https://www.anva.org.cn/html/safetools/virus
移動互聯網惡意程序描述格式 1 范圍 本標准規定了移動互聯網惡意程序的定義、行為屬性、判定及命名格式。 本標准適用於移動互聯網惡意程序認定及惡意程序信息數據交換。 2 規范性引用文件 下列文件中的條款通過本標准的引用而成為本標准的條款。凡是注日期的引用文件,其隨后所有的 修改單(不包括勘誤的內容)或修訂版均不適用於本標准,然而,鼓勵根據本標准達成協議的各方研究 是否可使用這些文件的最新版本。凡是不注日期的引用文件,其最新版本適用於本標准。 3 術語和定義 下列術語和定義適用於本標准。 3.1 移動互聯網惡意程序 在用戶不知情或未授權的情況下,在移動終端系統中安裝、運行以達到不正當目的,或具有違反國 家相關法律法規行為的可執行文件、程序模塊或程序片段。 3.2 移動互聯網惡意程序樣本 存放移動互聯網惡意程序的文件實體,可以是獨立的惡意程序載體文件、被感染型惡意程序感染后 的文件,也可以是非文件載體惡意程序的文件鏡像(包括但不限於引導型惡意程序的文件鏡像、內存惡 意程序的文件鏡像)。 3.3 移動互聯網惡意程序主體 能夠完成惡意程序行為的全部可執行文件及其必要的關聯文件(包括但不限於庫文件、配置文件等) 的集合。 3.4 移動互聯網惡意程序安裝包 包含移動互聯網惡意程序主體的安裝載體,可以在相應版本的移動終端系統中安裝運行。 4 移動互聯網惡意程序行為屬性及判定 4.1 用戶不知情或未授權情況 本文所述“用戶不知情或未授權的情況”包括但不限於以下情況: ——未向用戶明確提示所要執行的全部功能及可能產生的資費,並請用戶做出選擇的; ——用戶選擇“否”、“不同意”、“取消”、“不允許”、“卸載”等選項的; ——用戶選擇“是”、“同意”、“確認”、“允許”、“安裝”等選項,但並未對其隱藏的行為 明確知情或授權的; ——通過捆綁、誘騙等手段致使用戶點擊“是”、“同意”、“確認”、“允許”、“安裝”等按 鈕的。 4.2 移動互聯網惡意程序行為屬性分類 4.2.1 惡意扣費 在用戶不知情或未授權的情況下,通過隱蔽執行、欺騙用戶點擊等手段,訂購各類收費業務或使用 移動終端支付,導致用戶經濟損失的,具有惡意扣費屬性。 包括但不限於具有以下任意一種行為的移動互聯網惡意程序具有惡意扣費屬性: ——在用戶不知情或未授權的情況下,自動訂購移動增值業務的; ——在用戶不知情或未授權的情況下,自動利用移動終端支付功能進行消費的; ——在用戶不知情或未授權的情況下,自動撥打收費聲訊電話的; ——在用戶不知情或未授權的情況下,自動訂購其它收費業務的; ——在用戶不知情或未授權的情況下,自動通過其它方式扣除用戶資費的。 4.2.2 信息竊取 在用戶不知情或未授權的情況下,獲取涉及用戶個人信息、工作信息或其它非公開信息的,具有信 息竊取屬性。 包括但不限於具有以下任意一種行為的移動互聯網惡意程序具有信息竊取屬性: ——在用戶不知情或未授權的情況下,獲取短信內容的; ——在用戶不知情或未授權的情況下,獲取彩信內容的; ——在用戶不知情或未授權的情況下,獲取郵件內容的; ——在用戶不知情或未授權的情況下,獲取通訊錄內容的; ——在用戶不知情或未授權的情況下,獲取通話記錄的; ——在用戶不知情或未授權的情況下,獲取通話內容的; ——在用戶不知情或未授權的情況下,獲取地理位置信息的; ——在用戶不知情或未授權的情況下,獲取本機手機號碼的; ——在用戶不知情或未授權的情況下,獲取本機已安裝軟件信息的; ——在用戶不知情或未授權的情況下,獲取本機運行進程信息的; ——在用戶不知情或未授權的情況下,獲取用戶各類帳號信息的; ——在用戶不知情或未授權的情況下,獲取用戶各類密碼信息的; ——在用戶不知情或未授權的情況下,獲取用戶文件內容的; ——在用戶不知情或未授權的情況下,記錄分析用戶行為的; ——在用戶不知情或未授權的情況下,獲取用戶網絡交易信息的; ——在用戶不知情或未授權的情況下,獲取用戶收藏夾信息的; ——在用戶不知情或未授權的情況下,獲取用戶聯網信息的; ——在用戶不知情或未授權的情況下,獲取用戶下載信息的; ——在用戶不知情或未授權的情況下,利用移動終端麥克風、攝像頭等設備獲取音頻、視頻、 圖片信息的; ——在用戶不知情或未授權的情況下,獲取用戶其它個人信息的; ——在用戶不知情或未授權的情況下,獲取用戶其它工作信息的; ——在用戶不知情或未授權的情況下,獲取其它非公開信息的。 