返回
【5A文】手机病毒分析报告.doc

【5A文】手机病毒分析报告.doc

ID:32027491

大小:1.56 MB

页数:25页

时间:2019-01-30

【5A文】手机病毒分析报告.doc_第1页
【5A文】手机病毒分析报告.doc_第2页
【5A文】手机病毒分析报告.doc_第3页
【5A文】手机病毒分析报告.doc_第4页
【5A文】手机病毒分析报告.doc_第5页
资源描述:

《【5A文】手机病毒分析报告.doc》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、5A版优质文档最新手机病毒分析报告一、背景20XX年末,不少人手机中莫名其妙地被下载安装其他应用、手机自动订阅扣费服务等问题,手机还原出厂设置后,问题依旧无法解决。类似的用户反馈近期越来越多,经跟踪发现,引起此类症状的元凶为一linux系统层病毒。该病毒的核心模块包括一个ELF系统文件conbb(configopb)及一个伪装系统应用的APK文件core,通过这些文件,我们发现病毒提供了一整套完善的实现和接口,能够被不同的APK应用方便的打包调用,进而造成该病毒被广泛传播,影响恶劣。据后台数据分析,打包该病毒模块

2、的应用达数百种之多,因此,我们该病毒命名为“百脑虫”病毒。通过搜索引擎能够轻松的发现中招网友的反馈:图1“百脑虫”感染网友反馈二、传播“百脑虫”病毒是以插件的形式嵌入各种应用程序里面传播的,其中又以本身就有很多问题的色情类应用和一些受欢迎的高广应用居多,这些被重打包的问题程序通过第三方电子市场或某些色情类网站进行疯狂传播。1、色情视频类应用嵌入百脑虫病毒的色情类APP的名称具有极高的诱惑性,如成人影院、媚娘影音、干姐姐视频、禁播视频等。一旦“宅男”用户对这些极其诱惑性的APP名称经不起其诱惑,点击安装此类应用即可

3、中招。255A版优质文档5A版优质文档图2嵌入百脑虫病毒的色情类应用2、高人气正常应用具有较高人气的正常应用也是百脑虫病毒传播的重灾区。如千炮捕鱼新年版、极品时刻表、全名挖钻石等都被别有用心的病毒作者篡改,嵌入了百脑虫病毒。如用户安全意识薄弱,未通过官方或正规第三方电子市场下载安装此类应用,很容易被百脑虫病毒感染。图3嵌入百脑虫病毒的正常应用三.病毒介绍百脑虫病毒模块关系如图:255A版优质文档5A版优质文档图4百脑虫模块关系打包百脑虫的应用启动后,会提权释放一个无图标的APK到系统应用路径里,此APK在后台默默

4、运行,用户难以发觉。此APK就是百脑虫病毒的核心模块,它主要功能有检查安全软件、劫取用户隐私、静默推广安装其他应用及病毒文件等。百脑虫执行流程图如下:255A版优质文档5A版优质文档图5百脑虫执行过程1、打包百脑虫的应用启动后,首先从assets文件夹中的加密数据文件中解密所有重要模块。其中包含第三方root提权工具、su文件、core核心模块、conbb病毒安装脚本、install-recovery.sh等。2、判断用户手机是否处于root状态。如果不是root状态,将用户机型、系统版本等信息上报给云端,并从云

5、端下载与机型、系统版本相应的已知漏洞的root提权文件,使用第三方工具执行root提权。3、提权成功后将core模块复制到/system/app下成为系统应用,使用户无法通过正常方法卸载此应用。4、core模块一直运行在后台,判断自己是否处于安全厂商沙箱环境中,如果是,则直接退出不做进一步行为。5、core模块判断是否有安全软件服务在运行,如果是,尝试强制终止其服务进程。6、core模块删除所有其他root工具及root授权管理应用,使其他应用无法获取root权限。7、周期性地从后台静默下载安装众多其他应用及病毒

6、文件。255A版优质文档5A版优质文档四.详细分析1、百脑虫重打包代码百脑虫病毒是被其他应用重打包后传播的,一个被重打包的应用,入口函数中会加入一行病毒的启动代码。此应用运行时,百脑虫病毒代码将获得执行权限。图6百脑虫病毒的启动代码病毒代码执行以后,从assets文件夹的krLib(文件名可变)加密数据文件的起始64个字节获取密钥KEY及配置相关信息。255A版优质文档5A版优质文档图7获取密钥及运行相关配置信息从实际病毒样本中获取的密钥为“10249832931963293212373431424213”,运行

7、相关配置信息为“00000000000000010000000000000336”。密钥会用在解密百脑虫病毒其他模块及字符串。母包APP层的解密算法有两种:dn_1、dn_2。dn_1是用来解密其他百脑虫相关模块,dn_2是用来解密关键字符串。图8加密的关键字符串255A版优质文档5A版优质文档图9解密函数用已取得的密钥配合解密算法,可以还原关键字符串:图10解密后代码片段255A版优质文档5A版优质文档图11解密后百脑虫文件此后,百脑虫会检测运行环境是否真实,如果检测到沙箱环境,病毒会自动退出。通过环境检测以后

8、,病毒判断系统是否存在文件“/sytem/bin/conbb”、“/system/xbin/conbb”、“/system/bin/su”、“/system/xbin”中的任何一个或服务进程“com.android.browser.internal.server”。如果是,则说明手机已经处于root状态,检验结果上报给远程服务器并执行后面的流程,如果病毒判断手机未root

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。