215期恶意代码信息

2019/12/30-2020/01/05

 
内容提要:经安天检测分析,本周有 8 个移动平台恶意代码和 6 个 PC 平台的恶意代码和漏洞值得关注

平台分类 关注方面 名称与发现时间 相关描述
移动恶意代码
 
新出现的样本家族 Trojan/Android.SwordSpy.a[prv,rmt,exp] 2019-12-28 该应用程序私自窃取用户的通话记录、通讯录、短信记录、设备固件等信息,私自对 通话进行录音,未经允许发送短信,联网上传指定数据或文件到服务器并获取远程指 令,根据指令执行相应行为,这些行为会造成用户隐私泄露和资费消耗,建议立即卸载。(威胁等级高)
Trojan/Android.Youzicheng.a[exp,rog] 2019-12-29 该应用程序伪装邮件应用,运行隐藏图标,后台私自下载安装代理相关文件并提权, 可能用于内网渗透,存在较大风险,建议卸载。(威胁等级中)
G-Ware/Android.ApkolToot.a[rog,exp,fra] 2019-12-30 该应用程序伪装色情应用,本身无实际功能,加载广告,私自提权,下载、静默安 装未知应用,造成用户资费消耗,建议不要使用。(威胁等级低)
较为活跃样本 Trojan/Android.SmsSpy.cr[prv,exp] 该应用程序运行获取用户短信并转发至指定网址,造成用户的隐私泄露,建议卸载。(威胁等级中)
Trojan/Android.ElitSevda.a[prv,spy] 该应用程序运行获取用户设备信息,监听用户通话并录音,监听用户短信,并通过 邮件上传,造成用户隐私泄露,请立即卸载。(威胁等级中)
Trojan/Android.Youzicheng.c[prv,rog] 该应用程序运行隐藏图标,窃取用户 facebook、chrome 等应用的 cookie 并上传,造 成用户隐私泄露,建议卸载。 (威胁等级中)
Trojan/Android.SmsSend.pw[exp] 该应用程序伪装成正常应用,私自调用发送短信,可能会造成资费消耗,建议卸载。(威胁等级低)
G-Ware/Android.Dowgin.i[rog,exp] 该应用程序被恶意重打包捆绑流氓广告插件,弹出广告并诱导下载应用,造成用户 流量消耗,存在流氓行为,建议卸载。(威胁等级低)
PC平台恶意代码 活跃的格式文档漏洞、0day漏洞 Microsoft PowerPoint 远程代码执行漏洞 (CVE-2019-1462) 当 Microsoft PowerPoint 软件无法正确处理内存中的对象时,会触发远程代码执行漏 洞。成功利用此漏洞的攻击者可以在当前用户的上下文中运行任意代码,如果当前 用户使用管理用户权限登录,攻击者便可控制受影响的系统,随后安装程序;查看、 更改或删除数据;或者创建拥有完全用户权限的新帐户。(威胁等级高)
较为活跃样本 Trojan/Win32.Inject 此威胁是一种木马类程序。该家族将自身以某种方式注入到其它进程中(避免用户 和杀毒软件感知、清除),隐藏自身,并在后台执行恶意行为。因此该病毒家族是 一种通过行为来命名、定性的木马类程序。(威胁等级中)
Trojan/Win32.StartPage 此威胁是一种木马类程序。该家族会将浏览器首页地址修改为指定地址,这些地址 通常是广告页地址。该家族的有些变种会将浏览器首页地址修改为挂马网站或钓鱼 网站地址;还有部分变种会修改系统 host 文件,使用户无法正常访问安全网站。(威胁等级中)
Trojan[PSW]/Win32.Fareit 此威胁是一种盗取用户账户密码等信息的木马类程序。该家族木马入侵用户系统后, 会盗取用户的账户密码等信息。部分家族变种会在被感染的电脑中安装可以采掘比 特币的“CGMiner”软件,并将采掘到的比特币并发送给黑客。(威胁等 级中)
GrayWare[AdWare]/Win32.DomaIQ 此威胁是一种广告类的灰色软件程序。感染该家族后,用户会在网页上看到广告信息, 如搜索商品、弹出式广告、插播广告、文字链接广告等。该病毒被分布到 IE、谷歌、 火狐等浏览器插件及金融平台中。该家族感染浏览器后会修改浏览器设置(如:主页、 搜索设置等);有些变种还会修改 IE 浏览器的加载时间阈值,并将火狐浏览器装入 锁文件,以阻止其他软件修改浏览器设置等。(威胁等级低)
GrayWare[AdWare]/Win32.Lollipop 此威胁是一种灰色软件。该家族运行后,会在用户浏览网页时弹出广告,还可以重 定向用户的搜索结果、监测用户行为、在系统中下载应用程序并运行 , 并将用户信息 发送给黑客。该家族通常放置在程序网站上,或与一些第三方软件的安装程序捆绑 在一起。(威胁等级低)