《移動互聯(lián)網(wǎng)惡意程序描述格式》全文

移動互聯(lián)網(wǎng)惡意程序描述格式

1 范圍

本標準規(guī)定了移動互聯(lián)網(wǎng)惡意程序的定義、行為屬性、判定及命名格式。 本標準適用于移動互聯(lián)網(wǎng)惡意程序認定及惡意程序信息數(shù)據(jù)交換。

2 規(guī)范性引用文件

下列文件中的條款通過本標準的引用而成為本標準的條款。凡是注日期的引用文件，其隨后所有的 修改單（不包括勘誤的內容）或修訂版均不適用于本標準，然而，鼓勵根據(jù)本標準達成協(xié)議的各方研究 是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標準。

3 術語和定義

下列術語和定義適用于本標準。

3.1 移動互聯(lián)網(wǎng)惡意程序

在用戶不知情或未授權的情況下，在移動終端系統(tǒng)中安裝、運行以達到不正當目的，或具有違反國 家相關法律法規(guī)行為的可執(zhí)行文件、程序模塊或程序片段。

3.2 移動互聯(lián)網(wǎng)惡意程序樣本

存放移動互聯(lián)網(wǎng)惡意程序的文件實體，可以是獨立的惡意程序載體文件、被感染型惡意程序感染后 的文件，也可以是非文件載體惡意程序的文件鏡像（包括但不限于引導型惡意程序的文件鏡像、內存惡 意程序的文件鏡像）。

3.3 移動互聯(lián)網(wǎng)惡意程序主體

能夠完成惡意程序行為的全部可執(zhí)行文件及其必要的關聯(lián)文件（包括但不限于庫文件、配置文件等） 的集合。

3.4 移動互聯(lián)網(wǎng)惡意程序安裝包

包含移動互聯(lián)網(wǎng)惡意程序主體的安裝載體，可以在相應版本的移動終端系統(tǒng)中安裝運行。

4 移動互聯(lián)網(wǎng)惡意程序行為屬性及判定

4.1 用戶不知情或未授權情況

本文所述“用戶不知情或未授權的情況”包括但不限于以下情況：

——未向用戶明確提示所要執(zhí)行的全部功能及可能產(chǎn)生的資費，并請用戶做出選擇的；

——用戶選擇“否”、“不同意”、“取消”、“不允許”、“卸載”等選項的；

——用戶選擇“是”、“同意”、“確認”、“允許”、“安裝”等選項，但并未對其隱藏的行為 明確知情或授權的；

——通過捆綁、誘騙等手段致使用戶點擊“是”、“同意”、“確認”、“允許”、“安裝”等按 鈕的。

4.2 移動互聯(lián)網(wǎng)惡意程序行為屬性分類

4.2.1惡意扣費

在用戶不知情或未授權的情況下，通過隱蔽執(zhí)行、欺騙用戶點擊等手段，訂購各類收費業(yè)務或使用 移動終端支付，導致用戶經(jīng)濟損失的，具有惡意扣費屬性。

