安全資訊

關(guān)于安卓短信蠕蟲(chóng)病毒處置情況的有關(guān)情況通報(bào)

來(lái)源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2016-03-03    瀏覽次數(shù):
 

信息來(lái)源:國(guó)家互聯(lián)網(wǎng)應(yīng)急中心

2016年2月15日,國(guó)家互聯(lián)網(wǎng)應(yīng)急中心(以下簡(jiǎn)稱(chēng)“CNCERT”)接到CNCERT廣東分中心、浙江分中心投訴,一款通過(guò)短信傳播的安卓蠕蟲(chóng)病毒大量傳播。該病毒私自讀取用戶通訊錄,向聯(lián)系人發(fā)送帶有蠕蟲(chóng)病毒下載地址的惡意短信,誘騙聯(lián)系人感染。通過(guò)對(duì)病毒下載地址的域名進(jìn)行溯源分析,發(fā)現(xiàn)該域名注冊(cè)人名下還有7個(gè)用于傳播安卓惡意程序的域名, CNCERT第一時(shí)間對(duì)該批惡意域名進(jìn)行處置,有效控制了惡意程序的影響范圍,具體情況通報(bào)如下:

一、惡意程序機(jī)理分析情況

該蠕蟲(chóng)病毒偽裝成“檢查更新”APP,通過(guò)偽基站或者手機(jī)肉雞以短信方式進(jìn)行傳播,短信內(nèi)容為“XXX,新年好。相片已經(jīng)放到這上了 t.cn/RGfj6iM”。

該惡意程序都具有如下惡意行為:

1)啟動(dòng)后會(huì)隱藏自身圖標(biāo);

2)私自讀取用戶通訊錄,向用戶聯(lián)系人群發(fā)包含蠕蟲(chóng)病毒下載地址的短信息,。

二、影響范圍分析

用于下載蠕蟲(chóng)病毒的短鏈接“t.cn/RGfj6iM”會(huì)跳轉(zhuǎn)到域名“dlapkb.com”,該域名的注冊(cè)人為“zengheng”,注冊(cè)郵箱為“angelhuajia@qq.com”。

根據(jù)CNCERT溯源分析發(fā)現(xiàn),該注冊(cè)人名下還有6個(gè)惡意域名用于傳播安卓惡意程序,分別是“cvtech.cn”、“dlapka.com”、“dlapkc.com”、 “ebankman.com”、“ebankmanager.com”、“yunzhanlve.cn”。

該系列惡意域名累計(jì)傳播過(guò)“學(xué)習(xí)成績(jī)單”、“違章查詢”、“天天數(shù)錢(qián)”、“人人紅包”、“檢查更新”、“System Constituent”、“Android Sytem Updata”、“Android Device Updata”等8款?lèi)阂獬绦虻?7個(gè)樣本,傳播達(dá)2348次。

三、處置措施

CNCERT分析確認(rèn)該惡意程序的影響范圍后,立即啟動(dòng)針對(duì)該惡意代碼的處置工作,協(xié)調(diào)杭州愛(ài)名網(wǎng)絡(luò)有限公司、杭州電商互聯(lián)科技有限公司、溫州市中網(wǎng)計(jì)算機(jī)技術(shù)服務(wù)有限公司等域名注冊(cè)商對(duì)以上惡意域名進(jìn)行停止解析處理,切斷了惡意程序的傳播途徑。

CNCERT 將繼續(xù)跟蹤事件后續(xù)情況。同時(shí),請(qǐng)國(guó)內(nèi)相關(guān)單位做好信息系統(tǒng)應(yīng)用情況排查工作,如需技術(shù)支援,請(qǐng)聯(lián)系 CNCERT。電子郵箱: cncert@cert.org.cn,聯(lián)系電話: 010-82990999。

 
 

上一篇:網(wǎng)絡(luò)安全信息與動(dòng)態(tài)周報(bào)-2016年第9期(點(diǎn)擊下載)

下一篇:國(guó)家信息安全漏洞共享平臺(tái)(CNVD)周報(bào)-2016年第9期