2018-02-07 (编辑:ANVA)
2018年第1月15日至1月21日,国家互联网应急中心通过自主监测和样本交换形式共发现125个窃取用户个人信息的恶意程序变种,感染用户1412个,该类病毒通过短信进行传播会私自窃取用户短信和通讯录,对用户信息安全造成严重的安全威胁。
样本恶意行为分析
1)运行后隐藏安装图标,同时诱骗用户点击激活设备管理器功能,导致用户无法正常卸载;
2)私自向黑客指定的手机号发送提示短信,“软件安装完毕\n识别码:IMEI号码,型号,手机系统版本”和“激活成功”;
3)私自将用户手机里已存在的所有短信和通讯录上传至指定的邮箱;
4)私自接收指定手机号码发来短信控制指令,执行控制指令内容;
5) 私自将用户接收到新的短信转发至指定的手机号,同时在用户的收件箱中删除该短信。
样本恶意数据共享
2.1 本次事件感染用户的分布信息如下:
感染用户省份 | 感染用户数量 |
山东 | 266 |
广东 | 180 |
贵州 | 157 |
北京 | 115 |
江苏 | 113 |
上海 | 99 |
陕西 | 74 |
四川 | 70 |
辽宁 | 52 |
湖北 | 51 |
浙江 | 32 |
河南 | 30 |
安徽 | 27 |
山西 | 23 |
湖南 | 23 |
河北 | 21 |
福建 | 15 |
江西 | 15 |
广西 | 13 |
黑龙江 | 12 |
天津 | 6 |
宁夏 | 5 |
重庆 | 3 |
甘肃 | 3 |
内蒙古 | 3 |
吉林 | 1 |
新疆 | 1 |
云南 | 1 |
青海 | 1 |
2.2 本次事件涉及的恶意程序变种文件MD5信息分别如下:
样本MD5 | 程序名称 |
1010334732423F7871EF399E4C7B7143 | [ E-请 柬] |
143085ABA59F45AB705E0E17B37DEBEC | [ 检查资料为安全软件] |
E9EBC4375A2EC883D4C82553AC9DA576 | Android |
12949184A1607DF5C74AC96DE92C7FFC | android相片 |
10952476A306A3FDB9629CD2A10EDBF4 | Mobile积分兑换系统 |
177473B0F185774756D73B15D8533518 | Photo album |
1775FDB94DF73EAD4C84A1EA4165B0E6 | 产品 |
12682EA28E721DE0A74AD1DDE2E5EBD5 | 单子详情 |
109759901B83879FDFA777C427726E7F | 电子请帖 |
933928DAD5220E8FFF3DDA67B6AFDAAD | 积分 |
B441BB083416E8A878C7C85589D340A2 | 积分 |
B769E9CFDBA8F2C52932938ABF2D642A | 积分 |
BD2C5B7BD23396BBED7E5B777397AC91 | 积分 |
D36FEC22BC8E0A1AF3AD21819CB9D8FD | 积分 |
D6A26D6CD6E6C4A9A4C8FE0261C43FAE | 积分 |
F20E8896FBF7FD6F9D59AC08A414F04F | 积分 |
12949DEBE204ADC3B347E38CDFC2967F | 积分客户端 |
13481F2110E590EE9D16897BD6D68CA9 | 积分客户端 |
14871A458DBF82D4AA4176A26713B96D | 积分客户端 |
155386C28CF720F15D53C4EE1BB4BC4D | 积分客户端 |
15874C767C4C547ECDC358D1791EA74D | 积分客户端 |
17056F491A12A790E43805EAFD5F62C0 | 积分客户端 |
A9F5739D811D38560D7C4E6C2C345973 | 积分客户端 |
C4BA92E4E8DA27317726A4117D402AA4 | 积分客户端 |
E40194BD21906F7AADE53C2C9028094A | 积分客户端 |
143720764F86CCE3E77D21E2ED6087E1 | 聚会相片 |
EA8B93261460D2AD7A4055899A684164 | 录像 |
EA9FD872D9111E5775C8D118F085B747 | 录像 |
E9F23C1DA05352E8355AFD5EB15BEBA6 | 录像 |
EB278B5F8C57EA25CFC2B2CE5F6C34E3 | 录像 |
EBBA5D9E2D65ADA9B194023B3987E76B | 录像 |
EF64EDABAACCE337E1E3AB1B453A0257 | 录像 |
EFA6FADFC74AFD05825BFD1FE3502BE5 | 录像 |
F0F7D3D5D746EF3197650366CFEAC852 | 录像 |
F299667B2CE10C3F99216EC42939AE50 | 录像 |
128796F13400E96C2B4A5D62C2D09DEE | 请帖 |
125230B2C47AC28AE5AE686F54ABA409 | 视频 |
