2017年8月14日至8月20日,國家互聯網應急中心通過自主監測和樣本交換形式共發現64個竊取用戶個人信息的惡意程序變種,感染用戶3989個,該類病毒通過簡訊進行傳播會私自竊取用戶簡訊和通訊錄,對用戶信息安全造成嚴重的安全威脅。
01樣本惡意行為分析
1)運行后隱藏安裝圖標,同時誘騙用戶點擊激活設備管理器功能,導致用戶無法正常卸載;
2)私自向黑客指定的手機號發送提示簡訊,「軟體安裝完畢\n識別碼:IMEI號碼,型號,手機系統版本」和「激活成功」;
3)私自將用戶手機里已存在的所有簡訊和通訊錄上傳至指定的郵箱;
4)私自接收指定手機號碼發來簡訊控制指令,執行控制指令內容;
5) 私自將用戶接收到新的簡訊轉發至指定的手機號,同時在用戶的收件箱中刪除該簡訊。
02樣本惡意數據共享
2.1 本次事件感染用戶的分佈信息如下:
感染用戶省份 | 感染用戶數量 |
天津 | 654 |
廣東 | 539 |
遼寧 | 483 |
陝西 | 247 |
河北 | 246 |
河南 | 194 |
浙江 | 159 |
江蘇 | 158 |
安徽 | 157 |
山東 | 156 |
湖北 | 154 |
北京 | 121 |
上海 | 103 |
四川 | 98 |
貴州 | 74 |
福建 | 54 |
吉林 | 52 |
重慶 | 47 |
山西 | 44 |
湖南 | 44 |
新疆 | 36 |
海南 | 31 |
黑龍江 | 27 |
江西 | 27 |
雲南 | 26 |
廣西 | 21 |
內蒙古 | 16 |
寧夏 | 11 |
甘肅 | 9 |
青海 | 1 |
2.2 本次事件涉及的惡意程序變種文件MD5信息分別如下:
樣本MD5 | 程序名稱 |
6E3A511937286A9677303C38F1B52CDA | 愛奇藝 |
8F39BF3B85CAB3E593569B9E02CB5A2C | 成績單 |
72AF160C54A7D6C8DED564CAB56D61F9 | 單子詳情 |
E3D0E43A3A23ECCEF661B8880AC1CA9D | 電子請柬 |
E32350A71792DB53F8D970E9A0A6C482 | 感染病預防 |
0F9901AB09EE018C9F6D2FC197A035D8 | 積分客戶端 |
537CD88BBF010DDB8902899FE4E63D4F | 積分客戶端 |
74353030F68B4D6F0B3374477EA25F4A | 積分客戶端 |
ACD13CB15DB083E476B2A4AC89A5E4B0 | 積分客戶端 |
C59D5792E33AB0CD142E8225BAB4F48B | 積分客戶端 |
CD97552F695DD111314B3AB5D2450CDF | 家長查閱CN |
559A836733704A4C40D5C81942AEF7FE | 結婚照 |
DF7CA3B6FDE3861FB8C5FDC571C860F0 | 勁爆視頻 |
552CADFB2F66104F672D6C786623121F | 聚會 |
3CC487C8C7B87B4107AB2219FD68E13C | 聚會照片LV |
51DC50113A79E6CC6BCEB110D17F2106 | 錄 像 |
51F80FCF0B8078094BDD07819B1CECAA | 錄 像 |
51F366AB5EE17D364D4D4A4AA8C43F03 | 錄像 |
010103CCFE52052AC0C8DC9C994D2DA5 | 視頻 |
50FDB0586660F19ACCCBFE384D48F19D | 視頻 |
51E557E6D54036421B97C2DEE793F2CE | 視頻 |
51EC8BA53F5D141F0E1C671518AC4BA2 | 視頻 |
53F87F6C43032F08C3B40F735E2D1ED8 | 視頻 |
B520B8FC21CBEB64D3C280E392BB6631 | 手機相冊 |
4BB89AEB1DD58A8CD9F369EB2586B600 | 體檢單EX |
51B88ADBF255B9DEF46ABEBEECB95B44 | 通訊錄 |
11C53974B7EA71705E539276BB007494 | 違章 |
75A8C794975B76E9CAF1D1779D483B83 | 違章查詢 |
38666FC9600D49FFA0CE73CCDE60D8C5 | 相 |
2727D70908BAFEAD8859FA722D1021A0 | 相冊 |
442D13E561E28C9732E127BCE5F1BA57 | 相冊 |
4A6B11447B22CD67B645F1BEBED08E5D | 相冊 |
9759C2D4D5470A8AA52CA14983CD8091 | 相冊 |
39CA8D6887F9C6ACDCC5A22B2CA1A534 | 相片 |
6288EFA3DA22CCE0D9D375A8DAEC2D7A | 相片 |
6CC5BE6B68EEEE4C00F48773A92C602A | 相片 |
74F74A5F092BD77A55B2F01F8BBB173C | 相片 |
9F90BA650C0E8CAAEEB05A188AD66485 | 相片 |
