屏蔽10086端口短信类手机病毒专项监测情况-中国移动.DOC

附件2：4月份“屏蔽10086端口短信类手机病毒”专项监测情况 广东公司4月监测数据如下： 序号 名称（英文） 名称（中文） 当期感染用户数 当期感染用户占比 特征描述 1 s.payment.CoolCaller.a 吸血狂魔 104172 0.11% 伪装成“来电显示”一类具有实际功能的软件，欺骗用户下载，一旦下载安装后，病毒包同时在后台安装 1、 安装后自动运行，开机自启。 2、 后台私自联网，下载病毒包并私自安装。 3、 私自向某个号码发送包含用户手机信息的短信，窃取用户信息 4、 未经用户允许，多次恶意订购资费游戏，屏蔽10086短信的确认通知。让用户产生较大的经济损失。 该病毒从3下载指令，通过指令从http://n0kia.cc/fee/CoolCaller1_5_signed.SIS下载病毒安装包，该 s.payment.CoolCaller.b s.payment.CoolCaller.c s.payment.CoolCaller.d s.payment.CoolCaller.e s.payment.CoolCaller.f s.payment.CoolShower.a s.payment.CoolShower.b s.payment.CoolShower.c s.payment.CoolShower.d 2 s.payment.SoftVMS.a 伪诺基亚升级诱骗 57006 0.06% 1、该病毒以“software”为名，诱骗用户下载安装，下载安装后无图标。 2、病毒在安装后后台不定期联网，联网过程中下载手机游戏，扣取用户费用。 3、病毒在后台下载游戏时，获取病毒服务器指令，下载XML，该XML在病毒下载手机游戏时屏蔽指定关键字的短信，关键字包由于返回的确认短信包括关键所以隐瞒了用户资费信息，造成用户在不知情下，被恶意扣取费用。 3 s.system.SMSMgrProject.a 伪系统升级 64681 0.07% 1、该病毒侵入用户手机后自行启动并在后台联网。 2、接收指令，屏蔽10086头、106680011、106588995510658327的短信。 3、包含下载恶意插件的代码和行为，但没有实际下载。在后续的过程中可能会涉及扣费的行为。 4 s.privacy.AbTheme.a 短信破坏王 42784 0.04% 该病毒在用户手机安装后无图标显示，安装过程中将激活两个恶意进程在后台不定时联网,大量消耗用户的手机流量,并向多个地址发送用户手机信息。该病毒不但删除通讯记录中的联网记录，而且使短信操作运行迟缓，甚至短信接收丢失，同时还会屏蔽手机接收到的10086短信。一系列破坏性行为不但泄露用户隐私，更会对用户对手机的正常使用造成严重影响！ 测试结果： 一、运行提示 软件安装时自动联网。 二、经过查询短信珍藏，话费清单（无扣费记录），WAP记录： s.privacy.InstallGuide.a s.privacy.InstallGuide.b s.privacy.InstallGuide.c s.privacy.InstallGuide.d s.privacy.InstallGuide.e s.privacy.InstallGuide.f s.privacy.InstallGuide.g s.privacy.InstallGuide.h s.privacy.InstallGuide.l s.privacy.InstallGuide.j s.privacy.InstallGuide.k 5 s.system.Batch_SV.a 游戏炸弹 24462 0.03% （1）该sis文件为一款手机游戏。它捆绑了插件Orc.sis，也即起作用的病毒文件。Orc文件释放并启动病毒体sysobsvc.exe和msgobsvc.exe。（2）中毒后，手机主要症状为接收不到10086的短信。（3）有时程序会自动联网。 测试结果： 一、运行提示 软件安装完是个插件 二、经过查询短信珍藏，话费清单（无扣费记录），查询WAP记录：http://4/symloadnew/g.x?imsi=460002216137353ver=8.0.16 s.system.EwSysApp.b s.system.EwSysApp.c 6 s.payment.SCSMS.a 魔霸 18