一个安卓锁机病毒的分析报告
2017-05-26 19:54
615 查看
1.样本概况
1.1 样本信息
样本名称:免流服务器.apk所属家族:Android锁屏勒索软件
MD5值:2efca46f34a565c2ef4052b89b6b364b
包名:zs.ip.proxy
入口:MainActivity
最低运行环境:Android 2.2.x
敏感权限:
1.2 测试环境及工具
夜神虚拟机 JEB AndroidKiller ApkToolBox 哈勃分析2.具体行为分析
2.1 主要行为
获取root权限、锁机2.1.1 恶意程序对用户造成的危害(图)
2.1.2 恶意程序在Androidmanifest.xml中注册的恶意组件
android.permission.INTERNET //访问网络连接,可能产生GPRS流量android.permission.MOUNT_UNMOUNT_FILESYSTEMS //挂载、反挂载外部文件系统
android.permission.WRITE_EXTERNAL_STORAGE //允许程序写入外部存储,如SD卡上写文件
android.permission.READ_EXTERNAL_STORAGE //读取SD卡文件
释放的apk病毒文件注册的组件
android.permission.SYSTEM_ALERT_WINDOW //让窗口显示在其他所有程序的顶层
android.permission.RECEIVE_BOOT_COMPLETED //监听事件启动自身
android.permission.SEND_SMS //允许程序发送SMS短信
2.2 恶意代码分析
2.1 加固后的恶意代码树结构图(是否有加固)
无加固2.2 恶意程序的代码分析片段
进入APK入口的onCreate函数, 释放一个文件stk3.apk到/storage/sdcard0目录下分析az函数
用AndroidKiller将stk3.apk提取出来继续分析
找到服务的onCreate函数
解锁比较函数onStartCommand函数,找到 密码:TFB4
3.解决方案(或总结)
3.1
提取病毒的特征,利用杀毒软件查杀
免流服务器 特征码字符串:/storage/sdcard0/stk3.apk
\u6838\u5FC3\u6587\u4EF6\u5B89\u88C5\u9519\u8BEF\uFF01\u8BF7\u786E\u8BA4\u624B\u673A\u662F\u5426\u5DF2\u7ECFroot\uFF01 //核心文件安装错误!请确认手机是否已经root!
zs.ip.proxy.MainActivity
stk3.apk特征码字符串:
手机号码:"18277506826"
"\u60f3\u5fc5\u4e00\u5b9a\u662f\u4eba\u6e23\u4e2d\u7684\u6781\u54c1\uff0c\u79bd\u517d\u4e2d\u7684\u79bd\u517d.\u770b\u770b\u554a\uff
4000
0c\u4f60\u8fd9\u5c0f\u8138\u7626\u5f97\uff0c\u90fd\u6ca1\u4e2a\u732a\u6837\u5566\uff01"
//脏话
3.2 手工查杀步骤或是工具查杀步骤或是查杀思路等。
用adb连接到手机1.删除/system/app/stk3.apk
2.删除/storage/sdcard0/stk3.apk
3.重启然后卸载免流服务器
样本地址 : http://download.csdn.net/detail/c_cold1988/9853532
相关文章推荐
- 一个lpk.dll病毒的分析报告
- 【安卓病毒分析报告】FakeBank-盗取韩国银行信息的手机病毒
- “MSN 相片” 最新病毒分析报告以及手工清除方法
- QQ大盗病毒传播技术分析报告及防范(图)
- 一个病毒源码的分析
- 1980病毒分析报告
- “尼姆亚(也称熊猫烧香)”病毒分析报告-可能会有用
- 一个被入侵网站分析报告
- 一个被入侵网站分析报告
- 分析:为什么McAfee报告QQ程序是病毒
- “磁碟机”病毒详尽分析报告
- 一个Linux病毒原型分析
- 一个C#病毒源代码的分析
- 查看完整版本 : 病毒木马 【分享】一个病毒源码的分析
- “磁碟机”病毒技术分析报告
- 一个简单的HTML病毒分析
- 通过对一个病毒源码的分析,了解VBS脚本语言的应用
- 发布“灯泡男”病毒分析报告
- “Nimaya(熊猫烧香)”病毒分析报告