104560DC0D45D054AC70570054CD9C8A | 视频 |
1189528DD224C395C662A18186DA7C32 | 视频 |
15213207CC8105E6E545D5A0D5219B54 | 视频 |
1735588286BA9B565B4666F0DC07E16B | 视频 |
E9BCB7ECC3F298922FBD4539ACBB27C9 | 视频 |
E9E31834034904789C9ECDAC0A1FC6FF | 视频 |
EA1DCE1A8A87F10173BBEEACD7825A37 | 视频 |
EB1A896E7CB29FB9D4E4E51C58269BC1 | 视频 |
EB6EBDC09C6631D3D86562B62979B81A | 视频 |
EF52439A1C8D3D5BA801868C9E6D93D7 | 视频 |
EF83B13AB5CC81E2F5A88BE7428DFA7F | 视频 |
F12EC820250121F8E124E786CC93F8BB | 视频 |
F1A32965E8A324C439C9DBE9CFC4A772 | 视频 |
F1DE08532113141A2CF46F6092CC0E3C | 视频 |
13563035209248150D73FFB258F6D29B | 手机营业厅 |
160838177F2C2FA03D1A7A55BA26B6D5 | 暑假课程表 |
140244FEBDEA00E7ABEEF29F7FC3336B | 通知 |
105006E69AC9DF7DD31F1AFD54EB8F72 | 违章查询 |
10567AFE68F3EC652AD505E1C15779FC | 文档 |
12138840A1915E7224750B1FE5C5D5A2 | 文件 |
156543C3ACD4AD773A1CEDAE291FA590 | 相册 |
10496DD00E56A4ABBE5E9B88D0597105 | 相册 |
115547D5EB123FEA7B58CBA7382599BE | 相册 |
1208113A79A4A9B11E950202B88D3FD1 | 相册 |
161217399FD96E3FD8BC4D2AB1134BA6 | 相册 |
17130C923F06B833DFE816A85668E9D1 | 相册 |
1780AE5FCECCC9F247BBC7B71A63A847 | 相册 |
EF814355247BB7F316243A1FF988CBF1 | 相册 |
F21122BF5CEFF6305DBC65C63C79ECD4 | 相册 |
101015AD0278DBBDF65E1E1CA128AABB | 相片 |
109261D1D8ECA42A31F67243771AAE0B | 相片 |
114301E68EF3320D5CECBA759D9CF0EF | 相片 |
1187295AD44096E6A7C9ED37F44DF54E | 校讯通 |
152407AB560504B895B14CA4C5828734 | 校讯通 |
11988D7FD1C060A84C142AF68429E289 | 校园通 |
060323171C6F17332A3BC563D1398148 | 校园网 |
10810C7FCA9FF47F53251430AA100CBE | 校园网 |
11406EA411F9E182C8663567DD29F468 | 校园网 |
1517331AF561CA6C3271F067C5062F4C | 校园网CX |
E9F2F0F9FF5F90EB7CD03A1309D7A1FD | 学生成绩信息单 |
102479957B4A8CB81BEE298A8067BA72 | 学生资料 |
E99F8B4A25FAAFF21B26901366D77808 | 样单 |
14698EC835C6AE234A7F0F91B45C4EC0 | 移动客户端 |
F7AC006715C99397C9DFF401D9C18410 | 移动掌上厅TB |
FAC0F3CBFB2ECFBA663AFB98B1495DDE | 营业厅客户端 |
1481190647850F52655205E58885F173 | 掌上营业厅 |
15166E7A12DB67383A75927A8F222EE4 | 掌上营业厅 |
17419A0AC2CD49AD6354B507D0DAB27B | 掌上营业厅 |
AD56D4C1463BFAEE804E93775047610D | 掌上营业厅 |
B7D3666E99A12461C090B35D5F0BFCCF | 掌上营业厅 |
C4930582BCA4976C0F830704F1323446 | 掌上营业厅 |
12536F81E778846ECB69D3045FA1E6EA | 照片 |
14690867C699832681E510DB42D1AB56 | 照片 |
C87915DD1450A7463955A7C5F5CB5031 | 中国移动CQ |
AA0888DCA778F27DE8A0C5CBC2B50775 | 中国移动dsf |
