189期惡意代碼信息
2019/06/24-2019/06/30
內(nèi)容提要:經(jīng)安天檢測分析,本周有 8 個移動平臺惡意代碼和 6 個 PC 平臺的惡意代碼和漏洞值得關(guān)注
| 平臺分類 | 關(guān)注方面 | 名稱與發(fā)現(xiàn)時間 | 相關(guān)描述 |
|
移動惡意代碼 |
新出現(xiàn)的樣本家族 | Trojan/Android.UpdateSpy.b[prv,rmt,exp,spy] 2019-06-23 | 該應(yīng)用程序是間諜軟件,運行誘導(dǎo)激活設(shè)備管理器,隱藏圖標(biāo),接收遠程指令進行錄 音、發(fā)送短信、撥打電話,上傳用戶聯(lián)系人、通話錄音、通話記錄、短信、sd 卡中的 指定格式文件(pdf、doc、xls)等隱私,造成用戶隱私泄露,請卸載。(威脅等級高) |
| Trojan/Android.FinansMobil.a[prv] 2019-06-24 | 該應(yīng)用程序運行隱藏圖標(biāo),加載銀行釣魚界面誘騙用戶填寫并上傳,監(jiān)聽和上傳用戶 短信,造成用戶隱私泄露,建議卸載。 (威脅等級中) | ||
| Trojan/Android.FakeBTCTurk.a[prv] 2019-06-24 | 該應(yīng)用程序偽裝比特幣交易應(yīng)用,誘導(dǎo)用戶授權(quán)后,后臺竊取包含指定內(nèi)容的通知 信息,還會竊取用戶的登錄憑據(jù),造成用戶隱私泄露,請卸載。(威脅等級中) | ||
| 較為活躍樣本 | G-Ware/Android.PJbocai.l[fra,exp] | 該應(yīng)用程序偽裝正常應(yīng)用,運行私自下載博彩應(yīng)用,而后請求 root 權(quán)限,其后安裝 博彩應(yīng)用并卸載自身,博彩應(yīng)用可能會給用戶財產(chǎn)帶來風(fēng)險,建議不要使用。(威脅等級中) | |
| Tool/Android.mycellspy.a[prv,spy] | 該應(yīng)用程序為監(jiān)控工具,可以監(jiān)控手機短信,通話記錄和音頻,相機,照片,視頻, GPS 位置,聯(lián)系人,瀏覽器記錄等,建議謹慎使用,避免造成隱私泄露。(威脅等級中) | ||
| RiskWare/Android.repackvqs.a[rog] | 該應(yīng)用程序是非官方應(yīng)用,經(jīng)過重打包處理,可能被惡意篡改植入廣告等,存在一 定的使用風(fēng)險,建議卸載該應(yīng)用,下載安裝官方正版應(yīng)用。(威脅等級低) | ||
| G-Ware/Android.fakeTelegram.b[exp,rog] | 該應(yīng)用程序偽裝 Telegram 服務(wù),運行隱藏圖標(biāo),訪問推廣頁面,會造成用戶流量資 費損耗,請卸載。(威脅等級低) | ||
| Trojan/Android.WalHd.b[pay] | 該應(yīng)用程序為壁紙應(yīng)用,運行用戶點擊下載壁紙時有提示發(fā)送扣費短信,請謹慎使用, 注意提示信息。(威脅等級低) | ||
| PC平臺惡意代碼 | 活躍的格式文檔漏洞、0day漏洞 | Windows Hyper-V 遠 程 代 碼 執(zhí) 行 漏 洞 (CVE-2019-0620) | 當(dāng)主機服務(wù)器上的 Windows Hyper-V 無法正確驗證來賓系統(tǒng)上經(jīng)身份驗證的用戶輸入 時,存在遠程代碼執(zhí)行漏洞。攻擊者可以在來賓操作系統(tǒng)上運行經(jīng)特殊設(shè)計的惡意 程序,最終在主機服務(wù)器系統(tǒng)上執(zhí)行任意代碼。(威脅等級高) |
| 較為活躍樣本 | GrayWare[AdWare]/Win32.BetterInternet | 此威脅是一種廣告類的灰色軟件程序。該家族樣本是一個瀏覽器輔助工具,可以顯 示廣告、下載和安裝文件。樣本運行后會顯示廣告;根據(jù)用戶訪問的網(wǎng)站顯示相關(guān) 網(wǎng)站的鏈接和廣告;存儲用戶曾訪問過的網(wǎng)站;將某些 URL(包括 Web 瀏覽器的 默認 404 錯誤頁重定向到 Adware.Binet 指定網(wǎng)頁);自動更新廣告軟件并安裝新增 的特性或功能。(威脅等級低) | |
| Trojan[Packed]/Win32.Tpyn | 此威脅是一種加殼類木馬程序。該家族通常會壓縮間諜軟件文件,避免被反病毒軟 件檢測。(威脅等級中) | ||
| Trojan[Exploit]/Java.AGeneric | 此威脅是一種可以利用某些漏洞的木馬程序。該家族樣本使用 Java 編寫,沒有統(tǒng)工 的行為與功能,是以啟發(fā)式檢出的惡意代碼。(威脅等 級中) | ||
| Trojan[Packed]/Multi.SuspiciousPacker | 此威脅是一種壓縮惡意代碼的木馬程序。該家族樣本一般為壓縮包,運行后會解壓 運行惡意代碼,有一定威脅。(威脅等級低) | ||
| GrayWare[AdWare]/Win32.MaxDriver | 此威脅是一種可以下載推廣應(yīng)用的灰色軟件程序。該家族樣本運行后可以連接網(wǎng)絡(luò) 下載并安裝推廣應(yīng)用,在用戶瀏覽網(wǎng)頁時會彈出廣告,占用系統(tǒng)資源,影響用戶使用。(威脅等級低) |