一个可感染电脑的APK木马分析

华盟原创文章投稿奖励计划

  1. 传播途径:

  伪装成正规应用进行传播:

   一个可感染电脑的APK木马分析

  2. 恶意行为概述:

  该病毒监听系统开机广播,开机自启动;启动后,该病毒会发送消息给服务器,并不断接收、执行服务器发送的指令;该样本会下载感染电脑所需的配置文件及木马文件,当用户手机通过USB连接到电脑时便会感染电脑,窃取用户手机端和电脑端的大量隐私信息。

  3. 详细分析:

  3.1 该病毒监听系统开机广播,实现开机自启动:

   一个可感染电脑的APK木马分析

  3.2 启动后开启一个新的线程,创建短连接,向服务器发送版本、手机帐号信息等:

  一个可感染电脑的APK木马分析

  3.3 开启另一个线程,创建长连接,不断接收服务器的远程指令并执行相关恶意操作:

  一个可感染电脑的APK木马分析

   一个可感染电脑的APK木马分析

   一个可感染电脑的APK木马分析

  3.4 该病毒会执行服务端的远程指令,从ftp服务器上下载autorun.inf、svchosts.exe等感染PC所需的文件到SD卡上,当用户手机通过USB连接到电脑时便会感染PC电脑:

  一个可感染电脑的APK木马分析

  3.5 该病毒可以接收并执行大量远程指令,远程指令及其格式整理如下:

  一个可感染电脑的APK木马分析

  4. 查杀:

  腾讯哈勃分析系统识别:

  一个可感染电脑的APK木马分析

  腾讯电脑管家和手机管家识别:

  一个可感染电脑的APK木马分析  

       一个可感染电脑的APK木马分析

www.idc126.com

原文地址:https://hack.77169.com/201511/218219.shtm

本文原创,作者:华盟君,其版权均为华盟网所有。如需转载,请注明出处:https://www.77169.net/html/19937.html

发表评论