況如下：01病毒基本信息該批病毒的惡意行為特徵具有相同屬性，用戶一旦點擊運行手機就會持續置頂惡意軟體作者製作的界面，甚至還會被強制設置鎖屏密碼，如果不按照惡意程序界面顯示的方式付費解鎖，手機將無法進行任何操作，即使重啟也無效。本次事件中涉及的4款病毒程序名稱分別為：王者榮耀輔助、王者榮耀修改器、王者榮耀刷皮膚升級版、王者榮耀皮膚修改器。安裝圖標分別如下：02病毒行為分析2.1 程序啟動后誘騙用戶點擊，將自身攜帶的惡意程序釋放到系統目錄；圖1 自身攜帶的惡意程序文件圖2 惡意APK文件釋放到系統目錄的過程2.2 釋放的惡意程序啟動后，誘騙用戶激活設備管理器，保護自身以免被卸載；圖3 註冊廣播圖4 誘騙用戶激活管理器2.3釋放的惡意程序強制將自身界面置頂，致使用戶手機無法正常使用；圖5 強制將自身界面置頂圖6 生成鎖屏序列號和鎖屏密碼圖7 鎖屏密碼正確方可解鎖2.4釋放的惡意程序私自重置用戶手機PIN密碼；圖8 重置用戶手機PIN碼2.5釋放的惡意程序監測開機自啟動廣播，觸發開機自啟動廣播，便會重新鎖屏。圖9 註冊廣播圖10 觸發開機自啟動廣播，重新啟動鎖屏代碼03樣本惡意數據分享3.1本次事件涉及到的惡意程序文件MD5信息如下：2D12C884984E18819F595040EC0EAF1E2E1F56A2447361EA4D13928DCFE6CA2249A48E8FBDDCA1B2B7443BA3ABF8B3B3316680B8C227BE3F4CD722D32134E91C3.2本次事件威脅安全的QQ社交賬戶MD5信息如下：37485F8F930C3B74062DCB15A00E9F23298D829CDB5A524FDA619184199A0F0DB1BE3C42E4EFD47D13E539E07E92B93E1A2A75D4DF0A218F7116E45F430C9857各成員單位可在網路安全威脅信息共享平台獲取該移動互聯網惡意程序樣本信息。網路安全威脅信息共享平台地址：網路安全威脅信息共享平台由互聯網協會反網路病毒聯盟（ANVA）主持並建設， 以方便企業共享威脅信息為出發點，以建立網路安全縱深防禦體系為目標，匯總基礎電信運營企業、網路安全企業等各渠道提供的惡意程序、惡意地址、惡意手機號、惡意郵箱等網路安全威脅信息數據，建立公開透明、公平公正的信息評價體系，利於各企業獲得想要的數據，激勵企業貢獻有價值的數據，促進信息共享的發展，遏制威脅信息在網路中的泛濫。