当前位置:文档之家 › 中国互联网协会反网络病毒联盟《移动互联网恶意代码描述规范》.pdf (1)

中国互联网协会反网络病毒联盟《移动互联网恶意代码描述规范》.pdf (1)

  • 格式:pdf
  • 大小:203.28 KB
  • 文档页数:11

下载文档原格式

  / 11

合集下载

《网络安全》_第03章05节 恶意代码技术_恶意代码分析

《网络安全》_第03章05节 恶意代码技术_恶意代码分析

创建文件 系统对象
写方式打开 写入一行字符 文本文件
恶意代码静态分析技术
4、反汇编分析 、 静态反汇编分析是指分析人员借助反汇编工具来对恶意代码样本 进行反汇编,从反汇编出来的程序清单上根据汇编指令码和提示信息 着手分析。 通常,恶意代码样本的存在形式是可执行文件,动态链接库,软 件库或其他形式的文件,而这些文件在标准的文本编辑器中则以乱码 显示,无法查看。编译器在编译时,把源代码转换为可执行代码时, 产生二进制数据如指令操作码、文本、标识符等,并以目标文件的形 式保存。
恶意代码分析技术的概念恶意代码静态分析技术恶意代码动态分析技术常见恶意代码分析工具学会自己动手分析恶意代码恶意代码分析技术恶意代码分析技术恶意代码分析技术概述静态分析技术动态分析技术分析工具介绍恶意代码分析实例演示恶意代码分析技术概述恶意代码分析技术概述恶意代码的概念恶意代码是指一切旨在破坏计算机或者网络资源的可用性机密性和完整性的程序
恶意代码静态分析技术
优点 恶意代码没有动态执行,对分析系统不会造成破坏,比较安全。 静态分析方法可以在可执行文件执行之前对整个代码的流程有个 全局掌握。 不受具体进程执行流程的制约,可以对代码进行详尽的细粒度的 分析。
恶意代码静态分析技术
缺点 由于静态分析本身的局限性,分析内容不全面,存在漏报。 绝大多数静态分析技术只能识别出已知的病毒或恶意代码,对采 用了编码的多态变种或加壳压缩处理的程序则无能为力。
恶意代码分析技术
恶意代码分析技术概述 静态分析技术 动态分析技术 分析工具介绍 恶意代码分析实例演示
27
恶意代码动态分析技术
动态分析法是通过监视恶意代码运行过程来分析恶意代码的 方法。动态分析法可根据是否分析代码语义分为动态跟踪法和 外部监测法。

网络安全中的恶意代码检测与防范

网络安全中的恶意代码检测与防范

网络安全中的恶意代码检测与防范一、恶意代码的概念与特征恶意代码(Malware)是一种破坏性的软件,它会在用户不知情的情况下进入计算机系统,通过窃取信息、破坏文件、占用系统资源等方式对用户造成伤害。

目前常见的恶意代码包括病毒(Virus)、蠕虫(Worm)、木马(Trojan horse)、间谍软件(Spyware)等。

这些恶意软件会利用漏洞或者用户的不当行为来攻击用户的计算机系统。

例如,用户不小心点击了一个恶意链接或者下载了一个感染了病毒的程序,都有可能导致计算机系统遭到破坏。

恶意代码的特征包括潜在性、不可预测性、变异性和传染性。

其中,变异性是恶意代码最为致命的特征之一。

由于恶意代码的变异性比较强,导致传统的恶意代码检测技术失效。

因此,基于行为的恶意代码检测技术逐渐应用广泛。

二、恶意代码检测技术(一)基于签名的恶意代码检测基于签名的恶意代码检测是一种传统的检测技术,它通过比对已知的恶意代码的特征(即病毒特征库)和目标文件的特征来识别恶意代码。

