热搜
您的位置:首页 >> 教育

年度悬疑侦探大片360揭秘长老木马三代七

2019年05月15日 栏目:教育

日前,感染百万部的长老木马三代浮出水面,长老木马三代会替换掉系统文件以假乱真,并下载大量恶意程序且极难清除,可谓中的埃博拉。11月24日,3

日前,感染百万部的长老木马三代浮出水面,长老木马三代会替换掉系统文件以假乱真,并下载大量恶意程序且极难清除,可谓中的埃博拉。11月24日,360互联安全中心发布技术报告,表露识骨寻踪长老木马三代的整个过程,可谓侦探大片。终,顺藤摸瓜揪出背后另一木马家族大毒枭。

图一:360互联安全中心追踪两大木马家族

吸费手电筒初露冰山一角

近期很多友的Android上稀里糊涂地出现了手电筒、日历等应用,并且在没有Root的条件下无法卸载。即便获得了Root权限卸载了,没过多久又会再次出现。根据360互联安全中心统计,有类似情况的带病已超过百万。

图二:用户中莫名多出手电筒和日历

始作俑者长老木马3代潜入系统

经过大量的用户配合反馈以及360互联安全中心细致分析排查后,发现始作俑者为长老木马(FakeDebuggerd)家族的变种长老木马3代,该木马会将安卓系统文件/system/bin/debuggerd文件替换为重名的恶意文件,并偷偷联下载ELF文件,ELF文件在运行后会自动释放并安装恶意篡改的手电筒和日历等运用。

另外,长老木马三代还会隐藏本身进程,回写文件修改时间,隐蔽性大大增强。长老木马三代会判断被歹意篡改的手电筒和日历应用在中招中是不是存在,如果被卸载则会重新联下载安装,因此很多用户卸载后这些程序还会再次出现。

木马宿主省电专家浮出水面

长老木马3代究竟从何而来?360互联安全中心分析感染机型范围发现它的来源并不是随着ROM带下去的,应该是通过安装程序释放的。通过一系列的用户反馈进一步测试等待复现,元凶终于浮出了水面省电專家。

木马作者在歹意篡改的省电專家中对类名和字符串进行了高度混淆加密,增加静态分析难度,同时,运行时释放r文件,这个文件正是长老木马3代的真正宿主。

追根溯源千余软件安装包为r携带者

360互联安全中心分析发现,只要加载运行恶意文件r就会感染长老木马3代, r通过伪装成常用软件以及TJ广告联下载进行传播,这两类的样本总数量到达了1000多款,这正是长老木马3代的感染量如此高的原因。

图三:r伪装的常用软件举例

同时,与早期版本的r文件对比,r执行流程从线型发展为状,使用加密算法从裸奔到面目全非。

株连蔓引大毒枭家族传毒路径暴光

在分析长老木马三代的整个传播感染进程中,360互联安全中心又揪出了另一个歹意木马家族大毒枭(keinfo.A),该家族对漏洞利用文件和恶意APK包进行双层加密,以歹意样本为介质顺次进行推广传播,借毒传毒,另外,还会通过云控私发扣费短信。

360安全专家指出,长老木马三代及大毒枭木马家族背后是一个庞大的病毒制造团伙,通过多种加密手段以及专业的混淆工具躲避安全检测,木马在中隐藏得更深,更难以清除。360互联安全中心建议,App开发者在嵌入广告时应仔细甄别,以免嵌入恶意广告插件,给自己的软件及用户带来不必要的损失;广告商要加强推行软件的审查力度,不给恶意软件传播留下可趁之机。用户一定要通过正规渠道下载安装App应用,同时,安装专业的安全软件,开启安全监控。

急救箱下载地址:

长老木马专杀工具下载地址:

详细分析地址:

经期小腹胀痛怎么办
经期小腹胀痛怎么调理
经前小腹胀痛如何治