224期恶意代码信息
2020/03/23-2020/03/29
内容提要:经安天检测分析,本周有 8 个移动平台恶意代码和 6 个 PC 平台的恶意代码和漏洞值得关注
平台分类 | 关注方面 | 名称与发现时间 | 相关描述 |
移动恶意代码 |
新出现的样本家族 | Trojan/Android.clevguard.b[prv,spy] 2020-03-22 | 该应用程序伪装为系统升级服务,运行后隐藏图标,激活设备管理器,窃取用户短信、 联系人、通话记录、地理位置、手机固件信息、手机视频图片文件、wifi 信息、记事 本信息、社交软件信息,私自通话录音、截屏,并将用户隐私上传至服务器。造成 用户隐私泄露,建议卸载。(威胁等级高) |
Trojan/Android.PuaImei.b[prv,spy] 2020-03-23 | 该应用程序伪装为正常应用,包含风险代码,运行通过借助无障碍服务获取用户行 为信息、浏览器输入等并上传,造成用户的隐私泄露和资费消耗,建议卸载。(威胁等级中) | ||
Trojan/Android.FakeJioPrime.c[exp,spr] 2020-03-24 | 该应用程序伪装为正常程序,无实际功能,运行私自群发推广链接短信,访问推广 网页诱导用户下载安装,会造成用户资费损耗,请卸载。(威胁等级低) | ||
较为活跃样本 | RiskWare/Android.Heineken.a[prv] | 该应用程序运行后请求激活设备管理器,包含风险代码,触发下载未知应用,获取 用户的联系人信息、邮箱等信息,联网上传用户 imei、sim 卡等信息,可能与其他应 用配合使用,警惕其造成用户的隐私泄露,建议谨慎使用。(威胁等级中) | |
Trojan/Android.CovidLock.a[rog,lck] | 该应用程序伪装为新冠肺炎相关程序,运行诱导用户激活设备管理器,隐藏图标, 置顶界面勒索用户付费解锁,造成用户手机无法正常使用,建议卸载。(威胁等级中) | ||
Trojan/Android.SpyLoan.a[prv,rmt,spy] | 该应用程序包含恶意代码,接收远程指令,上传用户短信、联系人、通话记录等隐 私信息,造成用户隐私泄露,建议卸载。 (威胁等级中) | ||
Trojan/Android.Knobot.a[prv,rog] | 该应用程序伪装为正常应用,开机自启,运行后隐藏图标并加载恶意子包,窃取用 户短信、彩信信息,当用户尝试进入设置页面卸载时,会强制跳转界面,达到防卸 载的目的,造成用户隐私泄露,影响手机正常体验,建议立即卸载。(威胁等级中) | ||
Trojan/Android.SmsSpy.cu[prv] | 该应用程序运行后监听用户短信,并上传到指定网址,会造成用户隐私泄露,建议 卸载。(威胁等级低) | ||
PC平台恶意代码 | 活跃的格式文档漏洞、0day漏洞 | GDI+ 远程代码执行漏洞(CVE-2020-0881) | Windows 图形设备接口 (GDI) 处理内存中对象的方式中存在远程代码执行漏洞。成功 利用此漏洞的攻击者可能会控制受影响的系统。攻击者可随后安装程序;查看、更 改或删除数据;或者创建拥有完全用户权限的新帐户。(威胁等级高) |
较为活跃样本 | Trojan[Banker]/Win32.Banker | 此威胁是一种以窃取网络银行敏感信息 ( 如银行账号、密码、信用卡信息等)为目的 的木马类程序。该家族通过恶意网站或已被感染的邮件进行传播。该家族可以监控 用户的网络行为,在用户登陆银行网站时记录用户信息,并将所有收集的信息发送 给黑客。(威胁等级中) | |
Trojan/Win32.Sharik | 此威胁是一种木马类程序。该家族通过映射内存的方式将自身注入的合法进程中运 行,并添加注册表项实现自启动。该家族会主动连接远程服务器,接受攻击者命令。 该家族还可会在电脑中下载、执行文件等。(威胁等级中) | ||
Trojan/Win32.Vobfus | 此威胁是一种木马类程序。该家族运行后会修改注册表,阻止用户显示隐藏文件夹, 连接网络下载其它恶意程序。该家族通常通过网络及可移动设备进行传播。(威胁等级中) | ||
GrayWare[AdWare]/Win32.HotBar | 此威胁是一种可以推送广告的灰色软件家族。该家族样本运行后下载并安装推广应 用,在用户浏览网页时可以弹出广告、占用系统资源、影响用户使用。(威胁等级低) | ||
GrayWare[AdWare]/Win32.Eorezo | 此威胁是一种恶意广告木马类程序,可以在用户使用 IE 浏览器浏览网页时,弹出广 告页面。该家族样本可能通过木马释放,运行后复制自身到系统文件夹下,修改注 册表用以自启动。(威胁等级低) |