包括但不限于具有以下任意一種行為的移動互聯(lián)網(wǎng)惡意程序具有惡意扣費屬性：

——在用戶不知情或未授權的情況下，自動訂購移動增值業(yè)務的；

——在用戶不知情或未授權的情況下，自動利用移動終端支付功能進行消費的；

——在用戶不知情或未授權的情況下，自動撥打收費聲訊電話的；

——在用戶不知情或未授權的情況下，自動訂購其它收費業(yè)務的；

——在用戶不知情或未授權的情況下，自動通過其它方式扣除用戶資費的。

4.2.2信息竊取

在用戶不知情或未授權的情況下，獲取涉及用戶個人信息、工作信息或其它非公開信息的，具有信 息竊取屬性。

包括但不限于具有以下任意一種行為的移動互聯(lián)網(wǎng)惡意程序具有信息竊取屬性：

——在用戶不知情或未授權的情況下，獲取短信內容的；

——在用戶不知情或未授權的情況下，獲取彩信內容的；

——在用戶不知情或未授權的情況下，獲取郵件內容的；

——在用戶不知情或未授權的情況下，獲取通訊錄內容的；

——在用戶不知情或未授權的情況下，獲取通話記錄的；

——在用戶不知情或未授權的情況下，獲取通話內容的；

——在用戶不知情或未授權的情況下，獲取地理位置信息的；

——在用戶不知情或未授權的情況下，獲取本機手機號碼的；

——在用戶不知情或未授權的情況下，獲取本機已安裝軟件信息的；

——在用戶不知情或未授權的情況下，獲取本機運行進程信息的；

——在用戶不知情或未授權的情況下，獲取用戶各類帳號信息的；

——在用戶不知情或未授權的情況下，獲取用戶各類密碼信息的；

——在用戶不知情或未授權的情況下，獲取用戶文件內容的；

——在用戶不知情或未授權的情況下，記錄分析用戶行為的；

——在用戶不知情或未授權的情況下，獲取用戶網(wǎng)絡交易信息的；

——在用戶不知情或未授權的情況下，獲取用戶收藏夾信息的；

——在用戶不知情或未授權的情況下，獲取用戶聯(lián)網(wǎng)信息的；

——在用戶不知情或未授權的情況下，獲取用戶下載信息的；

——在用戶不知情或未授權的情況下，利用移動終端麥克風、攝像頭等設備獲取音頻、視頻、 圖片信息的；

——在用戶不知情或未授權的情況下，獲取用戶其它個人信息的；

——在用戶不知情或未授權的情況下，獲取用戶其它工作信息的；

——在用戶不知情或未授權的情況下，獲取其它非公開信息的。

4.2.3遠程控制 在用戶不知情或未授權的情況下，能夠接受遠程控制端指令并進行相關操作的，具有遠程控制屬性。 包括但不限于具有以下任意一種行為的移動互聯(lián)網(wǎng)惡意程序具有遠程控制屬性：

——由控制端主動發(fā)出指令進行遠程控制的；

——由受控端主動向控制端請求指令的。

4.2.4惡意傳播

自動通過復制、感染、投遞、下載等方式將自身、自身的衍生物或其它惡意程序進行擴散的行為， 具有惡意傳播屬性。

包括但不限于具有以下任意一種行為的移動互聯(lián)網(wǎng)惡意程序具有惡意傳播屬性：

——自動發(fā)送包含惡意程序鏈接的短信、彩信、郵件、WAP信息等；

——自動發(fā)送包含惡意程序的彩信、郵件等；

——自動利用藍牙通訊技術向其它設備發(fā)送惡意程序的；

——自動利用紅外通訊技術向其它設備發(fā)送惡意程序的；

——自動利用無線網(wǎng)絡技術向其它設備發(fā)送惡意程序的；

——自動向存儲卡等移動存儲設備上復制惡意程序的；

——自動下載惡意程序的；

——自動感染其它文件的。

4.2.5資費消耗

在用戶不知情或未授權的情況下，通過自動撥打電話、發(fā)送短信、彩信、郵件、頻繁連接網(wǎng)絡等方 式，導致用戶資費損失的，具有資費消耗屬性。

包括但不限于具有以下任意一種行為的移動互聯(lián)網(wǎng)惡意程序具有資費消耗屬性：

——在用戶不知情或未授權的情況下，自動撥打電話的；

——在用戶不知情或未授權的情況下，自動發(fā)送短信的；

——在用戶不知情或未授權的情況下，自動發(fā)送彩信的；

——在用戶不知情或未授權的情況下，自動發(fā)送郵件的；

——在用戶不知情或未授權的情況下，頻繁連接網(wǎng)絡，產(chǎn)生異常數(shù)據(jù)流量的。

4.2.6系統(tǒng)破壞

通過感染、劫持、篡改、刪除、終止進程等手段導致移動終端或其它非惡意軟件部分或全部功能、 用戶文件等無法正常使用的，干擾、破壞、阻斷移動通信網(wǎng)絡、網(wǎng)絡服務或其它合法業(yè)務正常運行的， 具有系統(tǒng)破壞屬性。

包括但不限于具有以下任意一種行為的移動互聯(lián)網(wǎng)惡意程序具有系統(tǒng)破壞屬性：

——導致移動終端硬件無法正常工作的；

——導致移動終端操作系統(tǒng)無法正常運行的；

——導致移動終端其它非惡意軟件無法正常運行的；

——導致移動終端網(wǎng)絡通訊功能無法正常使用的；

——導致移動終端電池電量非正常消耗的；

——導致移動終端發(fā)射功率異常的；

——導致運營商通信網(wǎng)絡無法正常工作的；

——導致其它合法業(yè)務無法正常運行的；

——對用戶文件、系統(tǒng)文件或其它非惡意軟件進行感染、劫持、篡改的；

——在用戶不知情或未授權的情況下，對系統(tǒng)文件或其它非惡意軟件進行刪除、卸載、終止進 程或限制運行的；

——在用戶不知情或未授權的情況下，對用戶文件進行刪除的。

4.2.7誘騙欺詐

通過偽造、篡改、劫持短信、彩信、郵件、通訊錄、通話記錄、收藏夾、桌面等方式，誘騙用戶， 而達到不正當目的的，具有誘騙欺詐屬性。

包括但不限于具有以下任意一種行為的移動互聯(lián)網(wǎng)惡意程序具有誘騙欺詐屬性：

——偽造、篡改、劫持短信，以誘騙用戶，而達到不正當目的的；

——偽造、篡改、劫持彩信，以誘騙用戶，而達到不正當目的的；

——偽造、篡改、劫持郵件，以誘騙用戶，而達到不正當目的的；

——偽造、篡改通訊錄，以誘騙用戶，而達到不正當目的的；

——偽造、篡改收藏夾，以誘騙用戶，而達到不正當目的的；

——偽造、篡改通訊記錄，以誘騙用戶，而達到不正當目的的；

——偽造、篡改、劫持用戶文件，以誘騙用戶，而達到不正當目的的。

——偽造、篡改、劫持用戶網(wǎng)絡交易數(shù)據(jù)，以誘騙用戶，而達到不正當目的的；

——冒充國家機關、金融機構、移動終端廠商、運營商或其它機構和個人，以誘騙用戶，而達 到不正當目的的；

——偽造事實，誘騙用戶退出、關閉、卸載、禁用或限制使用其它合法產(chǎn)品或退訂服務的。

4.2.8流氓行為 執(zhí)行對系統(tǒng)沒有直接損害，也不對用戶個人信息、資費造成侵害的其它惡意行為具有流氓行為屬性。 包括但不限于具有以下任意一種行為的移動互聯(lián)網(wǎng)惡意程序具有流氓行為屬性：

