2017-11-20 (编辑:ANVA)
2017年11月13日至11月19日,国家互联网应急中心通过自主监测和样本交换形式共发现44个窃取用户个人信息的恶意程序变种,感染用户774个。该类病毒通过短信进行传播会私自窃取用户短信和通讯录,对用户信息安全造成严重的安全威胁。
样本恶意行为分析
1)运行后隐藏安装图标,同时诱骗用户点击激活设备管理器功能,导致用户无法正常卸载;
2)私自向黑客指定的手机号发送提示短信,“软件安装完毕\n识别码:IMEI号码,型号,手机系统版本”和“激活成功”;
3)私自将用户手机里已存在的所有短信和通讯录上传至指定的邮箱;
4)私自接收指定手机号码发来短信控制指令,执行控制指令内容;
5) 私自将用户接收到新的短信转发至指定的手机号,同时在用户的收件箱中删除该短信。
样本恶意数据共享
2.1 本次事件感染用户的分布信息如下:
感染用户省份 | 感染用户数量 |
山东 | 501 |
辽宁 | 98 |
北京 | 46 |
江苏 | 35 |
湖北 | 17 |
浙江 | 15 |
黑龙江 | 10 |
广东 | 10 |
湖南 | 8 |
云南 | 7 |
四川 | 7 |
贵州 | 5 |
河北 | 4 |
河南 | 2 |
福建 | 1 |
新疆 | 1 |
天津 | 1 |
江西 | 1 |
吉林 | 1 |
上海 | 1 |
重庆 | 1 |
广西 | 1 |
山西 | 1 |
2.2 本次事件涉及的恶意程序变种文件MD5信息分别如下:
样本MD5 | 程序名称 |
E58E0A6AE0CDE420CDEAC413261BAF7F | 采购订单 |
3DFFE1372315E70E7C5B363B9AC240B2 | 积分兑换 |
5B8A22B0969AC4FE4348D457CDBB29A4 | 纪念册 |
75226787F8BA30AA8988FFAE3B402E26 | 纪念册 |
E5EFA68758B147A37A8010D7E7CF86A8 | 纪念册 |
E73F98E2F74EA7481B39227F16EB9555 | 纪念册 |
F2128929EFF0721376105E48C2679764 | 纪念册 |
97D42DFA1985B64B76B3C539A5982F07 | 录像 |
A27B0F00A99CB987312CC2AD0F122E77 | 录像 |
E5A59B705675838F07CC4D4D5C961A09 | 录像 |
E5C21D031C9C0BB6434E6EC0D0D64BDB | 录像 |
6996857B43C9DDC7AC8E27E0D4CA9125 | 录像 |
71294973E94E1EB0F2E56682CF9A86AF | 录像 |
759315701A49CD3453B5DB2F017D0185 | 录像 |
8686010824D082092CE3F48BA8A1044F | 录像 |
886286647C5D926399D44E7CEFF5A019 | 录像 |
A1090AE800138A3C6BF11832049B60FC | 录像 |
E57FC1ECD0B441027D5ADAD11B0F57BF | 录像 |
E5DABD2A21EDF2E0D8781352AFEC9B8A | 录像 |
E5F805C68E0CBA10EE947CD72AF00FAC | 录像 |
E6AD0CBC6050A8852ED06011464C676F | 录像 |
F30513C5E647301FED710E35B51F76BE | 录像 |
F913CB8A9A70F67728DB124B123B52F7 | 录像 |
1151F38A362AA2505E9BF0129E58068D | 视频 |
58EBC30C2B4D746FC0F6BE9FF105FF43 | 视频 |
7211154DA0845664BB62322652A74968 | 视频 |
8529985F73E8A0B5F46353B885D6D7CF | 视频 |
A22F9DA89287EF8AF283DB12D17837B5 | 视频 |
E5839CBE4EB5F3945D030E60ED362AFB | 视频 |
E5DEE70C5E3F0BDB91422609904F3F03 | 视频 |
E6B653D1058C242158CC54C8C60E2B13 | 视频 |
