2017-03-02 (编辑:ANVA)
近日,国家互联网应急中心(以下简称“CNCERT”)收到中国反网络病毒联盟(以下简称“ANVA”)成员单位“猎豹移动”报送的安卓“微信盗号木马”程序,第一时间开展分析验证和监测处置工作,现将相关情况通报如下:“微信盗号木马”的恶意行为主要分成3个方面:
1、界面劫持行为:监测“微信”APP,当“微信”启动后,将伪造的登录界面强制覆盖至正在运行的“微信”界面,诱骗并窃取用户输入微信登录账号、登录密码和支付密码;
2、信息窃取行为:窃取用户短信息、“微信”程序所在根目录下的文件、手机固件信息;
3、远程控制行为:向恶意服务器请求控制指令数据,执行服务器返回的控制指令。
启动需要4个触发条件:
(1)手机重启时启动二、界面劫持行为分析
1、程序启动后监测微信,当微信启动后便会将伪造的微信登录界面、安全验证界面覆盖至微信界面,诱骗窃取用户微信登录账号、密码、支付密码。
五、监测处置情况 该恶意程序所用的控制域名为uu636.com,CNCERT已协调该域名的注册商美橙互联对该域名进行关停,目前该域名已处于关闭状态。
本次事件涉及到的恶意程序信息如下:
(1)恶意程序文件MD5:
A19BCA70F4500AF8FF2ECEA29EA697FF
FFEA14CF3FC55DC3D36DC39EF6179D6A
(2) 恶意程序所用的控制域名和URL:
uu636.comhttp://uu636.com/info.aspx
(3)恶意程序所用的控制服务器IP地址:
216.250.107.175
近期,各成员单位可通过登录黑名单信息共享平台获取该移动互联网恶意程序信息,包括移动恶意程序的MD5、恶意程序所用的控制域名和URL地址及控制服务器IP地址等信息,具体详情请登陆以下地址获取:http://share.anva.org.cn
平台描述
中国反网络病毒联盟,英文全称为“Anti Network-Virus Alliance of China”,英文简称“ANVA”。ANVA通过行业自律机制推动互联网网络病毒的防范、治理工作,净化网络空间,维护公共互联网网络安全。
关注我们
新浪微博
微信公众号