1.样本概况

1.1 样本信息

样本名称:免流服务器.apk

所属家族:Android锁屏勒索软件

MD5值:2efca46f34a565c2ef4052b89b6b364b

包名:zs.ip.proxy

入口:MainActivity

最低运行环境:Android 2.2.x

敏感权限:

1.2 测试环境及工具

夜神虚拟机 JEB AndroidKiller  ApkToolBox 哈勃分析

2.具体行为分析

2.1 主要行为

获取root权限、锁机

2.1.1 恶意程序对用户造成的危害(图)

2.1.2 恶意程序在Androidmanifest.xml中注册的恶意组件

android.permission.INTERNET                   //访问网络连接,可能产生GPRS流量

android.permission.MOUNT_UNMOUNT_FILESYSTEMS   //挂载、反挂载外部文件系统

android.permission.WRITE_EXTERNAL_STORAGE      //允许程序写入外部存储,如SD卡上写文件

android.permission.READ_EXTERNAL_STORAGE       //读取SD卡文件

释放的apk病毒文件注册的组件

android.permission.SYSTEM_ALERT_WINDOW        //让窗口显示在其他所有程序的顶层

android.permission.RECEIVE_BOOT_COMPLETED     //监听事件启动自身

android.permission.SEND_SMS                   //允许程序发送SMS短信

2.2 恶意代码分析

2.1 加固后的恶意代码树结构图(是否有加固)

无加固

2.2 恶意程序的代码分析片段

进入APK入口的onCreate函数, 释放一个文件stk3.apk到/storage/sdcard0目录下

分析az函数

用AndroidKiller将stk3.apk提取出来继续分析

找到服务的onCreate函数

解锁比较函数onStartCommand函数,找到 密码:TFB4

3.解决方案(或总结)

3.1 提取病毒的特征,利用杀毒软件查杀

免流服务器 特征码字符串:

/storage/sdcard0/stk3.apk

\u6838\u5FC3\u6587\u4EF6\u5B89\u88C5\u9519\u8BEF\uFF01\u8BF7\u786E\u8BA4\u624B\u673A\u662F\u5426\u5DF2\u7ECFroot\uFF01   //核心文件安装错误!请确认手机是否已经root!

zs.ip.proxy.MainActivity

stk3.apk特征码字符串:

手机号码:"18277506826"

"\u60f3\u5fc5\u4e00\u5b9a\u662f\u4eba\u6e23\u4e2d\u7684\u6781\u54c1\uff0c\u79bd\u517d\u4e2d\u7684\u79bd\u517d.\u770b\u770b\u554a\uff0c\u4f60\u8fd9\u5c0f\u8138\u7626\u5f97\uff0c\u90fd\u6ca1\u4e2a\u732a\u6837\u5566\uff01"

//脏话

3.2 手工查杀步骤或是工具查杀步骤或是查杀思路等。

用adb连接到手机

1.删除/system/app/stk3.apk

2.删除/storage/sdcard0/stk3.apk

3.重启然后卸载免流服务器

样本地址 : http://download.csdn.net/detail/c_cold1988/9853532

一个安卓锁机病毒的分析报告相关推荐

  1. 013 Android锁机病毒分析

    文章目录 免流服务器-锁机病毒分析 秒抢红包-锁机病毒分析 免流服务器-锁机病毒分析 首先来分析这个免流服务器的锁机病毒,文件信息如下 文件: 免流服务器.apk 大小: 799835 bytes 修 ...

  2. 【重榜】易语言锁机病毒模块分享!!!!

    锁机病毒的锁机密码:318758393 代码已经写完整了, 仅需要你在要用到的地方写到: 锁机病毒() 便会自动调用病毒代码, 还请各位别拿去干坏事, 你可以用来做控制自己朋友玩游戏用, 易语言锁机病 ...

  3. 记一次MBR锁机病毒分析

    有一天,在机缘巧合之下我获得了一个锁机软件(是多巧合阿喂!),然后兴高采烈的把它拖入了虚拟机里蹂躏(>_<!). 很巧,软件有虚拟机检测... Emmmm好吧,随便过一下... 我用的虚拟 ...

