2016年3月8日，国家互联网应急中心（以下简称“CNCERT”）接到投诉，一款通过短信传播的安卓“视频”恶意程序大量传播。该病毒私自窃取用户通讯录， CNCERT第一时间对该批恶意域名进行处置，有效控制了恶意程序的影响范围。现将具体情况通报如下：

一、恶意程序机理分析情况

该恶意程序伪装成“视频”APP，通过伪基站或者手机肉鸡以短信方式进行传播，短信内容为“XXX，我是XXX，这是我帮你拍的小视频 df.tc/3XQGdf”。

该恶意程序都具有如下恶意行为：

1）运行后隐藏安装图标,同时诱骗用户点击激活设备管理器功能，导致用户无法正常卸载；

2）私自向黑客指定的手机号发送两条短信，“软件安装完毕n识别码:IMEI号码,型号,手机系统版本”和“激活成功”；

3）私自将用户手机里已存在的所有短信和通讯录上传至黑客指定的邮箱；

4）私自将用户接收到新的短信转发至黑客指定的手机号，同时在用户的收件箱中删除该短信。

二、处置措施

CNCERT分析确认该恶意程序的影响范围后，立即启动针对该恶意代码的处置工作，协调域名注册商“江苏邦宁”对传播该恶意程序的域名“shunlifa168.top”进行停止解析处理，切断了恶意程序的传播途径。

CNCERT 将继续跟踪事件后续情况。同时，请国内相关单位做好信息系统应用情况排查工作，如需技术支援，请联系 CNCERT。电子邮箱： cncert@cert.org.cn，联系电话： 010-82990999。