移动互联网恶意代码描述规范.docx

《移动互联网恶意代码描述规范.docx》由会员分享，可在线阅读，更多相关《移动互联网恶意代码描述规范.docx（12页珍藏版）》请在三一办公上搜索。

1、YD中华人民共和国通信行业标准YDT移动互联网恶意代码描述法律规范SpecificationforMobileInternetMaliciousCode（征求意见稿）2022年5月14日XXXX-XX-XX发布XXXX-XX-XX实施中华人民共和国工业和信息化部发布1 范围12 法律规范性引用文件13 术语和定义11.1 1术语和定义1移动互联网恶意代码1移动互联网恶意代码样本14移动互联网恶意代码属性11.2 1恶意扣费21.3 隐私窃取21.4 远程掌握31.5 恶意传播31.6 资费消耗41.7 系统破坏41.8 诱骗欺诈51.9 流氓行为55移动互联网恶意代码命名法律规范65.1 移动

2、互联网恶意代码命名格式65.2 受影响操作系统编码65.3 3恶意代码属性主分类编码75.4 恶意代码名称75.5 变种名称7当前移动互联网的快速进展，加速了恶意代码在移动智能终端上的传播与增长。这些恶意代码往往被用于窃取用户个人隐私信息，非法订购各类增值业务，造成用户直接经济损失。移动互联网恶意代码直接关系我们我国移动互联网产业的健康进展和广阔手机用户的切身利益。目前各移动运营企业、网络平安组织、平安厂商、讨论机构对移动互联网恶意代码命名法律规范、描述格式各不相同，导致无法共享除恶意代码样本以外的重要细节信息，成为恶意代码信息沟通的自然屏障。为了加强移动互联网恶意代码信息共享，法律规范移动互

3、联网恶意代码的认定，增进社会对恶意代码的辨识度，需要统一法律规范移动互联网恶意代码的认定标准、命名规章和描述格式。本法律规范定义了移动互联网恶意代码样本的描述方法以解决上述问题。本标准由中国通信标准化协会提出并归口。本标准起草单位（排名不分先后）：我国计算机网络应急技术处理协调中心中国电信集团公司中国移动通信集团公司中国联合网络通信集团有限公司中国互联网络信息中心阿里巴巴（中国）有限公司百度在线网络技术（北京）有限公司北京江民新科技术有限公司北京启明星辰信息平安技术有限公司北京瑞星信息技术有限公司北京神州绿盟科技有限公司北京世纪互联宽带数据中心有限公司北京搜狐互联网信息服务有限公司北京天融信科

4、技有限公司北京万网志成科技有限公司北京网秦天下科技有限公司广州网易计算机系统有限公司哈尔滨安天科技股份有限公司恒安嘉新（北京）科技有限公司金山网络技术有限公司奇虎三六零软件（北京）有限公司深圳市腾讯计算机系统有限公司新浪网技术（中国）有限公司优视科技有限公司本标准主要起草人：XXXX1范围本标准规定了移动互联网恶意代码关于其定义、属性、命名格式等法律规范。本标准适用于移动互联网恶意代码认定及信息数据交换使用。2法律规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后全部的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓舞依据本标准达成合同的

5、各方讨论是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。3术语和定义3.1 术语和定义下列术语和定义适用于本标准。3.1.1 移动互联网恶意代码移动互联网恶意代码是指在用户不知情或未授权的状况下，在移动终端系统中安装、运行以达到不正值目的的可执行文件、代码模块或代码片段。3.1.2 移动互联网恶意代码样本移动互联网恶意代码样本是指存放移动互联网恶意代码的文件实体形态，其可以是独立的恶意代码载体文件，被感染型恶意代码感染后的文件对象，也可以是非文件载体恶意代码的文件镜像（包括但不限于引导性恶意代码的文件镜像、内存恶意代码的文件镜像）。4移动互联网恶意代码属性本部分描

6、述了移动互联网恶意代码所具有的特征属性，当一个可运行于移动终端上的程序具有以下一种或多种属性时，可判定为移动互联网恶意代码。本法律规范所述在用户不知情或未授权的状况，指用户未完全理解其功能，或未对其全部行为进行授权，包括但不限于以下状况： 用户点击“是”、“同意”、“确认”、“允许”、“安装”等按钮，但并未对其隐蔽的行为明确知情或授权的； 通过捆绑、诱骗等手段致使用户点击“是”、“同意”、“确认”、“允许”、“安装”等按钮的; 程序在安装时未向用户明确提示所要执行的全部功能及可能产生的资费，并请用户做出选择的。4.1 恶意扣费概述：在用户不知情或未授权的状况下，通过隐蔽执行、哄骗用户点击等手段

