156期恶意代码信息
内容提要:经安天检测分析,本周有 8 个移动平台恶意代码和 6 个 PC 平台的恶意代码和漏洞值得关注
平台分类 | 关注方面 | 名称与发现时间 | 相关描述 |
移动恶意代码 |
新出现的样本家族 | Trojan/Android.JsMiner.h[exp,rog] 2018-10-16 | 该应用程序包含 js 挖矿脚本,运行后会私自执行挖矿脚本进行挖矿,造成用户手机性能降 低,建议卸载。(威胁等级中) |
Trojan/Android.HelperPushe.a[rmt,exp,prv] 2018-10-17 | 该应用程序运行隐藏图标,接收远程指令,弹出未知窗口页面,窃取用户短信,私自发送 短信,安装指定 apk。造成用户隐私泄露,建议卸载。(威胁等级中) | ||
Trojan/Android.NGSuperShell.a[rmt,spy,bkd] 2018-10-18 | 该应用程序是一个名为 NG SuperShell 的 ELF 可执行后门程序,会接收远端发送来的文件 或指令,并执行该文件或指令,建议立即删除。(威胁等级中) | ||
较为活跃样本 | Trojan/Android.Wsspy.a[prv,spy] | 该应用程序运行后隐藏图标,通过拨打指定号码弹出设置页面,上传手机固件信息、 短信、位置、联系人、通话记录等隐私信息至指定网址,建议卸载。(威胁等级中) | |
RiskWare/Android.Fakejiaoyou.e[fra,exp] | 该应用程序伪装交友软件,通过发送虚假诱惑性消息,诱导用户付费,会造成用户资费损 失,建议卸载。(威胁等级低) | ||
Trojan/Android.HalkBank.a[prv] | 该应用程序伪装银行应用,窃取用户银行账户密码和收件箱短信,造成用户隐私泄露, 建议卸载。(威胁等级中) | ||
RiskWare/Android.LockerMaker.i[spr,lck] | 该应用程序为锁机生成器,用户可用来生成并使用锁机勒索工具,该程序暂未完善,存 在恶意制造、传播勒索应用的行为,建议卸载。(威胁等级中) | ||
PC平台恶意代码 | 活跃的格式文档漏洞、0day漏洞 | WebLogic 远 程 代 码 执 行 漏 洞(CVE-2018-3191) | 该漏洞允许未经身份验证的攻击者通过 T3 协议网络访问并破坏易受攻击的 WebLogic Server,成功的漏洞利用可导致 WebLogic Server 被攻击者接管,从而造成远程代码执行。 (威胁等级高) |
较为活跃样本 | GrayWare[AdWare]/Win32.Otezinu | 此威胁是一种有广告行为的灰色软件类程序。该家族通常与正常软件捆绑到一起进行传播, 它会在电脑上收集用户信息,并根据这些信息获取用户习惯并推送广告。(威胁等级低) | |
RiskWare[Downloader]/Win32. DownloadSponsor | 此威胁是一种下载广告软件的风险软件类程序。该家族会自动下载并运行用户不知情或不 允许安装的软件,同时它也可以不断地检查更新文件本身。(威胁等级中) | ||
Trojan/Win64.Patched | 此威胁是一种窃取账户信息的木马类程序。该家族样本基于 64 位系统,当用户打开 IE 浏 览器时,该家族代码会执行打开文件,并将文件的 shellcode 读到内存中,同时还原 IE 浏 览器入口点代码,然后创建一个线程执行恶意操作,并跳转到 IE 原入口地址继续执行。 该家族会记录 Windows 登陆账户信息,试图窃取 SQL 账号密码信息,以 URL 方式发送 到作者地址中。(威胁等级中) | ||
Trojan/NSIS.GoogUpdate | 该病毒家族是一种使用 NSIS 制作的具有下载行为的木马类程序。该家族样本运行后安装 浏览器扩展,收集用户的浏览记录并推送广告,也有可能下载恶意程序。(威胁等级中) | ||
Trojan/Win32.Bayrob | 此威胁是一种可以窃取用户信息的木马程序。该家族样本运行后连接远程服务器,收集 用户敏感信息并回传,包括操作系统版本、计算机名、计算机的 IP 地址、关于操作系统 和系统设置的信息、MAC 地址及运行服务列表等。(威胁等级中) |