  4. android锁机病毒源代码,Android 锁机样本母体分析

    本帖最后由 莫问刀 于 2018-8-17 09:49 编辑 --------------------------------------------------------------------- ...

  5. 对一个手游修改器锁机APP的分析

    背景 在网络上搜索到了一款号称可以无视市面上,任何手游反外挂检测的手游数据修改器. 于是就进行下载分析(使用或分析这种未知风险的APP,建议都在模拟器上进行操作,因为你不知道这APP是否有危害,在模拟 ...

  6. 一个感染型的病毒逆向分析

    作者:Fly2015 其实对于病毒分析人员来讲,会逆向分析汇编代码只是一个方面,一名出色的病毒分析人员不但要会分析汇编代码还要会总结病毒的行为.因为病毒分析报告是给看不懂这些汇编代码人员看的.一份好的 ...

  7. 全球与中国机器人随机装箱机市场深度研究分析报告

    [报告篇幅]:92 [报告图表数]:139 [报告出版时间]:2022年1月 2021年全球机器人随机装箱机市场销售额达到了 亿美元,预计2028年将达到 亿美元,年复合增长率(CAGR)为 %(20 ...

  8. 全球与中国机器人贴标机市场深度研究分析报告

    [报告篇幅]:93 [报告图表数]:139 [报告出版时间]:2022年1月 2021年全球机器人贴标机市场销售额达到了 亿美元,预计2028年将达到 亿美元,年复合增长率(CAGR)为 %(2022 ...

  9. 全球与中国洗地吸干机市场深度研究分析报告

    [报告篇幅]:107 [报告图表数]:150 [报告出版时间]:2021年1月 报告摘要 2021年全球洗地吸干机市场销售额达到了 亿美元,预计2028年将达到 亿美元,年复合增长率(CAGR)为 % ...

  10. 全球与中国动臂和剪式举升机市场深度研究分析报告

    [报告篇幅]:160 [报告图表数]:187 [报告出版时间]:2021年1月 报告摘要 2019年,全球动臂和剪式举升机市场规模达到了xx亿元,预计2026年将达到xx亿元,年复合增长率(CAGR) ...

最新文章

  1. ⑤Windows Server 8 RemoteFX体验
  2. charles代理以及关于其抓取https信息的操作
  3. ReactJS学习笔记——npm、JSX、webpack
  4. stdio.h iostream.h iostream 三者
  5. Android之严苛模式(StrictMode)
  6. 第五十五期:区块链将在2020年实现的重大改变
  7. LINUX操作系统的内核编译内幕详解二
  8. 获取虚拟机的唯一标识_JVM笔记:Java虚拟机的类加载机制(附详细思维导图)...
  9. 2016百度之星复赛 1003 拍照 优先队列
  10. bzoj 4417: [Shoi2013]超级跳马(矩阵合并+快速幂)
  11. 一个Java程序员对2011年的回顾
  12. HTML5 汉字上方添加拼音标注 ruby、rp、rt
  13. 怎样将OFD转成PDF并保留电子签章
  14. Java的三大特性之封装、继承、多态-----最简理解
  15. C++_MFC读视频文件
  16. 利用python提取视频中的字幕
  17. Jmeter 压力测试、并发测试、弱网测试
  18. MYSQL 千万数据速度以及极限测试InnoDb--INSERT 拼接极限(一)
  19. Android开发 TextView
  20. 【JavaScript】Interview必背(详细版)

热门文章

  1. Python数据分析与机器学习42-Python库分析科比生涯数据
  2. 17、Java——汽车租赁系统(对象+数组)
  3. 摩尔庄园一直显示服务器,《摩尔庄园手游》一直显示获取远端资源号介绍 进不去怎么办...
  4. endpt matlab,将SDPT3配置到matlab
  5. 金融风控实战——金融风控与反欺诈业务详解
  6. Python-通过Fidder+mumu模拟器爬取豆瓣TOP250
  7. 基于Raspberry pi的BMI160驱动程序实例
  8. [转载]使用 Abbot 框架自动化测试 Eclipse 插件的用户界面,第 1 部分
  9. 【eclipse安装】安装包中-win32-x86_64的意思
  10. 逆矩阵在密码学中的应用(希尔密码原理)