E6CDB2371D9CA0079111D63762EF316A | 视频 |
E7122C2C0588B9D0719C5CDED97C90C2 | 视频 |
A38F36D3637F7D727371984E4ABC2E05 | 视频 |
3D104AEB091532CEB1A1FE9A5A40B3BF | 视频录像 |
449C6E6D93FD7F71B4B329F2925B523E | 刷赞助手(免积分) |
2D6A44B213D77FD89C7CD997A3FB06A6 | 违章查询 |
85170338200EA933289FE494781C3949 | 相册 |
E6049F51BF5F19812C1BEC404397467C | 相册 |
F9935C8EF1A995E393D747C3466E1754 | 相册 |
E6A28498E618FE740BF0AE936448CA97 | 相片 |
EA710BDF472E6CE4EFFAFFCF2956A67E | 相片 |
E54DCA31C92B7008EAC229578C7AC551 | 样单 |
F940165627F92149124EDBE994459DD3 | 样单 |
2.3 本次事件威胁安全的邮箱账户MD5信息分别如下:
邮箱账户MD5 | 邮箱服务商 |
6C0D8CCD4AA1BF78253A0ED5C9A69D52 | 163邮箱 |
0651194B2438D40629DEE393740D6E9D | 189邮箱 |
4C7FEF2EE82AE46E0AA9A3D943B94D13 | 189邮箱 |
52F014E317844FE4FC986920F54FCD21 | 189邮箱 |
77C68876B8D5622A85CD43CE3D5C7978 | 189邮箱 |
9386BFB317A6B0EE20B837DB3AABA865 | 189邮箱 |
9E8B5FE554FEC4573E87202A5BC60208 | 189邮箱 |
B4CF623466664E476EB60A67AF1475E0 | 189邮箱 |
BBE627394FE52A6A0FD74122FB1C0F2B | 189邮箱 |
D86C8E20C8F45FF19CBAFD9DFB168EA4 | 189邮箱 |
DA3764F3D1EA45B5A3A81C626285768E | 189邮箱 |
E709E6A4EACD2ED5296905DBD837F909 | 189邮箱 |
E79E621EF09E97AB3C5A547B57C4EC36 | 189邮箱 |
B0015EBFD168014DF757FA1ACC6AD0AB | 21CN邮箱 |
262E7BC2B49DFBE191597BADA4CB25C4 | 263邮箱 |
473E0A3FE6A8D3A730577FDDD7A4B938 | 263邮箱 |
86DBE66AE0A3F45024247F5933BB175D | 263邮箱 |
E031D4E031AEA5452640435CD90CB690 | 263邮箱 |
EE2BD5D4F2E27EEA76D610D8BF23B8AA | 263邮箱 |
1E3B5980C67DF36D290932E5CCF04389 | 阿里云企业邮箱 |
2C5325885FACCAD9B39AFAC9FDDB76E4 | 阿里云企业邮箱 |
7420A2E524799B2902241063BD82530E | 阿里云企业邮箱 |
87F259D76B8EA1AD391A71F577E6AE94 | 阿里云企业邮箱 |
EE6BC828953B569765893D8B14ECDA8C | 阿里云企业邮箱 |
A8F3B7BA209558ECA991597E90F6D03B | 阿里云邮箱 |
9848A991808227CCDD4E508E789B3729 | 沃邮箱 |
67E06EEAEDFC0ADB37A28064C9FA98CE | 新浪vip邮箱 |
8069D1D97FA77F974B26805128CB43C4 | 新浪vip邮箱 |
92791573902752EA96FCEE2AADE34727 | 新浪邮箱 |
2.4本次事件威胁安全的手机号码MD5信息分别如下:
手机号码MD5 | 运营商 | 归属地 |
2403A353560E80E8C956B3E098469671 | 联通 | 安徽 |