如果目标文件的特征与病毒特征库中的恶意代码匹配,那么该目标文件就被认为是恶意的。

基于签名的恶意代码检测技术的优点是准确性高、误报率低,但其缺点是无法检测出新出现的恶意代码。

(二)基于行为的恶意代码检测随着恶意代码的变异性不断增强,基于签名的恶意代码检测技术的局限性日益显现。

与此同时,基于行为的恶意代码检测技术逐渐成为了主流。

基于行为的恶意代码检测技术直接针对恶意代码的行为特征进行监测,从而判断该程序是否为恶意代码。

例如,当一个程序在计算机上执行某些恶意行为,例如窃取用户的个人信息或占用计算机资源时,基于行为的恶意代码检测技术会自动识别出来。

基于行为的恶意代码检测技术的优点是可适应新兴的恶意代码,但其缺点是误报率较高。

三、恶意代码防范措施(一)注意网络安全意识有一个好的网络安全意识可以更好地保护自己的计算机系统。

用户应该牢记的是,不要轻易打开陌生邮件、不要随便点击任何链接,并且不要轻易下载未知来源的程序,以避免受到恶意代码的攻击。

网络安全06 - 恶意代码

网络安全06 - 恶意代码


不进行复制的和进行复制的
恶意代码的特征

恶意代码日趋复杂和完善。 恶意代码编制方法和发布速度更快。 利用系统和网络漏洞及脆弱性进行传播和 感染的恶意代码急剧增加,开创了恶意代 码发展的新时期。
恶意代码的发展趋势



传播方式不再以存储介质为主要的传播载 体,网络成为计算机病毒传播的主要载体。 传统病毒日益减少,网络蠕虫成为最主要 和破坏力最大的恶意代码类型。 传统病毒与木马技术相结合,出现带有明 显病毒特征的木马或者带木马特征的病毒。


按连接方式的不同

计算机病毒的分类 - 2

良性病毒


只是为了表现自身,并不彻底破坏系统和数据,但会 占用大量CPU时间,增加系统开销,降低系统工作效 率的一类计算机病毒 该类病毒多为恶作剧者的产物
一旦发作,就会破坏系统或数据,造成计算机系统瘫 痪的一类计算机病毒 该类病毒危害极大,有些病毒发作后可能给用户造成 不可挽回的损失 如“黑色星期五” 、木马、蠕虫病毒等
潜伏寄宿传染木马有隐藏性的可与远程计算机建立连接使远程计算机能够通过网络控制本地计算机的恶意程序隐藏信息窃取控制蠕虫通过计算机网络自我复制消耗系统资源和网络资源的程独立复制扩散逻辑炸弹嵌入计算机系统的有特定触发条件试图进行破坏的计算机程序潜伏破坏条件触发脚本病毒能够从主机传送到客户计算机上执行破坏功能的代码移动漏洞用户级rootkit通过替代或者修改应用程序进入系统从而实现隐藏和创建后门的程序隐蔽潜伏核心级rootkit嵌入操作系统内核进行隐藏和创建后门的程序隐蔽潜伏恶意代码分类前者本质上来说是不能独立于应用程序或系统程序的程序段例如病毒逻辑炸弹和后门

