魔波广告恶意病毒简析

最新推荐文章于 2021-08-31 15:33:18 发布
最新推荐文章于 2021-08-31 15:33:18 发布
阅读量1.9k 收藏
点赞数
分类专栏: 原创 病毒 木马 文章标签: 病毒 安全 木马
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/TencentMobileManager/article/details/53169860
版权
原创 同时被 3 个专栏收录
11 篇文章 0 订阅
订阅专栏
病毒
5 篇文章 0 订阅
订阅专栏
木马
5 篇文章 0 订阅
订阅专栏

1.病毒介绍

该病毒通过仿冒浏览器,播放器和一些游戏等进行传播,一旦用户手机不慎被感染,该病毒将立即下载提权文件来获取root权限,频繁推送广告,监控用户短信记录,私自发送扣费短信,注入大量恶意文件到手机系统用于守护病毒,防止病毒被卸载。

病毒样本的下载来源大多是来自国外的云服务器如cloudfront.net和amazonaws.com,软件名通常为全英文如WatermelonShare、Calc Master等,推送的广告内容以及下载的软件也都是国外软件,以此推测此病毒的目标应该是国外用户;从病毒功能及代码注释信息上看,此病毒是国内制造的,因此推测此病毒是国内制造,国外流行的典型广告木马,我们根据感染量较大的一个样本中的一些线索推测木马作者可能是在福建福州,一家从事app市场的公司。

病毒感染量变化趋势:

1.png

2.样本信息

包名: com.mobo.mrclean

证书: 1D90BFFEC2A26B6CC50151757CBCEE04

Assets目录下的子包

2.png

3.恶意行为

1) 病毒运行后,立即下载提权文件来获取root权限,夺取系统的控制权;

2) 注入大量恶意文件到手机系统,阻止病毒被卸载;

3) 私自发送扣费短信,造成用户极大的财产损失;

4) 下载并静默安装恶意子包至手机rom内;

5) 频繁推送恶意广告,影响用户正常使用手机;

 

3.png 4.png

 5.png

4.病毒执行流程

 6.png

 

5.详细分析

1) 病毒母包行为

加载子包assets/a

 7.png

调用in1方法解码assets/c,assets/s,生成mcr.apk和libdt.so

 8.png

调用in2方法加载libdt.so

9.png

libdt.so中通过in3方法了mcr.apk

 10.png

libdt.so的in4方法通过loadClass方式调用了mcr.apk的com.android.provider.power.Power类中的init方法11.png

com.android.provider.power.Power类中的init方法

12.png

initcore方法中通过getIsFirst方法判断程序是否第一次被运行

若是首次运行则调用Door.init(context);方法初始化配置并启动服务b和服务d,激活广告功能

14.png

服务b,启动线程DetectAppTask并通过timerSet定时持续发送广播

15.png

检测包名通过之后,线程DetectAppTask发送弹窗广播Action"com.fpt.alk.clk"

16.png

广播接收器通过接收广播弹出广告

17.png

服务d启动诱导消费模块

18.png

19.png

通过startservice方式启动服务c

20.png

启动计费服务,创建线程GasLogicRun

21.png

启动线程GasLogicRun,调用handlerRet方法发送短信

22.png

handlerRet方法解析JSONObject获取相关的计费信息并发送短信进行扣费

23.png

拦截含有指定关键字的短信

24.png

25.png

扣费成功后向服务器上传信息

26.png

DataStore类用于操作存放屏蔽关键词的数据库fmoonStore.db

27.png

Cpsavd类用于监控短信变化

28.png


2) Root相关模块

Root启动模块子包com.xx.mas.demo,判断root方案文件是否存在,若存在则加载进行root,若不存在则创建生成再进行root

29.png

/data/data/包名/files/.sunny目录下的b.png解压后为r1~r4,分别是四种root方案,利用了CVE-2012-6442、WooYun-2013-21778、CVE-2013-6282等漏洞来进行root提权。