2AAB6FE3DE909D82DE542392CC14B704 | 移动 | 安徽 |
65B97D26B2802D501482F249ECD1A4E7 | 移动 | 安徽 |
0B8F87F919F01E30659B33766AEB3F8A | 联通 | 北京 |
AC2682F55015BFA70C2F9EE02FB3DD19 | 联通 | 北京 |
BD95E9DDF0D71590844EE2C5669B1DB9 | 联通 | 北京 |
2BAAEA4A5EB0E9D7C1291E2009B44EDF | 移动 | 北京 |
1BB9669C4C032C6F8E4CA443AF206822 | 移动 | 北京 |
C021A43701577D8760A8EBE814638B36 | 移动 | 北京 |
87D2B276369CF509EFEB4F1A58F6E471 | 移动 | 北京 |
BE38138EB49B06518D00D18D29C83B2D | 电信 | 广东 |
9A4C8D5912A5F844EE15AFCF8D8EB606 | 电信 | 广东 |
D36D876D463FED8A40204235C4041315 | 联通 | 广东 |
A8AB71438A5FE1C046DD50130BEE457B | 联通 | 广东 |
4F82010FFE7744C845753B6C0657BB63 | 联通 | 广东 |
D63D582C42FC9AFAAA6181A6B5EAD56E | 联通 | 广东 |
EC6D2B8DD364CD20429D74FAD1CDFAEA | 联通 | 广东 |
2771F11991DB926F5C3F7F6422113B06 | 移动 | 广东 |
FF40BF93845854C5C830FED8029B505F | 移动 | 广东 |
62FEE6BE4831E0790725E6DFEB5EFFEE | 联通 | 广西 |
372E3F40F5963FA0AC78EAFC70B949C1 | 联通 | 广西 |
1205714916EA18FFDF0C6724E7225A96 | 联通 | 广西 |
5B00EF09C61B09F9B1A39C1088FB252D | 联通 | 广西 |
BE2AE521F7B3A7401ABEE9C3EF4C590B | 移动 | 广西 |
3033FD1D652DA63960E341750EA11783 | 移动 | 海南 |
6417D2678EE9C387F9B2357260AA1FAD | 电信 | 河北 |
55EEC864745628DB3F8F2C9A3612D06A | 联通 | 江西 |
C52F4CD2C554A52DBDAF230D6B24FF54 | 联通 | 辽宁 |
3C5AFD72094DA82DB3084503573E0E7F | 联通 | 辽宁 |
56A8014FC11039DE93AC5C1E01EF088F | 电信 | 山东 |
D1EDFAAE59CD4E4FE2C1C723C061BF10 | 电信 | 山东 |
CCE4EB1CD142D0626BD66C0C0FF204DF | 电信 | 山东 |
5C0C7144C51B2127C29BD26E38EA9543 | 电信 | 山东 |
3755522F4CDED56E9FBD388460413D7A | 电信 | 山东 |
9325A8A64C685275119B193A301B4BC3 | 电信 | 山东 |
C1F2DB72DF34A03C4EA4EF21D071ADA5 | 电信 | 山东 |
B878A37D591DAD79049F191A02446ACD | 电信 | 山东 |
787C509065EFE2E1A98204F3BAF18548 | 移动 | 上海 |
004B8C04A2751EC0E5C8C7BEDC744DBA | 移动 | 上海 |
各成员单位可在网络安全威胁信息共享平台获取该移动互联网恶意程序样本信息。网络安全威胁信息共享平台地址:
https://share.anva.org.cn
平台描述
中国反网络病毒联盟,英文全称为“Anti Network-Virus Alliance of China”,英文简称“ANVA”。ANVA通过行业自律机制推动互联网网络病毒的防范、治理工作,净化网络空间,维护公共互联网网络安全。
关注我们
新浪微博
微信公众号