224期惡意代碼信息
2020/03/23-2020/03/29
內(nèi)容提要:經(jīng)安天檢測分析,本周有 8 個(gè)移動(dòng)平臺(tái)惡意代碼和 6 個(gè) PC 平臺(tái)的惡意代碼和漏洞值得關(guān)注
| 平臺(tái)分類 | 關(guān)注方面 | 名稱與發(fā)現(xiàn)時(shí)間 | 相關(guān)描述 |
|
移動(dòng)惡意代碼 |
新出現(xiàn)的樣本家族 | Trojan/Android.clevguard.b[prv,spy] 2020-03-22 | 該應(yīng)用程序偽裝為系統(tǒng)升級服務(wù),運(yùn)行后隱藏圖標(biāo),激活設(shè)備管理器,竊取用戶短信、 聯(lián)系人、通話記錄、地理位置、手機(jī)固件信息、手機(jī)視頻圖片文件、wi? 信息、記事 本信息、社交軟件信息,私自通話錄音、截屏,并將用戶隱私上傳至服務(wù)器。造成 用戶隱私泄露,建議卸載。(威脅等級高) |
| Trojan/Android.PuaImei.b[prv,spy] 2020-03-23 | 該應(yīng)用程序偽裝為正常應(yīng)用,包含風(fēng)險(xiǎn)代碼,運(yùn)行通過借助無障礙服務(wù)獲取用戶行 為信息、瀏覽器輸入等并上傳,造成用戶的隱私泄露和資費(fèi)消耗,建議卸載。(威脅等級中) | ||
| Trojan/Android.FakeJioPrime.c[exp,spr] 2020-03-24 | 該應(yīng)用程序偽裝為正常程序,無實(shí)際功能,運(yùn)行私自群發(fā)推廣鏈接短信,訪問推廣 網(wǎng)頁誘導(dǎo)用戶下載安裝,會(huì)造成用戶資費(fèi)損耗,請卸載。(威脅等級低) | ||
| 較為活躍樣本 | RiskWare/Android.Heineken.a[prv] | 該應(yīng)用程序運(yùn)行后請求激活設(shè)備管理器,包含風(fēng)險(xiǎn)代碼,觸發(fā)下載未知應(yīng)用,獲取 用戶的聯(lián)系人信息、郵箱等信息,聯(lián)網(wǎng)上傳用戶 imei、sim 卡等信息,可能與其他應(yīng) 用配合使用,警惕其造成用戶的隱私泄露,建議謹(jǐn)慎使用。(威脅等級中) | |
| Trojan/Android.CovidLock.a[rog,lck] | 該應(yīng)用程序偽裝為新冠肺炎相關(guān)程序,運(yùn)行誘導(dǎo)用戶激活設(shè)備管理器,隱藏圖標(biāo), 置頂界面勒索用戶付費(fèi)解鎖,造成用戶手機(jī)無法正常使用,建議卸載。(威脅等級中) | ||
| Trojan/Android.SpyLoan.a[prv,rmt,spy] | 該應(yīng)用程序包含惡意代碼,接收遠(yuǎn)程指令,上傳用戶短信、聯(lián)系人、通話記錄等隱 私信息,造成用戶隱私泄露,建議卸載。 (威脅等級中) | ||
| Trojan/Android.Knobot.a[prv,rog] | 該應(yīng)用程序偽裝為正常應(yīng)用,開機(jī)自啟,運(yùn)行后隱藏圖標(biāo)并加載惡意子包,竊取用 戶短信、彩信信息,當(dāng)用戶嘗試進(jìn)入設(shè)置頁面卸載時(shí),會(huì)強(qiáng)制跳轉(zhuǎn)界面,達(dá)到防卸 載的目的,造成用戶隱私泄露,影響手機(jī)正常體驗(yàn),建議立即卸載。(威脅等級中) | ||
| Trojan/Android.SmsSpy.cu[prv] | 該應(yīng)用程序運(yùn)行后監(jiān)聽用戶短信,并上傳到指定網(wǎng)址,會(huì)造成用戶隱私泄露,建議 卸載。(威脅等級低) | ||
| PC平臺(tái)惡意代碼 | 活躍的格式文檔漏洞、0day漏洞 | GDI+ 遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2020-0881) | Windows 圖形設(shè)備接口 (GDI) 處理內(nèi)存中對象的方式中存在遠(yuǎn)程代碼執(zhí)行漏洞。成功 利用此漏洞的攻擊者可能會(huì)控制受影響的系統(tǒng)。攻擊者可隨后安裝程序;查看、更 改或刪除數(shù)據(jù);或者創(chuàng)建擁有完全用戶權(quán)限的新帳戶。(威脅等級高) |
| 較為活躍樣本 | Trojan[Banker]/Win32.Banker | 此威脅是一種以竊取網(wǎng)絡(luò)銀行敏感信息 ( 如銀行賬號(hào)、密碼、信用卡信息等)為目的 的木馬類程序。該家族通過惡意網(wǎng)站或已被感染的郵件進(jìn)行傳播。該家族可以監(jiān)控 用戶的網(wǎng)絡(luò)行為,在用戶登陸銀行網(wǎng)站時(shí)記錄用戶信息,并將所有收集的信息發(fā)送 給黑客。(威脅等級中) | |
| Trojan/Win32.Sharik | 此威脅是一種木馬類程序。該家族通過映射內(nèi)存的方式將自身注入的合法進(jìn)程中運(yùn) 行,并添加注冊表項(xiàng)實(shí)現(xiàn)自啟動(dòng)。該家族會(huì)主動(dòng)連接遠(yuǎn)程服務(wù)器,接受攻擊者命令。 該家族還可會(huì)在電腦中下載、執(zhí)行文件等。(威脅等級中) | ||
| Trojan/Win32.Vobfus | 此威脅是一種木馬類程序。該家族運(yùn)行后會(huì)修改注冊表,阻止用戶顯示隱藏文件夾, 連接網(wǎng)絡(luò)下載其它惡意程序。該家族通常通過網(wǎng)絡(luò)及可移動(dòng)設(shè)備進(jìn)行傳播。(威脅等級中) | ||
| GrayWare[AdWare]/Win32.HotBar | 此威脅是一種可以推送廣告的灰色軟件家族。該家族樣本運(yùn)行后下載并安裝推廣應(yīng) 用,在用戶瀏覽網(wǎng)頁時(shí)可以彈出廣告、占用系統(tǒng)資源、影響用戶使用。(威脅等級低) | ||
| GrayWare[AdWare]/Win32.Eorezo | 此威脅是一種惡意廣告木馬類程序,可以在用戶使用 IE 瀏覽器瀏覽網(wǎng)頁時(shí),彈出廣 告頁面。該家族樣本可能通過木馬釋放,運(yùn)行后復(fù)制自身到系統(tǒng)文件夾下,修改注 冊表用以自啟動(dòng)。(威脅等級低) |