7、，订购各类收费业务或使用手机支付，导致用户经济损失的，具有恶意扣费属性。包括但不限于具有以下任意一种行为的移动互联网恶意代码具有恶意扣费属性:在用户不知情或未授权的状况下,自动订购移动增值业务的;在用户不知情或未授权的状况下,自动采用手机支付功能进行消费的; 在用户不知情或未授权的状况下,自动拨打收费声讯电话的; 在用户不知情或未授权的状况下,自动订购其它收费业务的;在用户不知情或未授权的状况下,自动通过其它方式扣除用户资费的。4.2 隐私窃取概述：在用户不知情或未授权的状况下，猎取涉及用户障私的信息，具有障私窃取属性。包括但不限于具有以下任意一种行为的移动互联网恶意代码具有障私窃取属性: 在

8、用户不知情或未授权的状况下,猎取短信内容的; 在用户不知情或未授权的状况下,猎取彩信内容的; 在用户不知情或未授权的状况下,猎取邮件内容的; 在用户不知情或未授权的状况下,猎取通讯录内容的; 在用户不知情或未授权的状况下,猎取通话纪录的; 在用户不知情或未授权的状况下,猎取通话内容的; 在用户不知情或未授权的状况下,猎取地理位置信息的; 在用户不知情或未授权的状况下,猎取本机手机号码的; 在用户不知情或未授权的状况下,猎取本机已安装软件信息的; 在用户不知情或未授权的状况下,猎取本机运行进程信息的; 在用户不知情或未授权的状况下,猎取用户各类帐号信息的;在用户不知情或未授权的状况下,猎取用户各

9、类密码信息的;在用户不知情或未授权的状况下,猎取用户文件内容的;在用户不知情或未授权的状况下,纪录分析用户行为的;在用户不知情或未授权的状况下,猎取用户网络交易信息的;在用户不知情或未授权的状况下,猎取用户保藏夹信息的;在用户不知情或未授权的状况下,猎取用户联网信息的;在用户不知情或未授权的状况下,猎取用户下载信息的;在用户不知情或未授权的状况下,猎取其它用户隐私信息的。4.3 远程掌握概述：在用户不知情或未授权的状况下，能够接受远程掌握端指令并进行相关操作的，具有远程掌握属性。包括但不限于具有以下任意一种行为的移动互联网恶意代码具有远程掌握属性： 由掌握端主动发出指令进行远程掌握的； 由受控

10、端主动向掌握端恳求指令的。4.4恶意传播概述：自动通过复制、感染、投递、下载等方式将自身、自身的衍生物或其它恶意代码进行集中的行为，具有恶意传播属性。包括但不限于具有以下任意一种行为的移动互联网恶意代码具有恶意传播属性： 自动发送包含恶意代码链接的短信、彩信、邮件、WAP信息等； 自动发送包含恶意代码的彩信、邮件等； 自动采用蓝牙通讯技术向其它设施发送恶意代码的； 自动采用红外通讯技术向其它设施发送恶意代码的； 自动采用无线网络技术向其它设施发送恶意代码的； 自动向存储卡等移动存储设施上更制恶意代码的； 自动下载恶意代码的； 自动感染其它文件的；4.5资费消耗概述：在用户不知情或未授权的状况下

11、，通过自动拨打电话、发送短信、彩信、邮件、频繁连接网络等方式，导致用户资费损失的，具有资费消耗属性.包括但不限于具有以下任意一种行为的移动互联网恶意代码具有资费消耗属性: 在用户不知情或未授权的状况下, 在用户不知情或未授权的状况下, 在用户不知情或未授权的状况下, 在用户不知情或未授权的状况下, 在用户不知情或未授权的状况下,4.6系统破坏自动拨打电话的；自动发送短信的；自动发送彩信的；自动发送邮件的；频繁连接网络，产生特别数据流量的概述：通过感染、劫持、篡改、删除、终止进程等手段导致移动终端或其它非恶意软件部分或全部功能、用户文件等无法正常使用的，干扰、破坏、阻断移动通信网络、网络服务或其

12、它合法业务正常运行的，具有系统破坏属性。包括但不限于具有以下任意一种行为的移动互联网恶意代码具有系统破坏属性： 导致移动终端硬件无法正常工作的； 导致移动终端操作系统无法正常运行的； 导致移动终端其它非恶意软件无法正常运行的； 导致移动终端网络通讯功能无法正常使用的； 导致移动终端电池电量非正常消耗的； 导致移动终端放射功率特别的； 在用户不知情或未授权的状况下，对系统文件进行感染、劫持、篡改或删除的； 在用户不知情或未授权的状况下，对其它非恶意软件进行感染、劫持、篡改、删除、卸载、终止进程或限制运行的； 在用户不知情或未授权的状况下，对用户文件进行感染、劫持、篡改或删除的； 导致运营商通信网