传播方式:文件感染、Email、WWW、局域网

信息安全管理制度恶意代码防治规范

信息安全管理制度恶意代码防治规范

信息安全管理制度恶意代码防治规范为了保障企业信息安全,有效防止恶意代码的威胁,需要建立完善的信息安全管理制度。

本文将介绍一套适用于企业的恶意代码防治规范,并加以详细解释。

规范一:恶意代码防范策略恶意代码防范策略是企业信息安全管理的基础。

首先,企业应建立全面的防火墙系统,及时检测和阻止恶意代码的入侵。

其次,定期升级和更新安全软件和病毒库,及时修复已知漏洞。

再次,加强员工的信息安全意识培训,提升其对恶意代码的辨识能力和防范意识。

规范二:网络安全设备规范在企业网络中,维护和管理网络安全设备是防止恶意代码侵入的重要措施。

首先,网络安全设备应定期巡检和维护,确保其正常运行。

其次,配置合理的网络访问控制策略,限制非法访问和恶意代码的传播。

再次,及时更新网络安全设备的固件和补丁,修复已知漏洞。

此外,定期备份数据和系统,以防数据丢失和系统瘫痪。

规范三:恶意代码检测与处理恶意代码检测与处理是及时发现和应对恶意代码的重要手段。

首先,企业应在关键系统中部署恶意代码检测工具,定期对系统进行全面扫描。

其次,建立应急响应机制,对发现的恶意代码立即采取处置措施,包括隔离感染源、清除病毒并修复系统。

再次,定期组织信息安全演练,提升员工应急反应和处理能力,确保及时有效的应对恶意代码威胁。

规范四:应用软件和系统安全规范应用软件和系统安全规范是防止恶意代码侵入的重要环节。

首先,企业应严格控制系统和应用软件的访问权限,限制非授权访问。

其次,及时更新和升级应用软件和系统,修复已知漏洞。

再次,禁用或限制危险的系统功能和服务,减少潜在的攻击面。

此外,企业应对关键系统进行加固和防护,确保其安全可靠。

规范五:恶意代码事件报告与处置恶意代码的事件报告与处置是实施信息安全管理的关键环节。

首先,企业应建立健全的恶意代码事件报告机制,明确责任人和报告流程。

其次,对恶意代码事件进行全面调查,找出入侵途径和感染路径,以便及时采取纠正措施。

再次,对事件后果进行评估,尽可能减少和弥补损失。

第九章+系统安全恶意代码

第九章+系统安全恶意代码

(backdoor/trapdoor) 问。
可移动代码 (mobile code)
能够不变的植入各种不同平台,执行时有身份语义的软 件(如,脚本、宏或者其他可移动代码)
名称
描述
利用(Exploits)
针对某一漏洞或一组漏洞的代码。
下载者(downloader) 可以在遭受攻击的机器上安装其他条款的程序。通 常,下载者是通过电子邮件传递的
蠕虫
可独立执行的程序,并可以向网络中其他主机传播自身 副本。
逻辑炸弹
入侵者植入软件的程序。逻辑炸弹潜藏到触发条件满足 为止;则该程序激发一个未授权的动作。
木马
貌似有用的计算机程序,但也包含能够规避安全机制的 潜藏恶意功能,有时利用系统的合法授权引发木马程序。
后门、陷门
能够绕过安全检查的任意机制,允许对未授权的功能访
– 是嵌入到某些合法程序中的代码段,当遇到某 些特定条件时爆发。
– 引爆条件有多样:某些特定文件存在与否、日 期、星期、某特定用户运行应用程序等。
– 逻辑炸弹爆炸,将修改或删除文件中的数据甚 至整个文件,引起系统停机或其他危害。
• 可移动代码
– 能够不变的植入各种不同平台,执行时有身份语义的软件(如 ,脚本、宏或者其他可移动代码)
• Web用户:有漏洞的Web用户访问被Nimda感染的Web服务器,则 用户工作站也会被感染。
间谍软件
• 他们以主动收集用户个人信息、相关机密文件或隐私数据为主, 搜集到的数据会主动传送到指定服务器。
• 间谍软件发展之初,多被一些在线广告商以及Kazaa等音乐交换网 站使用,这些公司将一些监控程序放在用户电脑内监视其网上行 为、收集其兴趣爱好,或者在空闲时间进行其它操作。

恶意代码 分类 国标 19327

恶意代码 分类 国标 19327

恶意代码分类国标19327摘要:一、恶意代码概述二、国标19327 对恶意代码的分类三、各类恶意代码的特点及实例四、国标19327 对网络安全的重要性正文:恶意代码是指一类具有恶意目的或对计算机系统及用户造成潜在威胁的程序代码。