 30.png31.png


 3) 其他恶意文件功能简要说明

32.png

elf文件.ukd,注入恶意文件至手机系统中

33.png

如下注入恶意文件到/system/xbin/.pr.io

34.png

Elf文件.pr.io用于守护包名为com.music.store.fore.go的恶意apk并与服务器交互信息

35.png

elf文件.pe用于保护root权限;

elf文件supolicy 

用于在init.rc和install-recovery.sh中添加恶意文件开机启动

修改后的install-recovery.sh

36.png 

mkdevsh文件

将恶意文件注入系统中并修改权限

 37.png

.debuggerd.no注入恶意文件至系统中并设置守护线程

 38.png

.ir文件用于设置守护线程

39.png


4) rom恶意apk子包分析

用户量情况

40.png

B90A7FCB2019BB59799646F77746FAEF11EECE37

启动后加载资源子包\assets\is.png,主要用于广告的统计与服务器的交互,也有私自下载静默安装的风险

41.png

 

29E9B1F1285D73612C751ACF3D755A99B31F3509

EF28DE725D2AF36E7BE5E063ADF6D1DF358AE95D

32486B0757215FC94684D85762C836007A6811D0

E6E87065821C5FDEC3F5C1CF6C2A1736B0AC1B8B

A715A1A36DF454C2DCC242D5884DF40150670574

启动后解密并加载资源子包\res\raw\protect.apk,用于唤醒病毒主模块进程,并私自下载安装其他软件42.png 

私自下载安装其他软件

43.png 

 

5) 样本相关链接

推广信息图片:

http://d3********iyhtno.cloudfront.net/pic/pic1.jpg

Root模块:

http://down.c*****xa.com/b****okr/rtt_0310_577.apk

http://down.c******xa.com/testapk/is1010_1154.jar

Rom内恶意子包netalpha

http://down.co****n.com/o****in/mains2.apk

  

6.查杀截图

44.png45.png47.png48.png49.png46.png

 

7.清除方案

要将此病毒彻底清除需要清理系统中的恶意文件:

