重点关注
漏洞公告
恶意代码
关于安卓短信蠕虫病毒处置情况的有关情况通报
2016年2月15日,国家互联网应急中心(以下简称“CNCERT”)接到CNCERT广东分中心、浙江分中心投诉,一款通过短信传播的安卓蠕虫病毒大量传播。该病毒私自读取用户通讯录,向联系人发送带有蠕虫病毒下载地址的恶意短信,诱骗联系人感染。通过对病毒下载地址的域名进行溯源分析,发现该域名注册人名下还有7个用于传播安卓恶意程序的域名, CNCERT第一时间对该批恶意域名进行处置,有效控制了恶意程序的影响范围,具体情况通报如下:
一、恶意程序机理分析情况
该蠕虫病毒伪装成“检查更新”APP,通过伪基站或者手机肉鸡以短信方式进行传播,短信内容为“XXX,新年好。相片已经放到这上了 t.cn/RGfj6iM”。
该恶意程序都具有如下恶意行为:
1)启动后会隐藏自身图标;
2)私自读取用户通讯录,向用户联系人群发包含蠕虫病毒下载地址的短信息,。
二、影响范围分析
用于下载蠕虫病毒的短链接“t.cn/RGfj6iM”会跳转到域名“dlapkb.com”,该域名的注册人为“zengheng”,注册邮箱为“angelhuajia@qq.com”。
根据CNCERT溯源分析发现,该注册人名下还有6个恶意域名用于传播安卓恶意程序,分别是“cvtech.cn”、“dlapka.com”、“dlapkc.com”、“ebankman.com”、“ebankmanager.com”、“yunzhanlve.cn”。
该系列恶意域名累计传播过“学习成绩单”、“违章查询”、“天天数钱”、“人人红包”、“检查更新”、“System Constituent”、“Android Sytem Updata”、“Android Device Updata”等8款恶意程序的77个样本,传播达2348次。
三、处置措施
CNCERT分析确认该恶意程序的影响范围后,立即启动针对该恶意代码的处置工作,协调杭州爱名网络有限公司、杭州电商互联科技有限公司、温州市中网计算机技术服务有限公司等域名注册商对以上恶意域名进行停止解析处理,切断了恶意程序的传播途径。
CNCERT 将继续跟踪事件后续情况。同时,请国内相关单位做好信息系统应用情况排查工作,如需技术支援,请联系 CNCERT。电子邮箱: cncert@cert.org.cn,联系电话: 010-82990999。