这类代码往往会在用户不知情的情况下,窃取用户信息、破坏系统功能或传播给其他用户。

为了更好地识别和防范恶意代码,我国制定了国标19327,对恶意代码进行了详细的分类。

根据国标19327,恶意代码可分为以下几类:1.病毒:一种自我复制并传播的程序,能够在计算机系统中自动执行,对系统资源造成占用和破坏。

例如,熊猫烧香病毒。

2.木马:一种隐藏在正常程序中的恶意代码,能够在用户不知情的情况下,窃取用户信息或远程控制用户计算机。

例如,灰鸽子木马。

3.蠕虫:一种能够独立传播的恶意代码,能够在计算机网络中自动传播,占用网络资源,对网络造成拥堵和破坏。

例如,SQL Slammer 蠕虫。

4.后门:一种为攻击者提供非法访问权限的程序,攻击者可以利用后门,绕过系统的安全防护措施,对系统进行控制和破坏。

例如,Backdoor.WinShell 后门。

5.僵尸程序:一种能够在计算机系统中自动执行的恶意代码,主要用于攻击其他计算机系统或参与网络犯罪活动。

例如,Botnet 僵尸网络。

6.间谍软件:一种能够在用户不知情的情况下,窃取用户信息的程序。

例如,Spybot 间谍软件。

7.广告软件:一种能够在计算机系统中自动显示广告信息的程序。

例如,Adware 广告软件。

国标19327 对恶意代码的分类具有重要的实际意义。

首先,各类恶意代码的特点和实例有助于用户了解和识别各种恶意代码,提高网络安全意识。

其次,通过对恶意代码进行分类,网络安全防护产品可以针对不同类型的恶意代码采取相应的防范措施,提高防护效果。

最后,国标19327 为我国网络安全法律法规的制定和实施提供了技术依据,有利于完善我国网络安全体系。

总之,国标19327 对恶意代码的分类为我国网络安全提供了有力的技术支持。

第九章+系统安全-恶意代码

第九章+系统安全-恶意代码

早期病毒:具有对宿主感染能力的恶意代码 现在:一切具有主观危害和极可能客观破坏效果的恶 意代码统称病毒,而恶意代码则是对病毒的学术表达。

恶意代码通常在人们没有察觉的情况下把代码寄 宿到另一段程序中,从而达到破坏被感染计算机 的数据、运行具有入侵性或破坏性的程序、破坏 被感染系统数据的安全性和完整性的目的。

以太网嗅探器程序,用于获得网络上传输的用户名和 密码等信息。 特洛伊木马程序,例如inetd或者login,为攻击者提供 后门。 隐藏攻击者的目录和进程的程序,例如ps、netstat、 rshd和ls等。 日志清理工具.
15



Rootkit技术

Windows系统下的Rootkit关键技术 进程隐藏技术
能够绕过安全检查的任意机制,允许对未授权的功能访 问。 能够不变的植入各种不同平台,执行时有身份语义的软 件(如,脚本、宏或者其他可移动代码)
5
名称
利用(Exploits)
描述
针对某一漏洞或一组漏洞的代码。
下载者(downloader) 可以在遭受攻击的机器上安装其他条款的程序。通 常,下载者是通过电子邮件传递的
通常下载者是通过电子邮件传递的自动启动程序autorooter用于远程入侵到未被感染的机器中的恶意攻击工具病毒生成工具包一组用于自动生成新病毒的工具垃圾邮件程序用于发送大量不必要的电子邮件占用大量网络资源对网络计算机系统进行攻击从而实现dos攻击键盘日志捕获被感染系统中的用户按键rootkit当攻击者进入计算机系统并获得低层通路后使用的工具僵尸zombiebot活跃在被感染的机器上并向其他机器发射攻击的程间谍软件spyware从一种计算机上收集信息并发送到其他系统的软件逻辑炸弹

恶意代码 分类 国标 19327

恶意代码 分类 国标 19327

恶意代码分类国标xxx1. 恶意代码意义及分类恶意代码指的是那些通过潜在的恶意意图而编写的计算机程序或者脚本,通过植入恶意代码可实现对计算机系统的控制或者对用户信息进行非法获取、篡改等行为。

恶意代码根据其具体特征和行为可分为病毒、蠕虫、木马、间谍软件等不同类型。

而我国的《信息安全技术恶意代码分类》国家标准(GB/T xxx-2016)则对恶意代码进行了进一步的分类和定义,并为相关领域的从业者提供了一套规范的标准和指导。

2. 国标xxx的背景及意义GB/T xxx-2016《信息安全技术恶意代码分类》是我国信息安全技术领域的一项重要标准,该标准的发布和实施,对于规范恶意代码的分类、分析以及防范工作具有重要意义。

由于恶意代码日益增多,各种类型的恶意代码在互联全球信息站肆虐,给信息系统的安全带来了巨大的挑战,因此需要统一恶意代码种类的分类和命名规则,以便更好地进行恶意代码的防范和应对。

3. 国标xxx的分类体系GB/T xxx-2016《信息安全技术恶意代码分类》主要分为七大类,分别是病毒、蠕虫、后门、木马、间谍软件、恶意广告和恶意工具。

其中病毒即是病毒程序,蠕虫程序指的是蠕虫的程序形式,后门程序指的是一种可以绕过合法认证而非法侵入计算机系统的程序,木马程序指的是通过欺骗用户而被其悄悄安装到计算机系统中,并以隐藏自身特性的方法从而对系统进行非法控制。

