230期惡意代碼信息
2020/05/11-2020/05/17
內容提要:經安天檢測分析,本周有 8 個移動平臺惡意代碼和 6 個 PC 平臺的惡意代碼和漏洞值得關注
| 平臺分類 | 關注方面 | 名稱與發現時間 | 相關描述 |
|
移動惡意代碼 |
新出現的樣本家族 | Trojan/Android.x200portal.a[rmt,prv,spy] 2020-05-11 | 該應用程序運行后獲取 root 權限,激活設備管理器并隱藏圖標,后臺接收短信和遠程 指令完成用戶手機拍照、錄像等;監聽用戶手機數據,上傳用戶短信、手機固件信息、 聯系人、社交應用等隱私信息,造成用戶隱私泄露和資費損耗,請立即卸載。(威脅等級高) |
| Trojan/Android.rootstv.a[exp] 2020-05-12 | 該應用程序是針對智能電視的惡意應用,程序運行會利用系統漏洞提權,靜默安裝未 知應用,遠程推送應用,造成用戶資費消耗,建議卸載。(威脅等級中) | ||
| Trojan/Android.Gugi.b[prv,exp,rmt] 2020-05-13 | 該應用程序偽裝成其他應用,運行會隱藏圖標,請求激活設備管理器,私自發送短信, 監聽短信攔截指定短信,利用釣魚界面誘騙竊取用戶的銀行相關賬號和密碼,竊取 用戶短信、通訊錄等信息,造成用戶隱私泄露和資費消耗,建議卸載。(威脅等級中) | ||
| 較為活躍樣本 | Trojan/Android.Mobilespy.f[prv,rmt] | 該應用程序是一款間諜軟件。手機重啟后會在后臺自動運行,能夠監聽用戶的通話 記錄、短信記錄、上網記錄和圖片庫等信息,能夠通過 GPS 定位知道用戶的所在地等, 并把信息上傳到指定的網址,造成用戶隱私泄露,建議立即卸載。(威脅等級中) | |
| Trojan/Android.QQspy.ck[prv] | 該應用程序偽裝成 qq 相關應用,運行后誘導用戶輸入 QQ 賬號和密碼并短信轉發, 造成用戶隱私泄露和資費損耗,建議卸載。(威脅等級中) | ||
| Trojan/Android.GLocker.jm[rog,lck] | 該應用程序為勒索軟件,會鎖定用戶屏幕進行敲詐勒索,造成用戶手機無法正常使用, 建議卸載。(威脅等級中) | ||
| Trojan/Android.xstd.a[pay,rmt] | 該應用程序偽裝成系統應用,運行時會向特定手機號發送激活短信,并注冊遠程服 務器、聯網獲取配置信息,執行發送扣費短信、攔截回執短信、自動回復、屏蔽指 定外撥號碼等操作。此外,還會強制用戶激活設備管理器,且無法正常取消激活進 而卸載,給用戶帶來經濟損失,建議卸載。(威脅等級中) | ||
| Trojan/Android.GFakeSys.j[rog,sys] | 該應用程序偽裝為系統應用,安裝無圖標,包含風險行為代碼,警惕后臺私自下載 并安裝軟件,建議卸載。(威脅等級低) | ||
| PC平臺惡意代碼 | 活躍的格式文檔漏洞、0day漏洞 | Microsoft Server Message Block 安全漏洞 (CVE-2020-0796) | Microsoft 服務器消息塊 3.1.1 (SMBv3) 協議處理某些請求的方式中存在遠程代碼執行 漏洞。成功利用此漏洞的攻擊者可以在目標服務器或客戶端上執行任意代碼。(威脅等級高) |
| 較為活躍樣本 | Trojan[Downloader]/Win32.Busky | 此威脅是一種具有下載行為的惡意木馬類程序。它能夠通過互聯網下載到用戶電腦, 并開展了一系列的破壞性行動。它首先會添加自身到注冊表啟動項,能關閉正在運 行的反家族軟件進程,或直接禁用或損壞防家族程序及其相關文件。它會監視你, 并記錄用戶個人信息,如用戶名和密碼。(威脅等級中) | |
| Trojan/Win32.FraudST | 此威脅是一種惡意木馬類程序。它與垃圾郵件廣告的非法網上藥店和詐騙涉及垃圾 郵件推廣假冒醫療產品有關。該家族已經與瞄準 Facebook 用戶和 PayPal 用戶的網絡 釣魚攻擊相關聯。其主要目標是滲透到計算機系統,并允許黑客從遠處控制它。這 意味著,黑客利用它來迫使受感染的計算機發送垃圾郵件,它可以輕易地被用來執 行分布式拒絕服務攻擊,或者安裝鍵盤記錄器和其它數據盜竊的應用程序。(威脅等級中) | ||
| Trojan[Banker]/Win32.VB | 此威脅是一種以竊取網絡銀行敏感信息為目的的木馬類程序,允許對受影響的計算 機進行未經授權的訪問。該家族程序能夠下載和執行由遠程攻擊者指定的任意文件。(威脅等級中) | ||
| RiskWare[WebToolbar]/Win32.MutiBar | 此威脅是一種可以安裝瀏覽器擴展的風險軟件家族。該家族使用特殊的安裝程序 , 采 用各種方法來獲取權限,從而安裝其它軟件組件。(威脅等級低) | ||
| GrayWare[AdWare]/Win32.4Shared | 此威脅是一種有廣告行為的灰色軟件家族。該家族的樣本在執行后會連接遠程的服 務器下載廣告在用戶的 PC 上彈出。該家族的樣本具有較多種簽名形式和變種。(威脅等級低) |