移动互联网恶意软件命名及分类
移动互联网恶意代码采用分段式格式命名,前四段为必选项,使用英文(不区分大小写)或数字标识;第五段起为扩展字段,扩展字段为可选项,内容使用中括号“[]”标识,主要用于标识其它重要信息或中文通用名称,扩展字段可增加多个。
受影响操作系统编码.恶意代码属性主分类编码.恶意代码名称.变种名称.[扩展字段]
Android的操作系统编码为a,如a.rogue.kuaidian360.a
移动互联网恶意代码属性主分类编码如下:
| 编码 | 属性主分类 |
| payment | 恶意扣费 |
| privacy | 隐私窃取 |
| remote | 远程控制 |
| spread | 恶意传播 |
| expense | 资费消耗 |
| system | 系统破坏 |
| fraud | 诱骗欺诈 |
| rogue | 流氓行为 |
恶意扣费
在用户不知情或未授权的情况下,通过隐蔽执行、欺骗用户点击等手段,订购各类收费业务或使用移动终端支付,导致用户经济损失的,具有恶意扣费属性。包括但不限于具有以下任意一种行为的移动互联网恶意代码具有恶意扣费属性:
在用户不知情或未授权的情况下,自动订购移动增值业务的;
在用户不知情或未授权的情况下,自动利用移动终端支付功能进行消费的;
在用户不知情或未授权的情况下,自动拨打收费声讯电话的;
在用户不知情或未授权的情况下,自动订购其它收费业务的;
在用户不知情或未授权的情况下,自动通过其它方式扣除用户资费的。
隐私窃取
在用户不知情或未授权的情况下,获取涉及用户个人信息的,具有隐私窃取属性。包括但不限于具有以下任意一种行为的移动互联网恶意代码具有隐私窃取属性:
在用户不知情或未授权的情况下,获取短信内容的;
在用户不知情或未授权的情况下,获取彩信内容的;
在用户不知情或未授权的情况下,获取邮件内容的;
在用户不知情或未授权的情况下,获取通讯录内容的;
在用户不知情或未授权的情况下,获取通话记录的;
在用户不知情或未授权的情况下,获取通话内容的;
在用户不知情或未授权的情况下,获取地理位置信息的;
在用户不知情或未授权的情况下,获取本机手机号码的;
在用户不知情或未授权的情况下,获取本机已安装软件信息的;
在用户不知情或未授权的情况下,获取本机运行进程信息的;
在用户不知情或未授权的情况下,获取用户各类帐号信息的;
在用户不知情或未授权的情况下,获取用户各类密码信息的;
在用户不知情或未授权的情况下,获取用户文件内容的;
在用户不知情或未授权的情况下,记录分析用户行为的;
在用户不知情或未授权的情况下,获取用户网络交易信息的;
在用户不知情或未授权的情况下,获取用户收藏夹信息的;
在用户不知情或未授权的情况下,获取用户联网信息的;
在用户不知情或未授权的情况下,获取用户下载信息的;
在用户不知情或未授权的情况下,利用移动终端麦克风、摄像头等设备获取音频、视频、图片信息的;
在用户不知情或未授权的情况下,获取其它用户个人信息的。
远程控制
在用户不知情或未授权的情况下,能够接受远程控制端指令并进行相关操作的,具有远程控制属性。包括但不限于具有以下任意一种行为的移动互联网恶意代码具有远程控制属性:
由控制端主动发出指令进行远程控制的;
由受控端主动向控制端请求指令的。
恶意传播
自动通过复制、感染、投递、下载等方式将自身、自身的衍生物或其它恶意代码进行扩散的行为,具有恶意传播属性。包括但不限于具有以下任意一种行为的移动互联网恶意代码具有恶意传播属性:
自动发送包含恶意代码链接的短信、彩信、邮件、WAP信息等;
自动发送包含恶意代码的彩信、邮件等;
自动利用蓝牙通讯技术向其它设备发送恶意代码的;
自动利用红外通讯技术向其它设备发送恶意代码的;
自动利用无线网络技术向其它设备发送恶意代码的;
自动向存储卡等移动存储设备上复制恶意代码的;
自动下载恶意代码的;
自动感染其它文件的。
资费消耗