间谍软件是指可以用于监视和窃取用户的行为信息的软件,恶意广告则指通过各种欺骗手段,对用户进行误导从而获取经济利益的行为。

4. 国标xxx的标准规定GB/T xxx-2016《信息安全技术恶意代码分类》标准规定了上述七大种类的恶意代码及其具体分类,并对每种类型的恶意代码进行了详细的描述和标准化。

符合国标xxx的恶意代码分类方法,能够使得分析师能够更容易地识别和分类各种类型的恶意代码,从而有利于对恶意代码样本的收集、研究和检测。

5. 国标xxx的实际应用GB/T xxx-2016《信息安全技术恶意代码分类》作为我国信息安全领域的一项标准,实际应用范围非常广泛。

第06章 恶意代码

第06章 恶意代码


木马与传统病毒的不同


木马的危害

6.3.2 木马的工作原理

木马的工作模式

客户机/服务器:控制端/入侵计算机中 绑定 将木马服务器绑定在某个合法软件上,诱使用 户使用该合法软件 配置木马 :木马伪装 信息反馈 传播木马:用户打开邮件,运行绑定木马的程序, 木马伪装方法(6) 运行木马: 安装 触发条件 信息收集,反馈 建立连接 远程控制


恶意代码日趋复杂和完善 恶意代码编制方法和发布速度更快 从病毒->电子邮件蠕虫—>利用系统漏洞主 动攻击的恶意代码
6.1.2 恶意代码生存技术(4种) 1)反跟踪技术 2)加密技术: 3)模糊变换技术 4)自动生产技术
6.1.2 恶意代码生存技术(4种)
1)反跟踪技术


反动态跟踪: 禁止跟踪中断、封锁键盘输入和屏幕 显示、检测(调试器)跟踪法、其他反跟踪技术。 反静态跟踪: 对恶意程序代码分块加密执行,伪指 令法
最新漏洞




[2015-5-15]关于虚拟机管理组件QEMU存在 VENOM(毒液)高危漏洞的情况公告 [2015-04-21]关于微软IIS服务器存在远程代 码执行漏洞威胁的情况通报 [2015-04-17]Microsoft发布2015年4月安 全更新 [2015-04-17]Microsoft发布2015年4月安 全更新

木马检测与清除

6.4 蠕虫



6.4.1蠕虫概述 6.4.2蠕虫的传播过程 6.4.3蠕虫的分析和防范
6.4.1蠕虫概述
蠕虫 一种结合黑客技术和计算机病毒技术,利用系统漏洞和 应用软件漏洞,通过复制自身畸形传播的、完全独立的 程序代码 1988 莫里斯蠕虫 1998 HaPpy99蠕虫 蠕虫和病毒的比较 表6-2 p155 蠕虫病毒具有如下技术特性(7)

