68期恶意代码信息
内容提要:经安天检测分析,本周有8个移动平台恶意代码和5个PC平台的恶意代码值得关注
平台分类 | 关注方面 | 名称与发现时间 | 相关描述 |
移动恶意代码 |
新出现的样本家族 |
RiskWare/Android.adplugin.a[exp] 2016-12-05 |
该应用为一款广告插件,运行后,通过点击触发,在通知栏推送广告,同时会将用户的手机固件信息等上传至个人的云网站,造成用户资费消耗和隐私泄漏,建议卸载。(威胁等级低) |
PornWare/Android.App4Porn.a[rog] 2016-12-07 |
该类应用为色情播放器程序,包含色情敏感内容,建议使用健康绿色软件。(威胁等级低) | ||
Trojan/Android.MFSocket.a[prv,spy] 2016-12-08 |
该应用运行会获取Root权限释放资源文件adbDownload,会联网通过Socket通信,根据获取到的指令上传用户的固件信息、短信、GPS、图片、语音视频、通讯录和通话记录等隐私信息,另外检测是否包含暴恐相关信息。(威胁等级中) | ||
较为活跃样本 | Trojan/Android.Dropper.d[exp,rog] | 该应用包含危险行为代码,会私自下载安装软件,造成用户流量等资费消耗。(威胁等级高) | |
G-Ware/Android.HiddenAds.an[rog,exp] | 该应用会伪装成Facebook应用,运行后会隐藏图标,后台加载弹窗广告,造成用户资费损耗,建议立即卸载。(威胁等级低) | ||
Trojan/Android.FakeApp.cf[exp] | 该程序会伪装成Whypay应用,运行后会隐藏自身图标,并请求系统辅助功能,申请不通过则会不断弹出置顶窗口持续申请,影响用户正常使用。同时,静默下载安装正常的Whypay。存在静默下载安装未知应用的代码,会造成用户资费消耗,建议卸载。(威胁等级中) | ||
Trojan/Android.Downloader.cr[exp,rog] | 该程序会伪装正常软件,安装后无图标显示,会静默下载并安装软件,存在隐私泄露,流量消耗等安全隐患,建议用户卸载。(威胁等级中) | ||
Trojan/Android.Rootnik.m[rog,sys] | 该应用会伪装成正常应用,运行后会获取Root权限,下载并静默安装应用,包含静默卸载方法,会造成用户资费损耗和系统稳定,建议卸载。(威胁等级高) | ||
PC平台恶意代码 | 活跃的格式文档漏洞、0day漏洞 | Apache Tomcat多版本远程代码执行(CVE-2016-8735) | Tomcat是运行在Apache上的应用服务器,支持运行Servlet/JSP应用程序的容器——Tomcat可看作是Apache的扩展,不过实际上Tomcat也可以独立于Apache运行。Oracle修复了JmxRemoteLifecycleListener反序列化漏洞(CVE-2016-3427)。Tomcat中也使用了JmxRemoteLifecycleListener这个监听器,但是Tomcat并没有及时升级,所以导致了这个远程代码执行漏洞。(威胁等级高) |
较为活跃样本 | Trojan[Ransom]/MSIL.Vulnsym | 此威胁是一类勒索型木马的解密程序。该家族样本运行后为一个对话框形式的解密程序,需要填入指定的密钥,应为某种勒索型木马的解密程序。(威胁等级中) | |
Trojan/Win32.Recslurp | 此威胁是一种下载恶意代码并运行的木马家族。该家族样本运行后,会复制自身到三个系统的关键位置并分别命名为Csrss.exe、Rundll.exe、Svchost.exe,运行后可以改变系统防火墙策略,连接远程服务器下载等,有一定风险。(威胁等级中) | ||
Trojan[Downloader]/JS.Cryptoload | 此威胁是一种下载恶意代码的木马家族。该家族样本是JavaScript脚本,包含下载恶意代码的URL,其他脚本可以对其进行调用,下载可以加密用户文件的恶意代码。(威胁等级中) | ||
Trojan[Backdoor]/Win32.Thunkan | 此威胁是一种后门程序。该家族样本使用了简单的加壳手段来隐藏自身的关键字符串,运行后会建立后门,可以从远程服务器下载其他恶意代码并运行,有一定威胁。(威胁等级高) |