新闻链接：cbeK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3y4W2M7Y4c8Q4x3X3g2G2M7X3N6Q4x3X3g2U0L8W2)9J5c8Y4m8#2j5X3I4A6M7$3S2Q4x3V1k6E0j5h3W2F1i4K6u0r3x3e0m8Q4x3V1j5J5x3o6p5#2i4K6u0r3x3U0l9I4y4e0l9$3x3o6x3I4x3K6f1J5x3U0M7J5z5o6V1$3x3o6V1@1y4K6q4Q4x3V1j5J5x3o6p5#2x3o6j5H3x3K6p5K6y4e0t1J5y4K6t1^5z5e0j5H3z5e0b7%4x3g2)9#2k6W2)9J5k6h3S2@1L8h3H3`.
新闻时间：2015-06-03
新闻正文：
   2015年5月15日17时，国家互联网应急中心（以下简称“CNCERT”）接到中国反网络病毒联盟成员单位安天公司举报的“相册”系列Android恶意程序，通过短信内容中的35个dwz.cn短链接在国内26个省、直辖市传播，感染用户超过2000人，泄露用户短信51万条、通讯录联系人信息53万条，造成严重的信息安全威胁。CNCERT第一时间对该系列恶意程序所用的邮箱、传播服务器和控制服务器进行处置，有效控制了恶意程序的影响范围。现将具体情况通报如下：

        一、恶意程序机理分析情况

        “相册”系列恶意程序主要通过短信进行传播，黑客通过发送带有恶意程序下载链接的短信（相关地址见附件1），诱骗用户点击安装，具体的短信包括：

        1、“XX，这是过去的聚照，好怀念那时候的美好时光，现在发给你分享！57eK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8U0p5K6z5i4g2J5L8q4)9J5k6h3y4F1i4K6u0r3y4i4u0@1j5Y4q4B7i4@1f1J5i4K6R3H3i4K6W2p5

        2、“XX，见过那么隐私的合影吗 望珍藏 dd0N6%4N6%4i4K6u0W2k6s2N6*7i4K6u0W2j5$3&6Q4x3V1k6w2L8U0W2y4e0l9`.`. 惊喜哦，要点击允许，不然看不到”

        用户点击安装后，该恶意程序有如下恶意行为：

        1、        隐藏图标、激活设备管理器，防止用户卸载；

        2、        上传用户手机号、IMEI、设备型号、手机是否root、是否安装360手机安全软件等信息；

        3、        上传用户所有短信、通讯录联系人信息到指定的邮箱（a15778352422@vip.163.com）或者服务器  （a86K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3y4V1L8W2)9J5k6i4W2#2L8X3N6#2j5h3&6Y4L8r3W2Q4x3X3g2U0L8$3#2Q4x3V1k6i4k6h3u0m8M7r3W2Q4x3V1k6u0L8X3c8W2P5q4!0q4c8W2!0n7b7#2)9^5z5g2!0q4c8W2!0n7b7#2)9^5b7#2!0q4y4g2)9^5y4g2!0n7y4W2!0q4y4q4!0n7z5q4!0m8c8q4!0q4y4W2)9&6b7#2)9^5c8q4!0q4y4g2)9^5b7g2!0m8x3g2!0q4y4g2)9&6z5g2!0m8z5q4!0q4y4g2)9&6c8W2)9&6c8W2!0q4y4g2)9&6x3q4)9^5c8s2W2#2L8X3N6#2j5h3&6Y4L8r3W2Q4x3X3g2U0L8$3#2Q4c8e0g2Q4z5f1y4Q4b7e0S2Q4c8e0k6Q4z5o6S2Q4z5e0m8Q4c8e0W2Q4z5o6y4Q4b7V1c8Q4c8e0W2Q4b7e0y4Q4z5f1g2Q4c8e0k6Q4z5e0g2Q4b7U0m8Q4c8e0k6Q4b7U0y4Q4b7e0S2Q4c8e0g2Q4z5o6k6Q4z5p5y4Q4c8f1k6Q4b7V1y4Q4z5p5y4Q4c8e0k6Q4z5f1y4Q4z5p5c8Q4c8e0g2Q4z5p5q4Q4b7e0q4Q4c8e0g2Q4z5e0W2Q4b7e0S2Q4c8e0c8Q4b7U0S2Q4b7V1u0Q4c8e0k6Q4z5f1y4Q4b7V1q4u0f1q4!0q4y4q4!0n7c8q4)9^5c8q4!0q4y4q4!0n7b7g2)9^5c8g2!0q4z5g2)9&6c8W2!0m8z5g2!0q4y4g2)9&6b7W2!0n7c8q4!0q4c8W2!0n7b7#2)9&6b7R3`.`.

        4、        能够接收远程控制指令，执行拦截短信、删除短信、删除通讯录以及向指定号码发送指定内容短信等操作。

        CNCERT对恶意程序所使用的控制服务器进行取证分析，发现控制服务器后台具备完善的监控功能：

        1、可监控感染手机总数、在线手机数量、昨日安装数量、今日安装数量等信息。

        2、可实时监控用户短信、通讯录等信息，具有查询、统计和导出等功能。

        3、可实时对感染手机进行控制，包括“获取短信”、“获取通讯录”、“群发短信”等功能。

        黑客利用控制后台编制带有恶意程序下载链接的短信，并利用被控手机向通讯录联系人群发短信，诱骗联系人安装，1小时通过后台可群发短信超过1万条。

        二、影响范围

        我中心对该系列恶意程序的控制服务器和邮箱进行取证分析，发现该控制服务器监控感染手机超过1500部，邮箱窃取感染用户信息超过500人。

        经统计，“相册”恶意程序从5月14日开始通过短信传播，截至5月18日，感染该恶意程序的手机近2000部，目前仍有500多部手机处于受控状态，波及全国26个省、直辖市，其中湖南、四川、贵州3省感染用户最多，感染比例分别为19.82%、17.12%、8.56%。

        三、处置措施

        我中心分析确认该恶意程序的影响范围后，立即启动针对“相册”系列恶意程序的处置工作：

        1、协调中国电信、中国移动和中国联通等基础电信运营商对传播恶意程序和接收用户信息的恶意URL地址，包括29个恶意短地址和df4K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3y4V1L8W2)9J5k6i4W2#2L8X3N6#2j5h3&6Y4L8r3W2Q4x3X3g2U0L8$3#2Q4x3V1k6i4k6h3u0m8M7r3W2Q4x3V1k6u0L8X3c8W2P5q4!0q4z5q4!0n7c8W2)9&6b7W2!0q4z5q4!0m8x3g2)9^5b7#2!0q4z5g2)9&6z5q4!0n7b7W2!0q4y4W2)9&6y4W2!0m8c8q4!0q4y4g2!0m8y4q4)9^5y4q4!0q4y4#2)9&6x3q4)9^5y4W2!0q4x3#2)9^5x3q4)9^5x3R3`.`.

        2、协调域名注册商“成都飞数”和网易公司关停了用于接收用户信息的网站域名“yunguangli.com”和邮箱账户a15778352422@vip.163.com。

        3、协调“dwz.cn”网站运营者百度公司删除29个恶意短地址，并要求百度公司在转换APK文件下载链接时，拒绝为存在恶意行为的APK文件下载地址进行短地址转换。

      

                                                                                                                                                                       国家计算机网络应急技术处理协调中心

                                                                                                                                                                                      2015年5月19日

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课