移动互联网中的恶意代码检测技术研究

移动互联网中的恶意代码检测技术研究

移动互联网中的恶意代码检测技术研究随着移动互联网的普及,移动设备成为我们日常生活中不可或缺的一部分。

然而,随之而来的安全风险也逐渐增加。

恶意代码作为一种具有潜在危害的程序,在移动互联网中威胁着用户的隐私和设备的安全。

因此,研究移动互联网中的恶意代码检测技术显得尤为重要。

移动互联网中的恶意代码具有隐蔽性强、传播速度快的特点,因此传统的恶意代码检测方法在移动互联网环境下往往无法发挥有效作用。

为了应对这一挑战,研究者们提出了一系列针对移动互联网恶意代码的检测技术。

首先,静态分析是移动恶意代码检测中的一种常用方法。

静态分析通过对程序代码进行分析,寻找其中的恶意行为特征。

例如,可以通过分析恶意代码的权限要求、资源调用等行为,来判断该程序是否具有恶意行为。

此外,还可以通过构建恶意代码的模型,通过特征匹配的方式来提高检测的准确性。

然而,静态分析方法在移动互联网中的应用面临一些挑战。

首先,恶意代码的变种较多,难以通过静态特征匹配来准确检测。

其次,静态分析无法获取程序的运行时信息,这意味着一些动态行为的恶意代码可能无法被静态分析方法检测到。

因此,研究者们致力于提出更加高效的检测方法。

动态分析是另一种常用的移动恶意代码检测方法。

动态分析通过对程序的运行过程进行监控和分析,以发现其中的恶意行为。

例如,可以通过监控程序对系统资源的调用情况,判断是否存在非法访问或恶意数据传输的行为。

另外,动态分析方法还可以检测程序在运行过程中产生的异常行为,如非正常的网络连接、权限请求等。

然而,动态分析方法也存在一些局限性。

首先,由于恶意代码往往具有自我保护机制,能够检测到虚拟机等动态分析环境,从而避免被检测。

其次,动态分析方法的运行成本较高,对设备性能有一定要求,可能会影响用户体验。

因此,研究者们正在努力寻找更加有效和高效的动态分析方法。

机器学习是当前研究较为热门的领域之一,也被广泛应用于移动恶意代码检测中。

机器学习方法通过对大量的样本进行训练,自动学习和识别恶意代码的特征。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

移动互联网恶意代码描述规范 Specification for Mobile Internet Malicious Code中国互联网协会网络与信息安全工作委员会目 录1 范围 (1)2 规范性引用文件 (1)3 术语和定义 (1)3.1 术语和定义 (1)3.1.1 移动互联网恶意代码 (1)3.1.2 移动互联网恶意代码样本 (1)4 移动互联网恶意代码属性 (1)4.1 恶意扣费 (2)4.2 隐私窃取 (2)4.3 远程控制 (3)4.4 恶意传播 (3)4.5 资费消耗 (4)4.6 系统破坏 (4)4.7 诱骗欺诈 (5)4.8 流氓行为 (5)5 移动互联网恶意代码命名规范 (6)5.1 移动互联网恶意代码命名格式 (6)5.2 受影响操作系统编码 (6)5.3 恶意代码属性主分类编码 (7)5.4 恶意代码名称 (7)5.5 变种名称 (7)前言当前移动互联网的迅速发展,加速了恶意代码在移动智能终端上的传播与增长。

这些恶意代码往往被用于窃取用户个人隐私信息,非法订购各类增值业务,造成用户直接经济损失。

移动互联网恶意代码直接关系我国移动互联网产业的健康发展和广大移动终端用户的切身利益。

目前各移动运营企业、网络安全组织、安全厂商、研究机构对移动互联网恶意代码命名规范、描述格式各不相同,导致无法共享除恶意代码样本以外的重要细节信息,成为恶意代码信息交流的自然屏障。

为了加强移动互联网恶意代码信息共享,规范移动互联网恶意代码的认定,增进社会对恶意代码的辨识度,需要统一规范移动互联网恶意代码的认定标准、命名规则和描述格式。

本规范定义了移动互联网恶意代码样本的描述方法以解决上述问题。

本规范起草单位(排名不分先后):国家计算机网络应急技术处理协调中心中国电信集团公司中国移动通信集团公司中国联合网络通信集团有限公司中国互联网络信息中心阿里巴巴(中国)有限公司安天科技股份有限公司百度在线网络技术(北京)有限公司北京江民新科技术有限公司北京启明星辰信息安全技术有限公司北京瑞星信息技术有限公司北京神州绿盟科技有限公司北京世纪互联宽带数据中心有限公司北京搜狐互联网信息服务有限公司北京天融信科技有限公司北京万网志成科技有限公司北京网秦天下科技有限公司广州网易计算机系统有限公司 金山网络技术有限公司奇虎三六零软件(北京)有限公司 深圳市腾讯计算机系统有限公司 新浪网技术(中国)有限公司北京西塔网络科技股份有限公司 北京知道创宇信息技术有限公司 恒安嘉新(北京)科技有限公司 华为技术有限公司西门子(中国)有限公司优视科技有限公司1范围本规范规定了移动互联网恶意代码关于其定义、属性、命名格式等规范。

本规范适用于移动互联网恶意代码认定及信息数据交换使用。

2规范性引用文件下列文件中的条款通过本规范的引用而成为本规范的条款。

凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本规范,然而,鼓励根据本规范达成协议的各方研究是否可使用这些文件的最新版本。

