返回
相册木马跟踪分析

相册木马跟踪分析

ID:9845527

大小:611.36 KB

页数:12页

时间:2018-05-12

相册木马跟踪分析_第1页
相册木马跟踪分析_第2页
相册木马跟踪分析_第3页
相册木马跟踪分析_第4页
相册木马跟踪分析_第5页
资源描述:

《相册木马跟踪分析》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、相册木马跟踪分析Content木马信息3危害程度3分析步骤3病毒样本Apk解包3解包后关键文件确定4关键文件逐步分析4strings.xml4AndroidManifest.xml5LogcatScannerService.smali5AndroidLogcatScannerThread.smali6MainActivity.smali6MainAPP.smali8SmsReceiver.smali9libAPKProtect.so9分析结果汇总10病毒工作流程10病毒主要特点10病毒对抗分析10紧急应对方法11终端用户可以在

2、系统设置中卸载它11建议各杀毒软件厂商尽快给出查杀办法11建议运营商可以通过短信的形式发送告警11威胁情报11关于绿盟科技12执行摘要5月4日晚,绿盟科技威胁响应中心监测到在安徽、浙江等区域出现Android聚会相册蠕虫大规模传播的情况,传播速度较快,随即启动应急机制,应急响应工作随即启动。15日晨,合肥办接客户获取木反馈,将相关信息提报总部,启动木马分析工作。25日,对木马样本深入分析,并给出应对方法。36日,发布紧急通告,并将分析报告发送给客户及合作伙伴。47日,结合深入分析,更新报告到2.0如果您需要了解更多信息,请联

3、系:•绿盟科技威胁响应中心微博•http://weibo.com/threatresponse•绿盟科技微博•http://weibo.com/nsfocus•绿盟科技微信号•搜索公众号绿盟科技木马信息聚会相册早在2014年就曾经出现过,当时大多是病毒的形式,影响范围有限,在扫描结果中通常可以看到Android.Troj.Sms的标识信息。在2015年劳动节后,绿盟科技威胁响应中心监测到在在安徽、浙江等局部区域,该病毒有大规模传播的趋势,且已经具备蠕虫的特征。该蠕虫传播方式有如下几种:•通过感染手机,搜索联系人,发送短信诱使被

4、害人打开恶意网站或者安装APK程序•通过感染QQ,搜索联系人,发送链接诱使被害人安装应用程序•通过相册APP,进一步扩大发送范围该蠕虫在传播过程中,可能会发送如下信息:•你在干嘛?新年快乐,这是过年时候大家聚会的照片,好珍贵的留影,你快看看吧,地址:http://…•这是我们以前的照片你手机打开看看http://....•新年好!这是过年时候大家聚会的照片,好珍贵的留影,你快看看吧,地址:http://...•你竟然做出了这样的事!实在让人不能原谅!..../10086.apk;•看你干的好事,自己看吧…/SS.APK打開证据

5、都在里面呢;•有人悄悄在生日管家记录了您的生日,点击了解http://...•xxx这是之前的聚会照弄好了,大家的精彩瞬间。手机直接点击地址X安装激活查看…危害程度从技术角度上来说,该木马具备简单的反解密措施,以逃避现有杀毒软件的查杀,从目前公开检测报告来看,现有各软件的检测及查杀效果较差VirSCAN:http://r.virscan.org/report/4cb994392b1fc3c3d02011fa3dbbd49f,从而对其自我传播形成有利形势。从威胁态势上来看,该木马虽然目前传播后,除消耗话费外并没有做出严重危害动作

6、,但其代码中具备监听手机接收到短信的功能,未来在其大规模感染后,很容利用此功能进行网银、支付宝等金融犯罪动作,其潜在的威胁程度较高。分析步骤病毒样本Apk解包绿盟科技安全人员在获取到病毒样本后,第一时间进行了解包分析,通过使用如下命令可完成apk的解包1$java–jarapktool.jard解包结果如下图所示:12解包后关键文件确定随即对解包后的各个文件进行分析。在android工程中,排除掉编译时自动生成的文件,以及样本分析关系不大的文件,最终确定以下一些文件为病毒的关键文件:1./res/v

7、alues/strings.xml2./smali/cn/cnn/mmc/eez/LogcatScannerService.smali3./smali/cn/cnn/mmc/eez/LogcatScannerService$AndroidLogcatScannerThread.smali4./smali/cn/cnn/mmc/eez/MainActivity.smali5./smali/cn/cnn/mmc/eez/MainAPP.smali6./smali/cn/cnn/mmc/eez/SmsReceiver.smali7.

8、/AndroidManifest.xml8./lib/armeabi/libAPKProtect.so其中,•smali类型的文件,为apk中经过java代码编写后生成的文件;•Strings.xml为apk中的一些静态字符串变量;•AndroidManifest.xml为a

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。