192期恶意代码信息

2019/07/15-2019/07/21

 
内容提要:经安天检测分析,本周有 8 个移动平台恶意代码和 6 个 PC 平台的恶意代码和漏洞值得关注

平台分类 关注方面 名称与发现时间 相关描述
移动恶意代码
 
新出现的样本家族 Trojan/Android.FakeBank.x[prv,exp,rmt] 2019-07-14 该应用程序伪装为银行相关,运行请求激活设备管理器,生成伪随机密码诱导用户使 用,联网上传设备信息、短信信息等隐私内容,拦截短信,解析短信指令执行相关操 作,私自发送短信,造成用户的资费消耗和隐私泄露,可能造成用户的财产损失,建 议卸载。(威胁等级高)
G-Ware/Android.Bianlian.a[exp,rog] 2019-07-15 该应用程序伪装正常应用,实际联网接收指令,随机变换使用界面,推送第三方贷款、 投资理财类产品,该类服务没有安全保障、可能造成用户财产损失,建议卸载。(威胁等级中)
RiskWare/Android.FakeSamSungUpdate. a[exp,fra]2019-07-16 该应用程序伪装 SamSung 更新服务,运行频繁推送广告,下载更新会跳转第三方更 新平台,该平台通过限速诱导用户选择付费下载,牟取利益,请谨慎使用。(威胁等级中)
较为活跃样本 Trojan/Android.Jiakey.a[prv,rmt,spy] 该应用程序是一款间谍软件,运行后接收远程控制命令,窃取用户短信、联系人、通 话记录、手机基本信息,地理位置,社交软件信息,请求 root 权限,私自拍照、录音、 录像,并将用户隐私上传至服务器。造成用户隐私泄露,建议立即卸载。(威胁等级中)
Trojan/Android.MLogger.a[prv,exp] 该应用程序能够隐藏图标,运行收集用户手机的短信、彩信、通话记录和 app 列表 等日志信息,并上传至服务器,请用户谨慎使用,非自主安装建议卸载。(威胁等级中)
Trojan/Android.huanji.a[exp,prv,bkd] 该应用程序包含恶意代码,会联网获取杀毒软件列表逃避检测,模拟点击恶意创建 快捷方式,上传用户设备等隐私信息,并且留有后门,能联网下载并静默安装任意 应用,恶意刷量,发送大量网络请求,造成用户资费损耗和隐私泄露,建议卸载。(威胁等级中)
G-Ware/Android.FakeApp.go[fra,exp] 该应用程序伪装正常应用,运行加载色情界面,诱导点击下载色情样本,请注意提 示信息,使用健康绿色软件。(威胁等级中)
Trojan/Android.Locker.bs[rog,lck] 该应用程序运行激活设备管理器,修改锁屏 PIN 码,致使用户手机无法正常使用, 建议卸载该应用。(威胁等级低)
PC平台恶意代码 活跃的格式文档漏洞、0day漏洞 Windows DHCP 服务器远程代码执行漏 洞(CVE-2019-0785) 当攻击者向 DHCP 故障转移服务器发送经特殊设计的数据包时,Windows Server DHCP 服务中存在内存损坏漏洞。成功利用此漏洞的攻击者可以在 DHCP 故障转移 服务器上运行任意代码或者导致 DHCP 服务无响应。(威胁等级高)
较为活跃样本 Trojan[Backdoor]/MSIL.Bladabindi 此威胁是一种使用 C# 语言编写的具有后门行为的木马家族。该家族的样本为 NJ Rat 远控所生成的被控制端,在执行后会与远程服务器通讯并接收远程服务器的控 制。该样本可能具有窃密行为和破坏行为。(威胁等级中)
Trojan[SMS]/J2ME.Agent 此威胁是一种基于 Java ME 架构的木马。该家族的样本在执行后会在后台发送付费的 短信,使用户的财产受到损失。同时该样本还会收集用户设备上的信息并回传。(威胁等级中)
RiskWare[NetTool]/MSIL.NetFilter 此威胁是一种风险软件家族。该家族的样本在执行后会在启动项添加自身、同时注 入其他进程、更改浏览器设置、安装浏览器扩展并添加一个代理设置。(威胁等 级中)
RiskWare[Server-Proxy]/Win32.Sock4Proxy 此威胁是一种具有代理功能的风险软件家族。该家族的样本在执行后会利用远程的 服务器作为代理服务器,劫持用户的网络流量。(威胁等级中)
GrayWare[AdWare]/Win32.Suppad 此威胁是一种基于 Windows 32 位平台的具有广告行为的灰色软件程序。该家族的样 本在执行后会在通知区域和浏览器中弹出广告,影响用户的使用体验。(威胁等级低)