域名預(yù)訂/競價，好“米”不錯過

近日，瑞星“云安全”系統(tǒng)攔截到一個名為“超級短信大盜”的手機(jī)病毒。瑞星安全專家介紹，該病毒基于Android系統(tǒng)，偽裝成熟人發(fā)送的EXCEL資料文檔，引誘網(wǎng)民下載點(diǎn)擊。病毒運(yùn)行后會收集用戶手機(jī)中的聯(lián)系人列表及短信信息，并將這些內(nèi)容上傳至黑客指定地址。手機(jī)一旦中毒，將面臨巨額資費(fèi)消耗、隱私信息泄露、各類網(wǎng)絡(luò)賬號及網(wǎng)銀賬號被盜等風(fēng)險。目前，永久免費(fèi)的瑞星手機(jī)安全助手(下載地址)已可查殺該病毒，廣大網(wǎng)民應(yīng)盡快安裝，以免遭受不必要的損失。

圖1：“超級短信大盜”偽裝成EXCEL資料

圖2：瑞星手機(jī)安全助手?jǐn)r截“超級短信大盜”

“超級短信大盜”偽裝成熟人發(fā)來的“資料”迷惑網(wǎng)民，一旦被下載運(yùn)行，該病毒就會收集本機(jī)號碼、聯(lián)系人列表及短信信息，并上傳至黑客指定郵箱。此外，該病毒還會更改系統(tǒng)設(shè)置，并隱藏自身圖標(biāo)，普通網(wǎng)民無法使用正常方式將其卸載。另外，在解析病毒代碼時瑞星工程師發(fā)現(xiàn)了黑客存放非法所得信息的地址，并于第一時間將該地址內(nèi)的所有信息予以清除。

圖3：病毒向黑客指定地址上傳的用戶信息(已作清空處理)

瑞星安全專家指出，該病毒圖標(biāo)顯示為EXCEL文檔，具有較高的迷惑性。同時，病毒還會利用網(wǎng)民的手機(jī)向所有聯(lián)系人群發(fā)帶有病毒下載鏈接的惡意短信，由于是“熟人”發(fā)來的“資料”，多數(shù)人都會掉以輕心，因此該病毒具備極高的自我傳播能力，網(wǎng)民應(yīng)特別提高警惕。

針對上述情況，瑞星安全專家建議廣大網(wǎng)民近期應(yīng)做好以下防護(hù)工作：

1. 不輕信、不點(diǎn)擊任何人使用短信發(fā)來的鏈接。如必須使用手機(jī)查看鏈接，應(yīng)致電對方核實(shí)鏈接的內(nèi)容后再進(jìn)行操作。

2. 使用大型正規(guī)APP商店作為下載渠道，不從論壇或不正規(guī)的網(wǎng)站下載APP。

3. 安裝專業(yè)的手機(jī)安全軟件，沒有手機(jī)安全軟件的用戶可以使用永久免費(fèi)的瑞星手機(jī)安全助手(下載地址)，養(yǎng)成良好的使用習(xí)慣，定期為手機(jī)掃描體檢，遠(yuǎn)離病毒威脅。

一、病毒樣本基本信息:

樣本名稱

病毒名稱 超級短信大盜(a.privacy.emial.a)

包 名 cn.wWRWdnjj

SHA1 719e10f9459e882425786a0a380d3ddfad0cf3fc

MD5值 93f5e82f5d9a71b463703f45bad1f67d

Crc32 c49ad331

SHA-256 4a42cffb0df7e2ed1ddaef39298e52fa2a5d55b32c8b184b16d6d4c554d56147

文件大小 241 KB (246,830 字節(jié))

簽名證書 EMAILADDRESS=android@android.com, CN=Android, OU=Android, O=Android, L=Mountain View, ST=California, C=US

二、樣本特征及傳播方式：

該病毒偽裝成正常軟件誘導(dǎo)用戶下載安裝。安裝運(yùn)行后病毒會在后臺私自發(fā)送指定內(nèi)容的短信到指定號碼、私自獲取用戶的短信息和聯(lián)系人信息并回傳至病毒作者的指定郵箱、運(yùn)行后自動隱藏桌面啟動圖標(biāo)、同時該病毒還會誘導(dǎo)用戶激活系統(tǒng)設(shè)備管理器等，給用戶造成嚴(yán)重的隱私泄露及資費(fèi)消耗等的安全問題。

三、應(yīng)用所需的敏感權(quán)限:

啟動方式為：開機(jī)自啟動

四、四大組件運(yùn)用：

Activities:

cn.wWRWdnjjent.MainActivity

cn.wWRWdnjjent.FX

cn.wWRWdnjjent.Uninstaller

cn.wWRWdnjjent.UninActivity

intent-filter action: android.intent.action.DELETE

intent-filter action: android.intent.action.VIEW

intent-filter category: android.intent.category.DEFAULT

cn.wWRWdnjjent.WebInterfaceActivity

cn.wWRWdnjjent.UninstallerActivity

intent-filter action: android.intent.action.DELETE

intent-filter action: android.intent.action.VIEW

intent-filter category: android.intent.category.DEFAULT

cn.wWRWdnjjent.ClientActivity

intent-filter category: android.intent.category.LAUNCHER

intent-filter action: android.intent.action.MAIN

com.shit.ComposeSmsActivity

intent-filter action: android.intent.action.SEND

intent-filter action: android.intent.action.SENDTO

intent-filter category: android.intent.category.DEFAULT

intent-filter category: android.intent.category.BROWSABLE

Service:

cn.wWRWdnjjent.HeadlessSmsSendService

cn.wWRWdnjjent.MyService

Broadcast Receivers:

cn.wWRWdnjjent.Dx

intent-filter action: android.app.action.DEVICE_ADMIN_ENABLED

cn.wWRWdnjjent.AlarmReceiver

intent-filter action: android.intent.action.BOOT_COMPLETED

cn.wWRWdnjjent.XReceiver

intent-filter action: android.provider.Telephony.SMS_RECEIVED

intent-filter category: android.intent.category.DEFAULT

intent-filter action: android.provider.Telephony.SMS_DELIVER

cn.wWRWdnjjent.BootReceiver

intent-filter action: android.intent.action.BOOT_COMPLETED

cn.wWRWdnjjent.MmsReceiver

intent-filter action: android.provider.Telephony.WAP_PUSH_DELIVER

靜態(tài)分析：

一、代碼級行為分析：

程序運(yùn)行時分析：

該病毒通過偽裝成正常軟件“資料”的形式誘導(dǎo)用戶安裝

安裝運(yùn)行后，病毒會自動獲取用戶的手機(jī)號碼、短信收件箱等用戶的隱私信息

同時私自發(fā)送安裝成功的指令短信“6&865411020043025”到指定號碼“183****2483”，并彈出誘導(dǎo)用戶激活系統(tǒng)設(shè)備管理器的Activity界面，以實(shí)現(xiàn)用戶正常將其卸載的目的。

[關(guān)鍵代碼]

待用戶點(diǎn)擊取消或激活后，程序彈出錯誤提示

[關(guān)鍵代碼]

點(diǎn)擊確定后發(fā)現(xiàn)，桌面啟動圖標(biāo)已經(jīng)被自動隱藏，且能通過系統(tǒng)應(yīng)用程序列表找到

并且替換了系統(tǒng)的卸載程序組件，當(dāng)用戶卸載時會自動彈出病毒作者設(shè)計的卸載界面，其實(shí)根本就沒有卸載其程序

[關(guān)鍵代碼]

在解決前面的那些事情的同時，程序已經(jīng)開始向用戶的手機(jī)中保存的聯(lián)系人群發(fā)短信了，短信的內(nèi)容如下：

并且，病毒作者有多個郵箱和多個下載地址，其不同的是，每個下載地址的后綴“*.apk”都不一樣

例如：

........等等等

最后，病毒作者將獲取到的用戶短信息、用戶的聯(lián)系人等的各種信息，通過Email的方式發(fā)送到病毒作者的指定的郵箱中，且全部為163vip郵箱

目前已截獲的四個病毒作者的郵箱分別為

“r******5@vip.163.com”、“r******6@vip.163.com”、“r******3@vip.163.com”、“r******8@vip.163.com”

瑞星手機(jī)安全助手查殺截圖：

目前，瑞星手機(jī)安全助手已可以全面查殺此病毒

總結(jié)：

至此，這個手機(jī)病毒就基本分析完了，其主要特點(diǎn)就是通過短信的形式向用戶手機(jī)聯(lián)系人群發(fā)帶惡意鏈接的短信，并讓中招的手機(jī)用戶點(diǎn)擊鏈接下載安裝病毒程序，以實(shí)現(xiàn)惡意短信擴(kuò)散傳播的目的，同時還會吸取大量用戶的聯(lián)系人信息并發(fā)送到病毒作者事先注冊好的163vip郵箱中，給用戶造成直接且嚴(yán)重的隱私泄露等的安全問題。

建議：

現(xiàn)在，Android智能系統(tǒng)的碎片化越來越嚴(yán)重混亂，安全管理方面也沒有統(tǒng)一的強(qiáng)勁的管理制度，使得病毒越來越多。就目前來講，在Android應(yīng)用電子市場等領(lǐng)域里幾乎就沒有讓用戶安裝放心、使用放心的應(yīng)用程序。病毒作者在設(shè)計及開發(fā)病毒的時候利用的技術(shù)手段也越來越精妙，使得用戶防不勝防。

建議用戶在安裝和使用軟件時如發(fā)現(xiàn)手機(jī)中不明原因的增加新應(yīng)用，一定要警惕是否存在該類型惡意軟件。并且用戶在使用Android智能設(shè)備時，一定要在設(shè)備中安裝一些官方認(rèn)證版本的安全監(jiān)測工具，實(shí)時防護(hù)用戶的智能設(shè)備不受到惡意程序及病毒的侵害。另外，如需安裝一些實(shí)用的且下載量較高的app，記住一定要到官方認(rèn)證的電子市場或大型的且有官方認(rèn)證Logo的網(wǎng)站上進(jìn)行下載安裝，切勿隨便在不知名的網(wǎng)站或電子市場上下載。

病毒作者最喜歡干的事兒就是將自己寫的病毒程序捆綁到較熱門的app應(yīng)用程序中，并在后臺進(jìn)行大范圍的惡意推廣傳播，使得用戶的隱私及經(jīng)濟(jì)受到嚴(yán)重的威脅及損害。

申請創(chuàng)業(yè)報道，分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！