B32313F7F5FB56773A41CE3A9C784B03 | 相片 |
B55DE39D48D9D10B840050984A7B8E63 | 相片 |
E9AD0A31BE4014858278F2E3186460A9 | 相片 |
F914CBE4FEAEBD6907EE44E7CE1DC9CA | 相片 |
BB9B38CFE8B3F1882F97BB8D8C43F71C | 相片SK |
ACBF96FCBD163F32CBD7B72AFF8C7C5B | 像片視頻 |
077BA820FE87AA74E3AA8CA9441C725A | 校訊通 |
6F6BD17533E8727BD04027BEDC67A6E4 | 校訊通 |
7F606E98068220F45EEDE302AD971A6C | 校訊通 |
956A14122371917EB57C04AE70B619E3 | 校訊通 |
A5580FBCBED76910FC2B9BF30BC482BE | 校訊通 |
BD6DE3A88329716F92EB61A5A499F119 | 校訊通 |
3698634EC072EF5A7EC3983613D94F7D | 校園網 |
E00A6FFDF10CDB3B59D1E77C2351BB43 | 校園網MZ |
54A0594A1AF62CC084E2CEBBE73BA3A5 | 樣板 |
620C5D314603CAAD41082C624CC48D38 | 樣板 |
9B484D0959A35B51782D4B96F242EF61 | 移動客戶端 |
B73A6FD1903D252B840E05BF9D8D1EDA | 照 片 |
862AE64E8B5EA05FB0A13D8402B9BC18 | 照片 |
C52E1791B192461ED3FFD5500A905126 | 移動 |
4C9BDC01E785EDDE5111EB77DBBC972E | 資料 |
6BFAFE6D9E511CD7266C5AC6FABE2B90 | 資料 |
9809C2854C267F38F14096D0C44C1149 | 資料 |
BF579A6A484C928E3E1DA53B2D2CEE09 | 資料 |
616888C1AD2347A563963FADC7EEB0DC | 資料HX |
613898BC8F2EA57DAEE7A56443FF6960 | 資料TH |
2.3 本次事件威脅安全的郵箱賬戶MD5信息分別如下:
郵箱賬戶MD5 | 郵箱服務商 |
D53F4794E43ED4F9B455351328B03207 | 163郵箱 |
358F8038110FB5E631D2ABF5EEF00C7C | 163郵箱 |
B878F6336E5F7258DA827ACD8C74A199 | 163郵箱 |
5C39DC1274F39F9EA5B6CEEE8BE591F4 | 163郵箱 |
BBDB9269F2B6D4FCF7156391BA5B96E2 | 163郵箱 |
AAA9F12F9EDF52640D06ED565198848F | 163郵箱 |
15988FF56B7ED6A7A557DFFCFAA8F074 | 163郵箱 |
FF1C5F9A5E89DFF853EB968758616395 | 163郵箱 |
9C5D7D0FF60A157BFD6F8A332B0574F8 | 163郵箱 |
A40CB382D3A15EF9DF52F0D4976A7419 | 163郵箱 |
D9060B42CBC17650A8D2DF948C09B651 | 163郵箱 |
CA126F5993DBBD8EF9139B41240A583A | 163郵箱 |
0605345B5F34EB6109ECCB0D7FE9ED5A | 163郵箱 |
D77156E2FDD98A79E2A586ED8773816D | 163郵箱 |
9FA9C8380AB823D219107E5526F27D86 | 189郵箱 |
366D4DF00B483F4BB77784724DECB4C9 | 189郵箱 |
072B558015293035022E4A90B656E77C | 189郵箱 |
E72AC985A0E959B77B1FAC0EB78EA258 | 189郵箱 |
50C4086695179C086199F08242644238 | 189郵箱 |
826CDF0642E540A9DC0C6D6FB505E471 | 189郵箱 |
CF4CCF6124C143D51445694C5024C2FF | 21CN郵箱 |
E1837EA668FE226BDBBC92CA77559326 | 21CN郵箱 |
436ABC81C0AB1957E9BB05E874EAD548 | 21CN郵箱 |
F5A6397D53C867C808A685F64A1D143B | 21CN郵箱 |
E53239F6E988637D1896ADB820207415 | 21CN郵箱 |
D3EFAEBBF0DDF89625F5F493317AE2C3 | 21CN郵箱 |
6085450DAFE05573C0232899311C923C | 21CN郵箱 |