在用户不知情或未授权的情况下,通过自动拨打电话、发送短信、彩信、邮件、频繁连接网络等方式,导致用户资费损失的,具有资费消耗属性。包括但不限于具有以下任意一种行为的移动互联网恶意代码具有资费消耗属性:
在用户不知情或未授权的情况下,自动拨打电话的;
在用户不知情或未授权的情况下,自动发送短信的;
在用户不知情或未授权的情况下,自动发送彩信的;
在用户不知情或未授权的情况下,自动发送邮件的;
在用户不知情或未授权的情况下,频繁连接网络,产生异常数据流量的。
系统破坏
通过感染、劫持、篡改、删除、终止进程等手段导致移动终端或其它非恶意软件部分或全部功能、用户文件等无法正常使用的,干扰、破坏、阻断移动通信网络、网络服务或其它合法业务正常运行的,具有系统破坏属性。包括但不限于具有以下任意一种行为的移动互联网恶意代码具有系统破坏属性:
导致移动终端硬件无法正常工作的;
导致移动终端操作系统无法正常运行的;
导致移动终端其它非恶意软件无法正常运行的;
导致移动终端网络通讯功能无法正常使用的;
导致移动终端电池电量非正常消耗的;
导致移动终端发射功率异常的;
导致运营商通信网络无法正常工作的;
导致其它合法业务无法正常运行的;
对用户文件、系统文件或其它非恶意软件进行感染、劫持、篡改的;
在用户不知情或未授权的情况下,对系统文件或其它非恶意软件进行删除、卸载、终止进程或限制运行的;
在用户不知情或未授权的情况下,对用户文件进行删除的。
诱骗欺诈
通过伪造、篡改、劫持短信、彩信、邮件、通讯录、通话记录、收藏夹、桌面等方式,诱骗用户,而达到不正当目的的,具有诱骗欺诈属性。包括但不限于具有以下任意一种行为的移动互联网恶意代码具有诱骗欺诈属性:
伪造、篡改、劫持短信,以诱骗用户,而达到不正当目的的;
伪造、篡改、劫持彩信,以诱骗用户,而达到不正当目的的;
伪造、篡改、劫持邮件,以诱骗用户,而达到不正当目的的;
伪造、篡改通讯录,以诱骗用户,而达到不正当目的的;
伪造、篡改收藏夹,以诱骗用户,而达到不正当目的的;
伪造、篡改通讯记录,以诱骗用户,而达到不正当目的的;
伪造、篡改、劫持用户文件,以诱骗用户,而达到不正当目的的。
伪造、篡改、劫持用户网络交易数据,以诱骗用户,而达到不正当目的的;
冒充国家机关、金融机构、移动终端厂商、运营商或其它机构和个人,以诱骗用户,而达到不正当目的的;
伪造事实,诱骗用户退出、关闭、卸载、禁用或限制使用其它合法产品或退订服务的。
流氓行为
执行对系统没有直接损害,也不对用户个人信息、资费造成侵害的其它恶意行为具有流氓行为属性。包括但不限于具有以下任意一种行为的移动互联网恶意代码具有流氓行为属性:
在用户不知情或未授权的情况下,长期驻留系统内存的;
在用户不知情或未授权的情况下,长期占用移动终端中央处理器计算资源的;
在用户不知情或未授权的情况下,自动捆绑安装的;
在用户不知情或未授权的情况下,自动添加、修改、删除收藏夹、快捷方式的;
在用户未授权的情况下,弹出广告窗口的;
导致用户无法正常退出的;
导致用户无法正常卸载、删除的;
在用户未授权的情况下,执行其它操作的。
恶意代码名称
恶意代码名称可使用解开安装包或压缩格式后的恶意代码主程序的可执行文件名、主要进程的名称或特征字符串命名,亦可使用主程序体中第一个可用的ASCII码串命名。原则上应遵循使用第一个公开报告的名称。
扩展字段中的通用中文名称可使用安装包的中文名称、可执行文件运行界面的中文名称、进程连接的网站名称等。原则上应遵循使用第一个公开报告的名称。
变种名称
如果恶意代码样本解开安装包或压缩格式后的主程序MD5值不一致,而其行为、特征及属性均相同,则认为是同一家族的恶意代码,这时需要用变种名称来区分。变种名称根据样本发现顺序采用英文字母依次命名。第一个发现的样本命名为a,第二个命名为b,第27个发现的样本命名为aa,第28个命名为ab,以此类推。
注:以上内容来自《移动互联网恶意代码描述规范》
