根據(jù)工業(yè)和信息化部頒布的《移動互聯(lián)網(wǎng)惡意程序監(jiān)測與處置機(jī)制》，受工業(yè)和信息化部通信保障局委托，11月19日國家計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心（中文簡稱“國家互聯(lián)網(wǎng)應(yīng)急中心”，英文簡稱“CNCERT”）組織國內(nèi)基礎(chǔ)電信運營企業(yè)、域名注冊服務(wù)機(jī)構(gòu)以及中國互聯(lián)網(wǎng)協(xié)會12321網(wǎng)絡(luò)不良與垃圾信息舉報中心、部分中國反網(wǎng)絡(luò)病毒聯(lián)盟（簡稱“ANVA”）安全企業(yè)成員單位啟動了新一次的移動互聯(lián)網(wǎng)惡意程序（另稱“手機(jī)病毒”）專項治理行動，這是2012年CNCERT組織通信行業(yè)、互聯(lián)網(wǎng)行業(yè)單位開展的第六次專項行動。

    本年度組織開展的前五次手機(jī)病毒專項行動具體情況匯總?cè)缦拢?br />  
    通信行業(yè)手機(jī)惡意程序治理成果顯著

    在前五次專項行動中，基礎(chǔ)電信運營企業(yè)以及ANVA安全企業(yè)成員單位共提交疑似手機(jī)惡意程序樣本3562個，經(jīng)過CNCERT鑒定為惡意的有3424個，共發(fā)現(xiàn)相關(guān)控制端URL（具有控制域名或控制服務(wù)器IP） 986條。此外，各單位共提交國內(nèi)手機(jī)應(yīng)用商店、下載站和手機(jī)論壇涉嫌傳播手機(jī)惡意程序的傳播源URL 679條。

    根據(jù)重點打擊控制端、清除傳播源的治理思路，相關(guān)單位根據(jù)各自職能，分工協(xié)作，開展了以下相關(guān)工作：

    國家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT）主要承擔(dān)行動組織和技術(shù)鑒定工作外，并重點聯(lián)系協(xié)調(diào)涉嫌傳播手機(jī)惡意程序的國內(nèi)手機(jī)應(yīng)用商店、下載站和論壇管理方處置下載鏈接。例如：在第四次專項行動中，CNCERT共累計聯(lián)系103家（次）單位，要求對其相關(guān)的679條手機(jī)惡意程序下載鏈接進(jìn)行清理。

    基礎(chǔ)電信運營企業(yè)主要負(fù)責(zé)對CNCERT下發(fā)的控制端URL進(jìn)行全網(wǎng)阻斷或網(wǎng)間阻斷，同時根據(jù)與相關(guān)SP及合作伙伴簽訂的協(xié)議約定其安全義務(wù)，對于存在控制行為的網(wǎng)內(nèi)主機(jī)IP進(jìn)行下線處理，而對于直接從事手機(jī)惡意程序傳播、控制的則終止其合作。例如：自《機(jī)制》實施以來，中國移動(微博)通信集團(tuán)公司共發(fā)現(xiàn)并處理惡意軟件違約合作伙伴54家，終止合作42家。

    域名注冊服務(wù)機(jī)構(gòu)主要配合CNCERT對下發(fā)的涉嫌傳播、控制手機(jī)惡意程序的域名進(jìn)行清理。根據(jù)《機(jī)制》要求，對于涉嫌傳播、控制手機(jī)惡意程序的域名，在未配合清理的情況下，域名機(jī)構(gòu)可采取停止域名解析的措施，使其不再發(fā)揮傳播、控制作用。

    此外，中國互聯(lián)網(wǎng)協(xié)會12321網(wǎng)絡(luò)不良與垃圾信息舉報中心、基礎(chǔ)電信運營企業(yè)、安全企業(yè)等通過接收用戶受理、加強(qiáng)宣傳教育和終端防護(hù)等方式積極配合專項行動的開展。

    手機(jī)惡意程序威脅仍呈現(xiàn)增長態(tài)勢

    盡管專項治理工作取得了初步成效，但由于移動互聯(lián)網(wǎng)應(yīng)用的迅猛發(fā)展，黑色地下產(chǎn)業(yè)向移動互聯(lián)網(wǎng)滲透的節(jié)奏也日趨加快。

    2011年CNCERT共捕獲6249個手機(jī)惡意程序，其中惡意扣費類最多，占21.08%。2012年上半年，捕獲手機(jī)惡意程序4095個，大幅超過2011年的半數(shù)。此外，據(jù)中國反網(wǎng)絡(luò)病毒聯(lián)盟安全企業(yè)單位報告的情況，2011年累計捕獲手機(jī)惡意程序樣本數(shù)量較2010年增加超過1倍，惡意扣費、遠(yuǎn)程控制、信息竊取等是對手機(jī)用戶信息和財產(chǎn)安全構(gòu)成的主要威脅。

