学习移动互联网恶意代码描述规范

移动互联网恶意代码

在用户不知情或者未授权情况下,在移动终端系统中安装,运行以达到不正当目的,或违反国家相关法律法规行为的可执行文件,代码模块或代码片段.

移动互联网恶意代码样本

存放在移动互联网恶意代码的文件实体形态,其可以是独立的恶意代码载体文件.被感染型恶意代码感染后的文件对象,也可以是非文件载体恶意代码的文件镜像(包括但不限于引导性恶意代码的文件镜像,内存恶意代码的文件镜像).

要求:

  1. 认定标准
  2. 命名规则
  3. 描述格式

 

认定标准

当一个可运行于移动终端上的程序具有以下一种或者多种属性,可判定为移动互联网恶意代码.

(1)  恶意扣费

在用户不知情或未授权的情况下,通过隐蔽执行,欺骗用户点击等手段.订购各类收费业务或使用移动终端支付,导致用户经济损失的.

  1. 自动订购移动增值业务
  2. 自动利用移动终端支付功能进行消费的.
  3. 自动拨打收费声讯电话的
  4. 自动订购其他收费业务的
  5. 自动通过其他方式扣除用户资费的

(2) 隐私窃取

在用户不知情或未授权的情况下,获取涉及用户个人信息的,具有隐私窃取属性.

  1. 获取短信内容
  2. 获取彩信内容
  3. 获取邮件内容
  4. 获取通信录内容
  5. 获取通话记录
  6. 获取通话内容
  7. 获取地理位置内容信息
  8. 获取本机手机号码
  9. 获取本机已安装软件信息
  10. 获取本机运行进程信息
  11. 获取用户各类账户信息
  12. 获取用户各类密码信息
  13. 获取用户文件内容
  14. 记录分析用户行为的
  15. 获取用户网络交易信息的
  16. 获取用户联网信息
  17. 获取用户下载信息
  18. 利用移动终端麦克风,摄像头等设备获取音频,视频,图片信息的
  19. 获取其他用户个人信息的

(3)  远程控制

在用户不知情或未授权的情况下,能够接受远程客户端进行指令并进行相关控制的,具有远程控制属性.

  1. 由控制端主动发出指令进行远程控制
  2. 由受控端主动向控制端请求指令的

(4)  恶意传播

自动通过复制,感染,投递,下载等方式将自身,或自身的衍生物或其他恶意代码进行扩散的行为,具有恶意传播属性.

  1. 自动发送包含恶意代码连接的短信,彩信,邮件,WAP信息等.
  2. 自动发送恶意代码的彩信,邮件等
  3. 自动利用蓝牙通讯技术向其他设备发送恶意代码的.
  4. 利用红外通讯技术向其他设备发送恶意代码的
  5. 自动利用无线网络技术向其他设备发送恶意代码的
  6. 自动向存储卡等移动存储设备上复制恶意代码的
  7. 自动下载恶意代码
  8. 自动感染其他文件的

(5)  资费消耗

自动拨打电话,发送短信,发送彩信,发送邮件的,频繁连接网络,产生异常流量的.

(6)  系统破坏

通过感染,劫持,篡改,删除,终止进程等手段导致移动设备或者其他非恶意软件部分或全部功能无法正常运行.

   导致移动终端硬件设备,非恶意软件,操作系统,网咯通信功能无法正常运行,电池电量非正常,

移动终端发射功率异常的.

导致运行商通信网络无法正常运行.对用户文件,系统文件或者其他非恶意软件进行感染,劫持,篡改的。

(7)  诱骗欺诈

通过伪造,篡改,劫持短信,彩信,邮件,通信录,通信记录,收藏夹,桌面方式,诱骗用户已达到不正当目的。

(8)  流氓行为

长期驻留系统内存

长期占用移动设备终端中央处理器计算资源的

自动捆绑安装

弹出广告窗口等

 

命名规则

受影响操作系统编码.恶意代码属性主分类编码.恶意代码名称.变种名称.[扩展字段]

例子:

s.remote.dumusicplay.b.[毒煤]

受影响操作系统编码:

a : Android

b: Black Berry

bd: Bada

i: Iphone IOS

j: J2ME

m: MTK

p:Palm OS

s: Symbian

w. Windows Mobile\WinCE\Windows Phone

0: 其他类型的平台

 

恶意代码属性主分类编码

排序

 编码

属性主分类

1

payment

恶意扣费

2

privacy

隐私窃取

3

remote

远程控制

4

spread

 恶意传播

5

expense

资费消耗

6

system

系统破坏

7

fraud

 诱骗欺诈

8

rogue

流氓行为

恶意代码名称

恶意代码名称可使用解开安装包或压缩格式后的恶意代码主程序的可执行文件名.主要进程的名称,特殊字符串命名,亦可使用主程序体中第一个可用的ASCII码串命名,原则上应遵循使用第一个公开报告的名称.

扩展字段中的通用中文名称可使用安装包的中文名称,可执行文件运行揭秘那的中文名称,进程连接网站名称等,原则上遵循使用第一个公开报告的名称.

变种名称

如果恶意代码解开安装包或压缩格式后的主程序MD5值不一样,而行为,特征及其属性均相同,则认为是同一家族的恶意代码,这时需要用变种名称区分.变种名称根据样本发现顺序采用英文字母依次命名,第一个发现的样本命名为a,第二个为b,第27个为aa,第28个为ab…

 

posted @ 2012-12-22 22:49  小金马  阅读(1388)  评论(0编辑  收藏  举报