09605672FE446A454EE205C78CD28A93 | 21CN郵箱 |
E499242B29AA4A7F477217F35F199819 | 21CN郵箱 |
F1F5C5314C53308DEF629C203A32A64A | 21CN郵箱 |
098C006DF939A3D9AC08B35D5644E255 | 21CN郵箱 |
B293B5CB5C5BCCD9EDDC5920F4BA73D9 | 21CN郵箱 |
38C2E875320F703E59120D0F2C227DAE | 21CN郵箱 |
CBF3518921F4F16098F7AB8F5E993453 | 21CN郵箱 |
651E3A6F9DD4E9EA6A511E7B9ECB1FAA | 21CN郵箱 |
CEA82172B0A734DC119FC0FFC5A8BC4F | 21CN郵箱 |
EE2BD5D4F2E27EEA76D610D8BF23B8AA | 263郵箱 |
1E3B5980C67DF36D290932E5CCF04389 | 阿里雲企業郵箱 |
E8CAB2983A86421BD4F346391C1757E1 | 阿里雲郵箱 |
DF3BBAC866986064BD86072AF2FBECC0 | 阿里雲郵箱 |
ECB28D1A07F8F5B7C8AAB0A3E3279496 | 阿里雲郵箱 |
0D668E5233151F1AEB54FA9CFF959C7A | 新浪VIP郵箱 |
5EAE9C9ABB04337FE9681D36B0D4F201 | 新浪VIP郵箱 |
E3ED06EE0F765786CDF857C6274F2DE6 | 新浪VIP郵箱 |
964843260A22EAEF3384173DA3D365CF | 新浪VIP郵箱 |
7D55646B13894618E6BF54A58B3E0E2B | 新浪VIP郵箱 |
E1EE7928FD2F71B64550011EA172D3F0 | 新浪VIP郵箱 |
A90AD3CC9AABF88CD23F48A3DFDD7E8B | 新浪VIP郵箱 |
83B81627A7B7FE26B4ACA2227B67E98C | 新浪VIP郵箱 |
61A0BE32E95D9AF30428280B50963B99 | 新浪VIP郵箱 |
73E611689EB451697DDB95664C40DEAA | 新浪郵箱 |
1CC408A6AB97CED315E8EC6CB401043B | 新浪郵箱 |
028C4A5569799E1AA0AD368DAE610619 | 新浪郵箱 |
C04EB18B492510BBBD9960B2E2C96026 | 新浪郵箱 |
2A9E999E4CFE3519C13F7BA426A06900 | 新浪郵箱 |
03F2BB20035A6CC87AD8E36933A9A966 | 新浪郵箱 |
0F87EB6BB67869DF2E84E8EAE271E952 | 新浪郵箱 |
F8C53EEEDF82C1457CE6AF9BD4916229 | 新浪郵箱 |
BB7E8832368EC5F30C18120853920B32 | 新浪郵箱 |
8B254219BC75C719B4BA60ADE15C024E | 新浪郵箱 |
2.4本次事件威脅安全的手機號碼MD5信息分別如下:
手機號碼MD5 | 運營商 | 歸屬地 |
C28B92C4606F523436D64307678FD103 | 移動 | 安徽 |
099DD3037CD5C3A6AA5DEE1C11E80861 | 移動 | 北京 |
F0CED57EDD12627CB64C3E9D22707A04 | 移動 | 北京 |
3D138B663E9D859F44F0B857BD5F5C3A | 移動 | 北京 |
C718D9D5476F9529FAD3EFED89DB2EC5 | 移動 | 北京 |
277AED78DD01AE3CCCADF307C151D1FD | 聯通 | 廣東 |
8064172BCD84E4AB79045F7D6DF42930 | 聯通 | 廣東 |
FCEA4096A075D7C5F6CEF590DD1FD065 | 聯通 | 廣東 |
C0A36CCB43A255E2711D48E90FC0B5F7 | 聯通 | 廣東 |
94C2E371BE9F556915022E8C37180EA4 | 聯通 | 廣東 |
E3414FA09EF12BF20CC2DB4C29F2DF39 | 聯通 | 廣東 |
B1DA61EEBFD46FD6B690805FCF6AAEED | 聯通 | 廣東 |
A00FD6B513D4F5664CF5F930DB1D69A9 | 聯通 | 廣東 |
61AEAA6A061BDBE751515AC2A2CBBE62 | 聯通 | 廣東 |
1F08773BE8CE6995EEA0D25EA61D000E | 聯通 | 廣東 |
D0DD2AB8E654C73E3FA604F6B02A48A4 | 聯通 | 廣東 |
1A7B2B0E2BD0C6927EB356E60AB295DF | 移動 | 廣東 |
27FEE5817BCD79FA882B3DB96C0AAF09 | 移動 | 廣東 |