凡是不注日期的引用文件,其最新版本适用于本规范。

3术语和定义3.1术语和定义下列术语和定义适用于本规范。

3.1.1移动互联网恶意代码移动互联网恶意代码是指在用户不知情或未授权的情况下,在移动终端系统中安装、运行以达到不正当目的,或具有违反国家相关法律法规行为的可执行文件、代码模块或代码片段。

3.1.2移动互联网恶意代码样本移动互联网恶意代码样本是指存放移动互联网恶意代码的文件实体形态,其可以是独立的恶意代码载体文件,被感染型恶意代码感染后的文件对象,也可以是非文件载体恶意代码的文件镜像(包括但不限于引导性恶意代码的文件镜像、内存恶意代码的文件镜像)。

4移动互联网恶意代码属性本部分描述了移动互联网恶意代码所具有的特征属性,当一个可运行于移动终端上的程序具有以下一种或多种属性时,可判定为移动互联网恶意代码。

本规范所述在用户不知情或未授权的情况,指用户未完全理解其功能,或未对其全部行为进行授权,包括但不限于以下情况:●用户点击“是”、“同意”、“确认”、“允许”、“安装”等按钮,但并未对其隐藏的行为明确知情或授权的;●通过捆绑、诱骗等手段致使用户点击“是”、“同意”、“确认”、“允许”、“安装”等按钮的;●程序在安装时未向用户明确提示所要执行的全部功能及可能产生的资费,并请用户做出选择的。

4.1恶意扣费概述:在用户不知情或未授权的情况下,通过隐蔽执行、欺骗用户点击等手段,订购各类收费业务或使用移动终端支付,导致用户经济损失的,具有恶意扣费属性。

包括但不限于具有以下任意一种行为的移动互联网恶意代码具有恶意扣费属性:●在用户不知情或未授权的情况下,自动订购移动增值业务的;●在用户不知情或未授权的情况下,自动利用移动终端支付功能进行消费的;●在用户不知情或未授权的情况下,自动拨打收费声讯电话的;●在用户不知情或未授权的情况下,自动订购其它收费业务的;●在用户不知情或未授权的情况下,自动通过其它方式扣除用户资费的。

4.2隐私窃取概述:在用户不知情或未授权的情况下,获取涉及用户个人信息的,具有隐私窃取属性。

包括但不限于具有以下任意一种行为的移动互联网恶意代码具有隐私窃取属性:●在用户不知情或未授权的情况下,获取短信内容的;●在用户不知情或未授权的情况下,获取彩信内容的;●在用户不知情或未授权的情况下,获取邮件内容的;●在用户不知情或未授权的情况下,获取通讯录内容的;●在用户不知情或未授权的情况下,获取通话记录的;●在用户不知情或未授权的情况下,获取通话内容的;●在用户不知情或未授权的情况下,获取地理位置信息的;●在用户不知情或未授权的情况下,获取本机手机号码的;●在用户不知情或未授权的情况下,获取本机已安装软件信息的;●在用户不知情或未授权的情况下,获取本机运行进程信息的;●在用户不知情或未授权的情况下,获取用户各类帐号信息的;●在用户不知情或未授权的情况下,获取用户各类密码信息的;●在用户不知情或未授权的情况下,获取用户文件内容的;●在用户不知情或未授权的情况下,记录分析用户行为的;●在用户不知情或未授权的情况下,获取用户网络交易信息的;●在用户不知情或未授权的情况下,获取用户收藏夹信息的;●在用户不知情或未授权的情况下,获取用户联网信息的;●在用户不知情或未授权的情况下,获取用户下载信息的;●在用户不知情或未授权的情况下,利用移动终端麦克风、摄像头等设备获取音频、视频、图片信息的;●在用户不知情或未授权的情况下,获取其它用户个人信息的。