4.2.3 遠程控制 在用戶不知情或未授權的情況下,能夠接受遠程控制端指令並進行相關操作的,具有遠程控制屬性。 包括但不限於具有以下任意一種行為的移動互聯網惡意程序具有遠程控制屬性: ——由控制端主動發出指令進行遠程控制的; ——由受控端主動向控制端請求指令的。 4.2.4 惡意傳播 自動通過復制、感染、投遞、下載等方式將自身、自身的衍生物或其它惡意程序進行擴散的行為, 具有惡意傳播屬性。 包括但不限於具有以下任意一種行為的移動互聯網惡意程序具有惡意傳播屬性: ——自動發送包含惡意程序鏈接的短信、彩信、郵件、WAP信息等; ——自動發送包含惡意程序的彩信、郵件等; ——自動利用藍牙通訊技術向其它設備發送惡意程序的; ——自動利用紅外通訊技術向其它設備發送惡意程序的; ——自動利用無線網絡技術向其它設備發送惡意程序的; ——自動向存儲卡等移動存儲設備上復制惡意程序的; ——自動下載惡意程序的; ——自動感染其它文件的。 4.2.5 資費消耗 在用戶不知情或未授權的情況下,通過自動撥打電話、發送短信、彩信、郵件、頻繁連接網絡等方 式,導致用戶資費損失的,具有資費消耗屬性。 包括但不限於具有以下任意一種行為的移動互聯網惡意程序具有資費消耗屬性: ——在用戶不知情或未授權的情況下,自動撥打電話的; ——在用戶不知情或未授權的情況下,自動發送短信的; ——在用戶不知情或未授權的情況下,自動發送彩信的; ——在用戶不知情或未授權的情況下,自動發送郵件的; ——在用戶不知情或未授權的情況下,頻繁連接網絡,產生異常數據流量的。 4.2.6 系統破壞 通過感染、劫持、篡改、刪除、終止進程等手段導致移動終端或其它非惡意軟件部分或全部功能、 用戶文件等無法正常使用的,干擾、破壞、阻斷移動通信網絡、網絡服務或其它合法業務正常運行的, 具有系統破壞屬性。 包括但不限於具有以下任意一種行為的移動互聯網惡意程序具有系統破壞屬性: ——導致移動終端硬件無法正常工作的; ——導致移動終端操作系統無法正常運行的; ——導致移動終端其它非惡意軟件無法正常運行的; ——導致移動終端網絡通訊功能無法正常使用的; ——導致移動終端電池電量非正常消耗的; ——導致移動終端發射功率異常的; ——導致運營商通信網絡無法正常工作的; ——導致其它合法業務無法正常運行的; ——對用戶文件、系統文件或其它非惡意軟件進行感染、劫持、篡改的; ——在用戶不知情或未授權的情況下,對系統文件或其它非惡意軟件進行刪除、卸載、終止進 程或限制運行的; ——在用戶不知情或未授權的情況下,對用戶文件進行刪除的。 4.2.7 誘騙欺詐 通過偽造、篡改、劫持短信、彩信、郵件、通訊錄、通話記錄、收藏夾、桌面等方式,誘騙用戶, 而達到不正當目的的,具有誘騙欺詐屬性。 包括但不限於具有以下任意一種行為的移動互聯網惡意程序具有誘騙欺詐屬性: ——偽造、篡改、劫持短信,以誘騙用戶,而達到不正當目的的; ——偽造、篡改、劫持彩信,以誘騙用戶,而達到不正當目的的; ——偽造、篡改、劫持郵件,以誘騙用戶,而達到不正當目的的; ——偽造、篡改通訊錄,以誘騙用戶,而達到不正當目的的; ——偽造、篡改收藏夾,以誘騙用戶,而達到不正當目的的; ——偽造、篡改通訊記錄,以誘騙用戶,而達到不正當目的的; ——偽造、篡改、劫持用戶文件,以誘騙用戶,而達到不正當目的的。 ——偽造、篡改、劫持用戶網絡交易數據,以誘騙用戶,而達到不正當目的的; ——冒充國家機關、金融機構、移動終端廠商、運營商或其它機構和個人,以誘騙用戶,而達 到不正當目的的; ——偽造事實,誘騙用戶退出、關閉、卸載、禁用或限制使用其它合法產品或退訂服務的。 