信息來源:國家互聯(lián)網(wǎng)應急中心
2016年2月15日,國家互聯(lián)網(wǎng)應急中心(以下簡稱“CNCERT”)接到CNCERT廣東分中心、浙江分中心投訴,一款通過短信傳播的安卓蠕蟲病毒大量傳播。該病毒私自讀取用戶通訊錄,向聯(lián)系人發(fā)送帶有蠕蟲病毒下載地址的惡意短信,誘騙聯(lián)系人感染。通過對病毒下載地址的域名進行溯源分析,發(fā)現(xiàn)該域名注冊人名下還有7個用于傳播安卓惡意程序的域名, CNCERT第一時間對該批惡意域名進行處置,有效控制了惡意程序的影響范圍,具體情況通報如下:
一、惡意程序機理分析情況
該蠕蟲病毒偽裝成“檢查更新”APP,通過偽基站或者手機肉雞以短信方式進行傳播,短信內(nèi)容為“XXX,新年好。相片已經(jīng)放到這上了 t.cn/RGfj6iM”。
該惡意程序都具有如下惡意行為:
1)啟動后會隱藏自身圖標;
2)私自讀取用戶通訊錄,向用戶聯(lián)系人群發(fā)包含蠕蟲病毒下載地址的短信息,。
二、影響范圍分析
用于下載蠕蟲病毒的短鏈接“t.cn/RGfj6iM”會跳轉(zhuǎn)到域名“dlapkb.com”,該域名的注冊人為“zengheng”,注冊郵箱為“angelhuajia@qq.com”。
根據(jù)CNCERT溯源分析發(fā)現(xiàn),該注冊人名下還有6個惡意域名用于傳播安卓惡意程序,分別是“cvtech.cn”、“dlapka.com”、“dlapkc.com”、
“ebankman.com”、“ebankmanager.com”、“yunzhanlve.cn”。
該系列惡意域名累計傳播過“學習成績單”、“違章查詢”、“天天數(shù)錢”、“人人紅包”、“檢查更新”、“System Constituent”、“Android Sytem Updata”、“Android Device Updata”等8款惡意程序的77個樣本,傳播達2348次。
三、處置措施
CNCERT分析確認該惡意程序的影響范圍后,立即啟動針對該惡意代碼的處置工作,協(xié)調(diào)杭州愛名網(wǎng)絡有限公司、杭州電商互聯(lián)科技有限公司、溫州市中網(wǎng)計算機技術服務有限公司等域名注冊商對以上惡意域名進行停止解析處理,切斷了惡意程序的傳播途徑。
CNCERT 將繼續(xù)跟蹤事件后續(xù)情況。同時,請國內(nèi)相關單位做好信息系統(tǒng)應用情況排查工作,如需技術支援,請聯(lián)系 CNCERT。電子郵箱: cncert@cert.org.cn,聯(lián)系電話: 010-82990999。