4.3远程控制概述:在用户不知情或未授权的情况下,能够接受远程控制端指令并进行相关操作的,具有远程控制属性。

包括但不限于具有以下任意一种行为的移动互联网恶意代码具有远程控制属性:●由控制端主动发出指令进行远程控制的;●由受控端主动向控制端请求指令的。

4.4恶意传播概述:自动通过复制、感染、投递、下载等方式将自身、自身的衍生物或其它恶意代码进行扩散的行为,具有恶意传播属性。

包括但不限于具有以下任意一种行为的移动互联网恶意代码具有恶意传播属性:●自动发送包含恶意代码链接的短信、彩信、邮件、WAP信息等;●自动发送包含恶意代码的彩信、邮件等;●自动利用蓝牙通讯技术向其它设备发送恶意代码的;●自动利用红外通讯技术向其它设备发送恶意代码的;●自动利用无线网络技术向其它设备发送恶意代码的;●自动向存储卡等移动存储设备上复制恶意代码的;●自动下载恶意代码的;●自动感染其它文件的。

4.5资费消耗概述:在用户不知情或未授权的情况下,通过自动拨打电话、发送短信、彩信、邮件、频繁连接网络等方式,导致用户资费损失的,具有资费消耗属性。

包括但不限于具有以下任意一种行为的移动互联网恶意代码具有资费消耗属性:●在用户不知情或未授权的情况下,自动拨打电话的;●在用户不知情或未授权的情况下,自动发送短信的;●在用户不知情或未授权的情况下,自动发送彩信的;●在用户不知情或未授权的情况下,自动发送邮件的;●在用户不知情或未授权的情况下,频繁连接网络,产生异常数据流量的。

4.6系统破坏概述:通过感染、劫持、篡改、删除、终止进程等手段导致移动终端或其它非恶意软件部分或全部功能、用户文件等无法正常使用的,干扰、破坏、阻断移动通信网络、网络服务或其它合法业务正常运行的,具有系统破坏属性。

包括但不限于具有以下任意一种行为的移动互联网恶意代码具有系统破坏属性:●导致移动终端硬件无法正常工作的;●导致移动终端操作系统无法正常运行的;●导致移动终端其它非恶意软件无法正常运行的;●导致移动终端网络通讯功能无法正常使用的;●导致移动终端电池电量非正常消耗的;●导致移动终端发射功率异常的;●导致运营商通信网络无法正常工作的;●导致其它合法业务无法正常运行的;●对用户文件、系统文件或其它非恶意软件进行感染、劫持、篡改的;●在用户不知情或未授权的情况下,对系统文件或其它非恶意软件进行删除、卸载、终止进程或限制运行的;●在用户不知情或未授权的情况下,对用户文件进行删除的。

4.7诱骗欺诈概述:通过伪造、篡改、劫持短信、彩信、邮件、通讯录、通话记录、收藏夹、桌面等方式,诱骗用户,而达到不正当目的的,具有诱骗欺诈属性。

包括但不限于具有以下任意一种行为的移动互联网恶意代码具有诱骗欺诈属性:●伪造、篡改、劫持短信,以诱骗用户,而达到不正当目的的;●伪造、篡改、劫持彩信,以诱骗用户,而达到不正当目的的;●伪造、篡改、劫持邮件,以诱骗用户,而达到不正当目的的;●伪造、篡改通讯录,以诱骗用户,而达到不正当目的的;●伪造、篡改收藏夹,以诱骗用户,而达到不正当目的的;●伪造、篡改通讯记录,以诱骗用户,而达到不正当目的的;●伪造、篡改、劫持用户文件,以诱骗用户,而达到不正当目的的。

●伪造、篡改、劫持用户网络交易数据,以诱骗用户,而达到不正当目的的;●冒充国家机关、金融机构、移动终端厂商、运营商或其它机构和个人,以诱骗用户,而达到不正当目的的;●伪造事实,诱骗用户退出、关闭、卸载、禁用或限制使用其它合法产品或退订服务的。

4.8流氓行为概述:执行对系统没有直接损害,也不对用户个人信息、资费造成侵害的其它恶意行为具有流氓行为属性。

包括但不限于具有以下任意一种行为的移动互联网恶意代码具有流氓行为属性:●在用户不知情或未授权的情况下,长期驻留系统内存的;●在用户不知情或未授权的情况下,长期占用移动终端中央处理器计算资源的;●在用户不知情或未授权的情况下,自动捆绑安装的;●在用户不知情或未授权的情况下,自动添加、修改、删除收藏夹、快捷方式的;●在用户未授权的情况下,弹出广告窗口的;●导致用户无法正常退出的;●导致用户无法正常卸载、删除的;●在用户未授权的情况下,执行其它操作的。