13、络无法正常工作的； 导致其它合法业务无法正常运行的；4.7 诱骗欺诈概述：通过伪造、篡改、劫持短信、彩信、邮件、通讯录、通话纪录、保藏夹、桌面等方式，诱骗用户，而达到不正值目的的，具有诱骗欺诈属性。包括但不限于具有以下任意一种行为的移动互联网恶意代码具有诱骗欺诈属性： 伪造、篡改、劫持短信，以诱骗用户，而达到不正值目的的； 伪造、篡改、劫持彩信，以诱骗用户，而达到不正值目的的； 伪造、篡改、劫持邮件，以诱骗用户，而达到不正值目的的； 伪造、篡改通讯录，以诱骗用户，而达到不正值目的的； 伪造、篡改保藏夹，以诱骗用户，而达到不正值目的的； 伪造、篡改通讯纪录，以诱骗用户，而达到不正值目的的； 伪造

14、、篡改、劫持用户文件，以诱骗用户，而达到不正值目的的。 伪造、篡改、劫持用户网络交易数据，以诱骗用户，而达到不正值目的的； 冒充我国机关、金融机构、手机厂商、运营商或其它机构和个人，以诱骗用户，而达到不正值目的的； 伪造事实，诱骗用户退出、关闭、卸载、禁用或限制使用其它合法产品或退订服务的；4.8 流氓行为概述：执行对系统没有直接损害，也不对用户隐私、资费造成侵害的恶意行为具有流氓行为属性。包括但不限于具有以下任意一种行为的移动互联网恶意代码具有流氓行为属性： 强制驻留系统内存的； 额外大量占用移动终端中心处理器计算资源的； 在用户不知情或未授权的状况下，自动捆绑安装的； 在用户不知情或未授权

15、的状况下，自动添加、修改、删除保藏夹、快捷方式的； 在用户未授权的状况下，弹出广告窗口的； 导致用户无法正常退出的； 导致用户无法正常卸载、删除的； 执行用户未授权的其它操作。5移动互联网恶意代码命名法律规范5.1 移动互联网恶意代码命名格式移动互联网恶意代码采纳分段式格式命名，前四段为必选项，使用英文(不区分大小写)或数字标识；第五段起为扩展字段，扩展字段为可选项，内容使用中括号“”标识，主要用于标识其它重要信息或中文通用名称，扩展字段可增加多个。受影响操作系统编码.恶意代码属性主分类编码.恶意代码名称.变种名称.扩展字段如： s.remote,dumusicplay.b.毒媒 a.remo

16、te.adrd.a.红透透 w.privacy,mobilespy.c i.spread,ikee.a b.privacy,txsbbspy.a p.remote,vapor,a j.payment,swapi.e5.2 受影响操作系统编码受影响操作系统及编码包括但不限于以下类型： s：Symbian a：Android w：WindowsMobileWinCEWindowsPhone i：IPhoneIOS b：BlackBerry p：PalmOS j：J2ME(Java2MicroEdition) m：MTK o：其它类型的平台5.3 恶意代码属性主分类编码本法律规范将移动互联网恶意代码

17、属性按危害等级及包含关系排序，并用相应颜色标识，以便于对其进行描述，便利公众识别。如某恶意代码具有多个属性，则以排序靠前的属性作为主分类。移动互联网恶意代码属性主分类编码及排序如下：排序编码属性主分类危害级别颜色RGB颜色编码1payment恶意扣费高红色#FFoOoo2privacy隐私窃取高红色#FFOOOO3remote远程掌握高红色#FFooOo4spread恶意传播橙色ttFF8C005expense资费消耗中橙色#FF8C006system系统破坏中橙色#FF8C007fraud诱骗欺诈低黄色#FFFFOO8rogue流氓行为低黄色#FFFF(X)5.4 恶意代码名称恶意代码名称可

18、使用解开安装包或压缩格式后的恶意代码主程序的可执行文件名、主要进程的名称或特征字符串命名，亦可使用主程序体中第一个可用的ASCIl码串命名。原则上应遵循使用第一个公开报告的名称。扩展字段中的通用中文名称可使用安装包的中文名称、可执行文件运行界面的中文名称、进程连接的网站名称等。原则上应遵循使用第一个公开报告的名称。5.5 变种名称假如恶意代码样本解开安装包或压缩格式后的主程序MD5值不全都，而其行为、特征及属性均相同,则认为是同一家族的恶意代码，这时需要用变种名称来区分。变种名称依据样本发觉挨次采纳英文字母依次命名。第一个发觉的样本命名为a,其次个命名为b,第27个发觉的样本命名为aa,第28个命名为ab,以此类推。