22366D591FA12DD833051252AE853859 | 中国移动HH |
F4840553AC6F87600DE0DB4090769556 | 中国移动MK |
504387C37984AAB27FE5CADAD4731FAA | 中国移动SF |
139663D4F2E0A6C45A1F88002048B6BD | 中国移动SJ |
5509C26820C4C4460F77334EABC693E6 | 中国移动SJ |
60435A412DF227AEB375277D26B8CD93 | 中国移动SJ |
618231A9C5CE567670A5A3D522B3427A | 中国移动SJ |
A341A3C5957C07DD806F28129F616C8F | 中国移动SJ |
A8E621DD876FCE73D81FFD11D33B2B31 | 中国移动SJ |
C867F065958DDB6552B9AACD0B94CFBC | 中国移动SJ |
CC25AA33BA868E2F42E5A439E3FF56F4 | 中国移动SJ |
D1B00FDF17869AF1A6959EC475065253 | 中国移动SJ |
D5D16837B6CC57A3D3BE66B3649F16F1 | 中国移动YP |
143106EAF90B6DFB0D685B62EB18E7BE | 中国移动端 |
A3BDBE8A6DFD741083026E9929F58D7D | 中国移动端 |
B3263C0E65F45CFD0934CE41790794B6 | 中国移动端 |
DB4776C62DE79CF324260698B9ECEA4C | 中国移动端 |
DB6BA2DE8410F9C8B3B3D549911779D4 | 中国移动端 |
EC63DBD7799EB021E36042D292CDAF20 | 中国移动端 |
EE541BA63177294DD0E9776E328447C3 | 中国移动端 |
1298115183BD8C0A655C40A1150808CA | 中国移动兑换客户端 |
1375197A8A246ACA83E200B039647C94 | 中国移动客户端KDW |
E5FE0474EA44C3CBC04A143A37D2534B | 中国移动客户端WEDD |
63345D629BD4B1E870EE72457DE7D746 | 中国移动手机客户端 |
C2D2BD4520D0830802553226747D0896 | 中国移动手机客户端 |
C739EC3128AEE947E59EA7BD82A20A66 | 中国移动手机客户端 |
15710EA6C6D31A4A423FBA849C0275CC | 资料 |
122720B1AFC68FF622631672EC88AFA1 | 资料 |
1532541D00B1D8FF5E72F8FCDAF15657 | 资料 |
15454A46B9E34A6193D27E995834CD47 | 资料 |
17220394A87212A24F33612A4C61B26A | 资料 |
17673444A6FD1EAFF1AF16A5A1E9C2C5 | 资料 |
138775A49AE6BDF954BAD9BA4A33B5F1 | 资料DO |
2.3 本次事件威胁安全的邮箱账户信息分别如下:
邮箱账户 | 邮箱服务商 |
ningguang8***@126.com | 126邮箱 |
13129383***@139.com | 139邮箱 |
13416388***@139.com | 139邮箱 |
13437839***@139.com | 139邮箱 |
13539874***@139.com | 139邮箱 |
15014044***@139.com | 139邮箱 |
15800885***@139.com | 139邮箱 |
18134177***@139.com | 139邮箱 |
18312414***@139.com | 139邮箱 |
18406614***@139.com | 139邮箱 |
13172016***@163.com | 163邮箱 |
13174144***@163.com | 163邮箱 |
13249187***@163.com | 163邮箱 |
13466325***@163.com | 163邮箱 |
13510462***@163.com | 163邮箱 |
13798414***@163.com | 163邮箱 |
15040178***@163.com | 163邮箱 |
15207768***@163.com | 163邮箱 |
15721518***@163.com | 163邮箱 |
15910261***@163.com | 163邮箱 |
15919744***@163.com | 163邮箱 |
15920701***@163.com | 163邮箱 |
17088044***@163.com | 163邮箱 |
17093579***@163.com | 163邮箱 |
18211429***@163.com | 163邮箱 |
18257681***@163.com | 163邮箱 |