4.2.8 流氓行為 執行對系統沒有直接損害,也不對用戶個人信息、資費造成侵害的其它惡意行為具有流氓行為屬性。 包括但不限於具有以下任意一種行為的移動互聯網惡意程序具有流氓行為屬性: ——在用戶不知情或未授權的情況下,長期駐留系統內存的; ——在用戶不知情或未授權的情況下,長期占用移動終端中央處理器計算資源的; ——在用戶不知情或未授權的情況下,自動捆綁安裝的; ——在用戶不知情或未授權的情況下,自動添加、修改、刪除收藏夾、快捷方式的; ——在用戶未授權的情況下,彈出廣告窗口的; ——導致用戶無法正常退出程序的; ——導致用戶無法正常卸載、刪除程序的; ——在用戶未授權的情況下,執行其它操作的。 4.3 移動互聯網惡意程序判定 當一個可運行於移動終端上的程序具有 4.2 節所述一種或多種行為屬性時,可判定為移動互聯網惡 意程序。 5 移動互聯網惡意程序命名格式 5.1 移動互聯網惡意程序命名格式 移動互聯網惡意程序采用分段式格式命名,前四段為必選項,使用英文(不區分大小寫)或數字標 識;第五段起為擴展字段,擴展字段為可選項,內容使用中括號“[]”標識,可使用任何Unicode字符, 擴展字段可增加多個。命名格式如下: 受影響操作系統編碼.惡意程序屬性主分類編碼.惡意程序名稱.變種名稱.[擴展字段] 如: ——s.remote.dumusicplay.b.[毒媒] ——a.remote.adrd.a.[紅透透] ——s.remote.dumusicplay.f.[毒媒].[已升級] ——w.privacy.mobilespy.c ——i.spread.ikee.a ——b.privacy.txsbbspy.a ——p.remote.vapor.a ——j.payment.swapi.e 5.2 受影響操作系統編碼 受影響操作系統及編碼包括但不限於以下類型: ——a:Android ——b:Black Berry ——bd:Bada ——i:IPhone IOS ——j:J2ME(Java 2 Micro Edition) ——m:MTK ——p:Palm OS ——s:Symbian ——w:Windows Mobile\WinCE\Windows Phone ——o:其它類型的平台 5.3 惡意程序屬性主分類編碼 本標准將移動互聯網惡意程序屬性按危害程度及包含關系排序,如某惡意程序具有多個屬性,則以 排序靠前的屬性作為主分類,以便於對其進行描述,方便公眾識別。 移動互聯網惡意程序屬性主分類編碼及排序如表 1 所示: 表 1 主分類編碼 排序 編碼 屬性主分類 1 payment 惡意扣費 2 privacy 信息竊取 3 remote 遠程控制 4 spread 惡意傳播 5 expense 資費消耗 6 system 系統破壞 7 fraud 誘騙欺詐 8 rogue 流氓行為 5.4 惡意程序名稱 移動互聯網惡意程序主體功能不相同的,可命名為不同名稱。移動互聯網惡意程序名稱可使用解開 安裝包或壓縮格式后的惡意程序主程序的可執行文件名、主要進程的名稱或特征字符串命名,亦可使用 主程序體中第一個可用的ASCII碼串命名。原則上應遵循使用第一個公開報告的名稱。 惡意程序的中文名稱可參見 5.6 節,置於擴展字段內。 5.5 變種名稱 移動互聯網惡意程序主體功能相同,但配置不同的,則認為是同一家族的惡意程序,這時需要用變 種名稱來區分。變種名稱根據樣本發現順序采用英文字母依次命名。第一個發現的樣本命名為a,第二 個命名為b,第 27 個發現的樣本命名為aa,第 28 個命名為ab,以此類推。 移動互聯網惡意程序主體功能相同,配置也相同,但HASH值不完全相同,則認為是不同HASH值 的同一惡意程序的同一變種,其名稱及變種名稱均應完全相同。 5.6 擴展字段 擴展字段主要用於補充標識前四段必選項無法標示的其它重要信息,如中文通用名稱等。 擴展字段中的通用中文名稱可使用安裝包的中文名稱、可執行文件運行界面的中文名稱、進程連接 的網站名稱等。原則上應遵循使用第一個公開報告的名稱。