——在用戶不知情或未授權的情況下，長期駐留系統(tǒng)內存的；

——在用戶不知情或未授權的情況下，長期占用移動終端中央處理器計算資源的；

——在用戶不知情或未授權的情況下，自動捆綁安裝的；

——在用戶不知情或未授權的情況下，自動添加、修改、刪除收藏夾、快捷方式的；

——在用戶未授權的情況下，彈出廣告窗口的；

——導致用戶無法正常退出程序的；

——導致用戶無法正常卸載、刪除程序的；

——在用戶未授權的情況下，執(zhí)行其它操作的。

4.3    移動互聯(lián)網(wǎng)惡意程序判定

當一個可運行于移動終端上的程序具有4.2節(jié)所述一種或多種行為屬性時，可判定為移動互聯(lián)網(wǎng)惡 意程序。

5 移動互聯(lián)網(wǎng)惡意程序命名格式

5.1 移動互聯(lián)網(wǎng)惡意程序命名格式

移動互聯(lián)網(wǎng)惡意程序采用分段式格式命名，前四段為必選項，使用英文（不區(qū)分大小寫）或數(shù)字標 識；第五段起為擴展字段，擴展字段為可選項，內容使用中括號“[]”標識，可使用任何Unicode字符， 擴展字段可增加多個。命名格式如下：

受影響操作系統(tǒng)編碼.惡意程序屬性主分類編碼.惡意程序名稱.變種名稱.[擴展字段]

如：

——s.remote.dumusicplay.b.[毒媒]

——a.remote.adrd.a.[紅透透]

——s.remote.dumusicplay.f.[毒媒].[已升級]

——w.privacy.mobilespy.c

——i.spread.ikee.a

——b.privacy.txsbbspy.a

——p.remote.vapor.a

——j.payment.swapi.e

5.2 受影響操作系統(tǒng)編碼

受影響操作系統(tǒng)及編碼包括但不限于以下類型：

——a：Android

——b：Black Berry

——bd：Bada

——i：IPhone IOS

——j：J2ME(Java 2 Micro Edition)

——m：MTK

——p：Palm OS

——s：Symbian

——w：Windows Mobile\WinCE\Windows Phone

——o：其它類型的平臺

5.3 惡意程序屬性主分類編碼

本標準將移動互聯(lián)網(wǎng)惡意程序屬性按危害程度及包含關系排序，如某惡意程序具有多個屬性，則以 排序靠前的屬性作為主分類，以便于對其進行描述，方便公眾識別。

移動互聯(lián)網(wǎng)惡意程序屬性主分類編碼及排序如表1所示：

5.4 惡意程序名稱

移動互聯(lián)網(wǎng)惡意程序主體功能不相同的，可命名為不同名稱。移動互聯(lián)網(wǎng)惡意程序名稱可使用解開

安裝包或壓縮格式后的惡意程序主程序的可執(zhí)行文件名、主要進程的名稱或特征字符串命名，亦可使用

主程序體中第一個可用的ASCII碼串命名。原則上應遵循使用第一個公開報告的名稱。 惡意程序的中文名稱可參見5.6節(jié)，置于擴展字段內。

5.5 變種名稱

移動互聯(lián)網(wǎng)惡意程序主體功能相同，但配置不同的，則認為是同一家族的惡意程序，這時需要用變 種名稱來區(qū)分。變種名稱根據(jù)樣本發(fā)現(xiàn)順序采用英文字母依次命名。第一個發(fā)現(xiàn)的樣本命名為a，第二 個命名為b，第27個發(fā)現(xiàn)的樣本命名為aa，第28個命名為ab，以此類推。

移動互聯(lián)網(wǎng)惡意程序主體功能相同，配置也相同，但HASH值不完全相同，則認為是不同HASH值 的同一惡意程序的同一變種，其名稱及變種名稱均應完全相同。

5.6 擴展字段 擴展字段主要用于補充標識前四段必選項無法標示的其它重要信息，如中文通用名稱等。 擴展字段中的通用中文名稱可使用安裝包的中文名稱、可執(zhí)行文件運行界面的中文名稱、進程連接的網(wǎng)站名稱等。原則上應遵循使用第一個公開報告的名稱。

掃描二維碼 關注我們

本文鏈接：http://www.per-better.com/law/8731.html

本文關鍵詞： 移動互聯(lián)網(wǎng), 惡意程序, 描述, 格式, 全文