18302172***@163.com | 163邮箱 |
18417022***@163.com | 163邮箱 |
ci854tuotanji***@163.com | 163邮箱 |
haidaosi***@163.com | 163邮箱 |
laoshuduo***@163.com | 163邮箱 |
m13242784***@163.com | 163邮箱 |
shashasha***@163.com | 163邮箱 |
shixie4***@163.com | 163邮箱 |
shyr***@163.com | 163邮箱 |
xnh13869060***@163.com | 163邮箱 |
13246887***@189.cn | 189邮箱 |
13581701***@189.cn | 189邮箱 |
15905609***@189.cn | 189邮箱 |
15919476***@189.cn | 189邮箱 |
18170786***@189.cn | 189邮箱 |
diaonima0***@21cn.com | 21CN邮箱 |
huang120***@21cn.com | 21CN邮箱 |
qq1520987***9@263.net | 263邮箱 |
qq1595695***6@263.net | 263邮箱 |
qq1595695***8@263.net | 263邮箱 |
s1522019***2@sina.cn | 新浪邮箱 |
a13729414***@sina.com | 新浪邮箱 |
a14701545***@sina.com | 新浪邮箱 |
hahahalaona8***@sina.com | 新浪邮箱 |
qwe8gxn***@sina.com | 新浪邮箱 |
s13670044***@sina.com | 新浪邮箱 |
ta*@thrsr.cn | 阿里云企业邮箱 |
tao*@thrsr.cn | 阿里云企业邮箱 |
17099821***@vip.163.com | vip.163邮箱 |
a13430281***@vip.163.com | vip.163邮箱 |
a15918465***@vip.163.com | vip.163邮箱 |
ib***@vip.163.com | vip.163邮箱 |
laoban95***@vip.163.com | vip.163邮箱 |
laoshangqu***@vip.163.com | vip.163邮箱 |
lubobo***@vip.163.com | vip.163邮箱 |
uuis***@vip.163.com | vip.163邮箱 |
xiaochaofa***@vip.163.com | vip.163邮箱 |
zzz112***@vip.163.com | vip.163邮箱 |
aa13143369***@vip.sina.com | 新浪vip邮箱 |
aa15605414***@vip.sina.com | 新浪vip邮箱 |
daxia15711969***@vip.sina.com | 新浪vip邮箱 |
jinganglaoshu***@vip.sina.com | 新浪vip邮箱 |
laolaolao***@vip.sina.com | 新浪vip邮箱 |
mj1598746***@vip.sina.com | 新浪vip邮箱 |
q18344296***@vip.sina.com | 新浪vip邮箱 |
15856974***@wo.cn | 沃邮箱 |
ni*@xfdfyy.cn | 阿里云企业邮箱 |
pia*@xfdfyy.cn | 阿里云企业邮箱 |
t*@xfdfyy.cn | 阿里云企业邮箱 |
2.4本次事件威胁安全的手机号码信息分别如下:
手机号码 | 运营商 | 归属地 |
152****9949 | 移动 | 安徽 |
158****9664 | 移动 | 安徽 |
159****9623 | 移动 | 安徽 |
156****4485 | 联通 | 北京 |
132****3507 | 联通 | 北京 |
159****1428 | 移动 | 北京 |
134****5059 | 移动 | 北京 |
183****7140 | 移动 | 北京 |
135****4976 | 移动 | 北京 |
182****3250 | 移动 | 北京 |
135****1712 | 移动 | 北京 |
134****5058 | 移动 | 北京 |
132****7970 | 联通 | 广东 |
131****1855 | 联通 | 广东 |
131****9611 | 联通 | 广东 |
131****0913 | 联通 | 广东 |
131****6899 | 联通 | 广东 |
132****7310 | 联通 | 广东 |
170****1649 | 联通 | 广东 |
131****3769 | 联通 | 广东 |
132****8606 | 联通 | 广东 |
132****6746 | 联通 | 广东 |
131****0700 | 联通 | 广东 |
131****9479 | 联通 | 广东 |
132****5384 | 联通 | 广东 |
132****3986 | 联通 | 广东 |
130****1293 | 联通 | 广东 |