    隨著監(jiān)測工作的開展，CNCERT還監(jiān)測發(fā)現(xiàn)存在一個網(wǎng)絡(luò)控制端操控多個不同類型的樣本以及樣本存在多個變種且使用多個控制端對手機(jī)用戶進(jìn)行侵害的情況，手機(jī)惡意程序的“集團(tuán)化”特征初步顯現(xiàn)。此外，一些手機(jī)惡意程序也正往“規(guī)?；钡姆较虬l(fā)展，對移動互聯(lián)網(wǎng)安全構(gòu)成巨大的安全隱患。2011年5月，黑客通過“毒媒”（英文名稱：DumusicPlay）手機(jī)病毒控制了大量手機(jī)用戶后，通過發(fā)送控制指令向江蘇聯(lián)通所屬某網(wǎng)站發(fā)起了DDoS攻擊，這也是首例通過控制手機(jī)終端發(fā)起拒絕服務(wù)攻擊的案例。

    此外，手機(jī)應(yīng)用軟件及應(yīng)用商店的整體安全現(xiàn)狀也不容樂觀。根據(jù)CNCERT 2012年8月發(fā)布的《移動互聯(lián)網(wǎng)應(yīng)用安全分析報告》，目前國內(nèi)手機(jī)應(yīng)用商店中有69.4%為第三方開辦，約11%由終端制造商開辦，由互聯(lián)網(wǎng)企業(yè)主辦的占8.9%，其余為操作系統(tǒng)提供商和電信運營商主辦。根據(jù)抽樣采集的應(yīng)用軟件分析結(jié)果，發(fā)現(xiàn)201個包含已知病毒的應(yīng)用軟件，分布在“N多市場”（48個）、“安智市場”（32個）、“七匣子”（29個）等12個應(yīng)用軟件商店。從中隨機(jī)選擇一萬余款應(yīng)用軟件，發(fā)現(xiàn)很多軟件存在惡意行為或可疑行為。其中，存在敏感行為的超過5000個，當(dāng)中未經(jīng)用戶許可自動訪問網(wǎng)站的3185個，自動向外發(fā)送短信或彩信的13個，另有4個明顯存在惡意行為。目前，用戶對手機(jī)應(yīng)用軟件的上述可能安全隱患的行為認(rèn)知程度還不夠。

    持續(xù)開展移動互聯(lián)網(wǎng)安全治理工作

    在工業(yè)和信息化部的指導(dǎo)下，通信行業(yè)、互聯(lián)網(wǎng)行業(yè)積極落實《移動互聯(lián)網(wǎng)惡意程序監(jiān)測與處置機(jī)制》，通過專項行動不斷完善工作機(jī)制流程，推進(jìn)監(jiān)測和處置技術(shù)手段建設(shè)，進(jìn)一步樹立了為用戶安全利益服務(wù)的目標(biāo)，為持續(xù)開展手機(jī)惡意程序治理工作積累了大量的經(jīng)驗。同時，我們也希望廣大用戶注意加強(qiáng)防范手機(jī)惡意程序安全風(fēng)險，積極向有關(guān)單位舉報涉嫌傳播、控制手機(jī)惡意程序的行為。

    附：

    2012年參與手機(jī)惡意程序?qū)ｍ椫卫硇袆拥膯挝蝗缦拢ㄅ琶环窒群?，不含域名注冊服?wù)機(jī)構(gòu)）：

    國家互聯(lián)網(wǎng)應(yīng)急中心

    國家互聯(lián)網(wǎng)應(yīng)急中心江蘇分中心

    中國互聯(lián)網(wǎng)協(xié)會12321網(wǎng)絡(luò)不良與垃圾信息舉報中心

    中國電信集團(tuán)公司網(wǎng)絡(luò)運行維護(hù)部

    中國移動通信集團(tuán)公司信息安全管理部

    中國聯(lián)合網(wǎng)絡(luò)通信集團(tuán)有限公司運維部

    北京金山安全軟件公司

    北京奇虎科技有限公司

    北京瑞星信息技術(shù)有限公司

    北京網(wǎng)秦天下科技有限公司

    哈爾濱安天科技股份有限公司

    恒安嘉新（北京）科技有限公司

    華為技術(shù)有限公司

    趨勢科技（中國）有限公司

    深圳市騰訊計算機(jī)系統(tǒng)有限公司

    洋浦科技有限公司

    （編輯：Jesse）