信息來(lái)源：國(guó)家互聯(lián)網(wǎng)應(yīng)急中心

2016年2月15日，國(guó)家互聯(lián)網(wǎng)應(yīng)急中心（以下簡(jiǎn)稱“CNCERT”）接到CNCERT廣東分中心、浙江分中心投訴，一款通過(guò)短信傳播的安卓蠕蟲(chóng)病毒大量傳播。該病毒私自讀取用戶通訊錄，向聯(lián)系人發(fā)送帶有蠕蟲(chóng)病毒下載地址的惡意短信，誘騙聯(lián)系人感染。通過(guò)對(duì)病毒下載地址的域名進(jìn)行溯源分析，發(fā)現(xiàn)該域名注冊(cè)人名下還有7個(gè)用于傳播安卓惡意程序的域名， CNCERT第一時(shí)間對(duì)該批惡意域名進(jìn)行處置，有效控制了惡意程序的影響范圍，具體情況通報(bào)如下：

一、惡意程序機(jī)理分析情況

該蠕蟲(chóng)病毒偽裝成“檢查更新”APP，通過(guò)偽基站或者手機(jī)肉雞以短信方式進(jìn)行傳播，短信內(nèi)容為“XXX，新年好。相片已經(jīng)放到這上了 t.cn/RGfj6iM”。

該惡意程序都具有如下惡意行為：

1）啟動(dòng)后會(huì)隱藏自身圖標(biāo)；

2）私自讀取用戶通訊錄，向用戶聯(lián)系人群發(fā)包含蠕蟲(chóng)病毒下載地址的短信息，。

二、影響范圍分析

用于下載蠕蟲(chóng)病毒的短鏈接“t.cn/RGfj6iM”會(huì)跳轉(zhuǎn)到域名“dlapkb.com”，該域名的注冊(cè)人為“zengheng”，注冊(cè)郵箱為“angelhuajia@qq.com”。

根據(jù)CNCERT溯源分析發(fā)現(xiàn)，該注冊(cè)人名下還有6個(gè)惡意域名用于傳播安卓惡意程序，分別是“cvtech.cn”、“dlapka.com”、“dlapkc.com”、 “ebankman.com”、“ebankmanager.com”、“yunzhanlve.cn”。

該系列惡意域名累計(jì)傳播過(guò)“學(xué)習(xí)成績(jī)單”、“違章查詢”、“天天數(shù)錢”、“人人紅包”、“檢查更新”、“System Constituent”、“Android Sytem Updata”、“Android Device Updata”等8款惡意程序的77個(gè)樣本，傳播達(dá)2348次。

三、處置措施

CNCERT分析確認(rèn)該惡意程序的影響范圍后，立即啟動(dòng)針對(duì)該惡意代碼的處置工作，協(xié)調(diào)杭州愛(ài)名網(wǎng)絡(luò)有限公司、杭州電商互聯(lián)科技有限公司、溫州市中網(wǎng)計(jì)算機(jī)技術(shù)服務(wù)有限公司等域名注冊(cè)商對(duì)以上惡意域名進(jìn)行停止解析處理，切斷了惡意程序的傳播途徑。

CNCERT 將繼續(xù)跟蹤事件后續(xù)情況。同時(shí)，請(qǐng)國(guó)內(nèi)相關(guān)單位做好信息系統(tǒng)應(yīng)用情況排查工作，如需技術(shù)支援，請(qǐng)聯(lián)系 CNCERT。電子郵箱： cncert@cert.org.cn，聯(lián)系電話： 010-82990999。