132****0895 | 联通 | 广东 |
130****5211 | 联通 | 广东 |
132****5792 | 联通 | 广东 |
132****3167 | 联通 | 广东 |
132****3474 | 联通 | 广东 |
130****4682 | 联通 | 广东 |
132****5271 | 联通 | 广东 |
132****2582 | 联通 | 广东 |
131****7843 | 联通 | 广东 |
130****9882 | 联通 | 广东 |
135****3190 | 移动 | 广东 |
136****4927 | 移动 | 广东 |
134****8696 | 移动 | 广东 |
159****1490 | 移动 | 广东 |
178****7684 | 移动 | 广东 |
182****9647 | 移动 | 广东 |
183****5177 | 移动 | 广东 |
137****4518 | 移动 | 广东 |
152****8342 | 移动 | 广东 |
183****6463 | 移动 | 广东 |
183****4128 | 移动 | 广东 |
150****4614 | 移动 | 广东 |
150****0208 | 移动 | 广东 |
159****5485 | 移动 | 广东 |
135****4034 | 移动 | 广东 |
184****4428 | 移动 | 广东 |
136****2395 | 移动 | 广东 |
135****4035 | 移动 | 广东 |
157****9552 | 移动 | 广东 |
137****4755 | 移动 | 广东 |
134****5028 | 移动 | 广东 |
136****9427 | 移动 | 广东 |
159****4337 | 移动 | 广东 |
135****2474 | 移动 | 广东 |
134****4934 | 移动 | 广东 |
137****5740 | 移动 | 广东 |
134****1004 | 移动 | 广东 |
137****2494 | 移动 | 广东 |
152****5940 | 移动 | 广东 |
183****9269 | 移动 | 广东 |
152****0830 | 移动 | 广东 |
134****2107 | 移动 | 广东 |
134****1015 | 移动 | 广东 |
159****6012 | 移动 | 广东 |
152****8904 | 移动 | 广西 |
147****0130 | 移动 | 广西 |
187****7352 | 移动 | 广西 |
158****7683 | 移动 | 广西 |
187****5957 | 移动 | 广西 |
152****4813 | 移动 | 广西 |
147****6702 | 移动 | 广西 |
184****2395 | 移动 | 海南 |
181****7610 | 电信 | 河北 |
177****2604 | 电信 | 河北 |
133****1437 | 电信 | 河南 |
187****5564 | 移动 | 湖南 |
132****3406 | 联通 | 江苏 |
131****4810 | 联通 | 江苏 |
130****4174 | 联通 | 江苏 |
170****5447 | 移动 | 江苏 |
156****8279 | 联通 | 江西 |
131****4541 | 联通 | 辽宁 |
182****6493 | 移动 | 辽宁 |
150****8439 | 移动 | 辽宁 |
153****4186 | 电信 | 山东 |
133****7193 | 电信 | 山东 |
153****4653 | 电信 | 山东 |
133****6950 | 电信 | 山东 |
153****7026 | 电信 | 山东 |
133****8250 | 电信 | 山东 |
156****4227 | 联通 | 山东 |
184****0272 | 移动 | 山西 |
157****8104 | 移动 | 上海 |
183****2502 | 移动 | 上海 |
182****4591 | 移动 | 上海 |
178****1246 | 移动 | 上海 |
178****4772 | 移动 | 上海 |
178****3437 | 移动 | 上海 |
170****4230 | 联通 | 四川 |
170****0429 | 联通 | 四川 |
170****0601 | 联通 | 天津 |
170****0890 | 联通 | 浙江 |
182****1031 | 移动 | 浙江 |
135****9755 | 移动 | 浙江 |
178****4597 | 移动 | 浙江 |
各成员单位可登陆https://share.anva.org.cn网络安全威胁信息共享平台,在用户中心页面“兑换数据”栏目中通过搜索恶意程序变种文件的MD5定向获取样本信息。成员单位兑换数据界面如下:
平台描述
中国反网络病毒联盟,英文全称为“Anti Network-Virus Alliance of China”,英文简称“ANVA”。ANVA通过行业自律机制推动互联网网络病毒的防范、治理工作,净化网络空间,维护公共互联网网络安全。
关注我们
新浪微博
微信公众号