04EC41AAF2CD6884909EBD630E3F4858 | 移動 | 廣東 |
504295F6B241009ABA8FD6018AB22F75 | 移動 | 廣東 |
C3CFA2FE2A1C39E0CDD673F7313BD20D | 移動 | 廣東 |
3E62D4672278F863EC99EBF371F69DBA | 移動 | 廣東 |
BB80C62EA9A752D087A05035B42CE006 | 移動 | 廣東 |
3042653C3EF58C94D6B318D97DDC8A2D | 移動 | 廣東 |
AE7D6F43C999CAB83E4927F61A60080E | 移動 | 廣東 |
60A81F9669F5B092BB3525CC676819BB | 移動 | 廣東 |
C79E1BE13C1CB5EC36EDB015949E940C | 移動 | 廣東 |
188E2AC9FC0AB52062B8CDC57F5EE411 | 移動 | 廣東 |
32F41E2146EF797E1C70067150CDF80C | 移動 | 廣東 |
7FCE60FB189D1F37BD8BC8CE6ED621B0 | 移動 | 廣東 |
46632579D931E01F867C3926A7CDC55F | 移動 | 廣東 |
40B0DED53604321F920153C30F56C97E | 移動 | 廣東 |
026AD494C6076077B3C552916CC49B2B | 移動 | 廣東 |
F50D52196CF05DD4BD9EC631875DFD14 | 移動 | 廣東 |
B20E31745B8ABEC94013ED10D3A1DAE2 | 移動 | 廣東 |
0415146E4E6E55F4241E386084947806 | 移動 | 廣東 |
8D44AF225F9D63356BBA1043AB94F15F | 移動 | 廣東 |
74397BEA573B829067739912DE5F406C | 移動 | 廣東 |
825AFD590E4120E213C19ABC3902BE41 | 移動 | 廣東 |
7C1F32DC2127DDB0BAD5F54F9A7A144E | 移動 | 廣東 |
958F7501684B33A5EA0C469536F01056 | 移動 | 廣東 |
677A608983C7B4BEA53DB8A34A8760B2 | 聯通 | 廣西 |
64D37D5C71E9071FA46461216F91A403 | 聯通 | 廣西 |
262219A7BD38DA85499CE42E902BBF19 | 聯通 | 廣西 |
C25EA2F4576408FB3C2855CD5213DD2F | 聯通 | 廣西 |
6452C271ED9D5D40DD946F5F8F63B42D | 移動 | 廣西 |
02D1C2B1014C829C127641B960913C71 | 移動 | 廣西 |
5AFA23A4E3BB287536E14D065BAAEDF0 | 聯通 | 湖北 |
69EBE1748CBEE014BF059FFF36919FCE | 聯通 | 江蘇 |
683F3E067848DC3ECBA4ADB4777065F5 | 聯通 | 江蘇 |
FA263036271F5EAFDF09CC092ED44FF9 | 聯通 | 江蘇 |
EF057EA7F10515A2FCF66EBA07C4BF5C | 聯通 | 江蘇 |
519AEFAFFBA10B150CA8277FD9E661EE | 聯通 | 江蘇 |
79EB13C763C9EC7BA0A22377EDB0C36D | 移動 | 江蘇 |
EBB15E54E7A6EDFB048790F5FC842941 | 移動 | 江蘇 |
0BBE97187446692B3DF59BE8C1FAD2C8 | 聯通 | 遼寧 |
B0862AE87BAF86C51D0840052BF42F89 | 聯通 | 遼寧 |
AB31AD3221E24DD7ABFE07BA7B3EDDF7 | 移動 | 遼寧 |
992FC0E69DCADD6DF2B7FE8B2ADA7D87 | 電信 | 山東 |
5C0C7144C51B2127C29BD26E38EA9543 | 電信 | 山東 |
C1F2DB72DF34A03C4EA4EF21D071ADA5 | 電信 | 山東 |
41CBD0DF51210FF82504E5CC916C77E1 | 聯通 | 山東 |
62677E07D1B1B9FB70CD26C2D9453DA4 | 聯通 | 浙江 |
各成員單位可在網路安全威脅信息共享平台獲取該移動互聯網惡意程序樣本信息。網路安全威脅信息共享平台地址:
網路安全威脅信息共享平台由互聯網協會反網路病毒聯盟(ANVA)主持並建設, 以方便企業共享威脅信息為出發點,以建立網路安全縱深防禦體系為目標,匯總基礎電信運營企業、網路安全企業等各渠道提供的惡意程序、惡意地址、惡意手機號、惡意郵箱等網路安全威脅信息數據,建立公開透明、公平公正的信息評價體系,利於各企業獲得想要的數據,激勵企業貢獻有價值的數據,促進信息共享的發展,遏制威脅信息在網路中的泛濫。
關注我們