50.png

腾讯手机管家
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
恶意软件分析——Tesla勒索病毒分析
摔不死的笨鸟的博客
09-06 1044
目录 概述… 2 样本信息… 2 样本行为… 2 流程图… 4 技术细节详细分析… 5 静态分析… 5 线程一:结束指定进程… 8 线程二:删除卷影副本… 8 线程三:网络连接服务器… 9 线程四:遍历文件并实施加密… 9 动态分析… 11 样本溯源… 12(略) 查杀·防御技术方案… 13 总结… 14 FileName FileType FileSize MD5 tfukrc....
一款简单恶意病毒分析
ZZPLAS的博客
03-26 149
解密后,发现应该是免杀设置,先判断是否有杀毒软件,若有则关闭 WindowsDefender,关闭 AntiSpyware,关闭实时扫描,关闭访问保护,关闭行为监控,关闭 AntiVirus/防火墙/系统更新及通知,关闭 实时保护,设置了注册表键值。若是病毒程序,则执行到下一段代码,到此处代码发现函数sub_402810执行解密操作,将无序字符串解密出有效字符串,需要OD动态调试。下图为解密函数,以Tidr为密钥进行解密。推测该样本可能的恶意行为,下载字符串,网络行为,查询窗口,遍历文件COM组件调用。
中华吸血鬼恶意病毒分析
weixin_30897079的博客
07-06 209
作者:清新阳光 ( http://hi.baidu.com/newcenturysun) 日期:2008/06/19 (转载请保留此声明) 这是一个具有多种传播功能...
魔波病毒清除
图书馆技术工作
08-23 1382
    8月14日上午,瑞星全球反病毒监测网在国内率先截获到两个利用系统高危漏洞进行传播的恶性病毒——“魔波(Worm.Mocbot.a)”和“魔波变种B(Worm.Mocbot.b)病毒。据瑞星客户服务中心统计,目前国内已有数千用户遭受到该病毒攻击。    该病毒会利用微软MS06-040高危漏洞进行传播。当用户的计算机遭受到该病毒攻击时,会出现系统服务崩溃,无法上网等症状。   
一款勒索病毒的分析
richard1230的博客
04-06 1966
样本概况 样本信息 测试环境及工具 分析目标 具体行为分析 主要行为 恶意代码分析 恶意软件本体的行为: 样本概况 样本信息 MD5值:bba660ab32606478a78ec7dff64ed81c SHA1值:826ccd5c2535360915fe9f81ac8b3663b21be285 CRC32:3d34e7bc 恶意软件行为: 此恶意软...
简析阶梯波发生器电路图
07-15
本文主要讲了阶梯波发生器电路图,下面一起来学习一下
网络广告之本质特征简析
07-09
网络广告是主要的网络营销方法之一,在网络营销方法体系中具有举足轻重的地位,事实上多种网络营销方法也都可以理解为网络广告的具体表现形式,并不仅仅限于放置在网页上的各种规格的 BANNER广告,如电子邮件广告、...
英国EYFS体系简析.pdf
03-30
英国EYFS体系简析.pdf英国EYFS体系简析.pdf英国EYFS体系简析.pdf英国EYFS体系简析.pdf英国EYFS体系简析.pdf
简析WEB前端开发.pdf
11-17
简析WEB前端开发.pdf
交通信号机行业简析.doc
12-17
交通信号机行业简析 交通信号机作为城市交通管理中的重要组成部分,对于保障交通安全、提高道路通行效率起着至关重要的作用。自1868年第一台交通信号机诞生以来,这个行业经历了漫长的发展历程,从最初的简单手动...
01 恶意代码分析技术概述
weixin_45760206的博客
08-31 1376
文章目录一. 恶意代码基础知识1.基础知识:2.恶意代码类型3.分类4.恶意代码技术新趋势二. 恶意代码分析技术介绍1.恶意代码分析关键点2.静态分析3.动态分析4.恶意代码静态分析方法列表5.恶意代码动态分析方法列表6.恶意代码分析目标 一. 恶意代码基础知识 1.基础知识: 恶意代码的定义:使计算机按照攻击者的意图运行以达到恶意目的的指令集合。 指令集合:n二进制执行文件,脚本语言代码,宏代码,寄生在文件、启动扇区的指令流。 宏代码: 2.恶意代码类型 特洛伊木马:伪装成有用软件,隐藏恶意
病毒分析流程总结
auriel的博客
04-27 6421
前段时间拜读了《恶意代码分析实战》一书,算是对整个病毒分析的流程和常用方法有个大致的了解,现在总结一下,也算是给自己做的一个笔记。         首先,病毒分析师必须具备以下知识:编程、汇编/反汇编、逆向分析、PE文件结构以及一些常用行为分析软件。下面开启我们的旅程。                 一、在一个已经感染了病毒的机器上如何找到病毒文件?                找到
Nodejs的安装和管理(NVM)
老子灬仗贱走天涯的博客
05-27 2802
最近开始接触node.js,毕竟火的不要不要的么,由于是菜鸟,也写不出什么比较吊的文章,权当给自己做笔记了。 由于node.js更新速度太快,版本众多,因此使用一个管理工具就尤为重要。官方的nvm(node version manager)感觉很是不错,那么今天就说说它的安装吧(win10环境): 首先确保你的网络畅通,还有不被墙,如果需要翻墙,请看:  https://github
勒索病毒分析报告
qq_43572067的博客
11-01 3726
样本信息 病毒名称:勒索病毒 所属家族:恶意勒索 MD5值:DBD5BEDE15DE51F6E5718B2CA470FC3F SHA1值:863F5956863D793298D92610377B705F85FA42B5 CRC32:1386DD7A 病毒行为: 将自身拷贝到C:\Users\15pb-win7\Documents\,并将其设置注册表启动项。 设置为cmd命令行方式启动自身 运行过程...
变种速度惊人的“魔波”高危病毒现身(附解决方案)
weixin_34396103的博客
09-11 113
8月14日上午,瑞星全球反病毒监测网在国内率先截获到两个利用系统高危漏洞进行传播的恶性病毒——“魔波(Worm.Mocbot.a)”和“魔波变种B(Worm.Mocbot.b)病毒。据瑞星客户服务中心统计,目前国内已有数千用户遭受到该病毒攻击。 瑞星反病毒专家介绍说,该病毒会利用微软MS06-040高危漏洞进行传播。当用户的计算机遭受到该病毒攻击时,会出现系统服务崩溃,无法上网等症状。由于该...
病毒分析工具和使用方法(一)
热门推荐
lirunling的博客
11-13 1万+
加壳验证工具 所谓病毒加壳,是指经过系列数学运算,将可执行程序文件或动态链接库文件的编码进行改变(目前还有一些加壳软件可以压缩、加密驱动程序),以达到缩小文件体积或加密程序编码,从而使病毒文件逃过杀毒软件的查杀。查看文件是否加壳最常用的工具是PEiD。 PEiD(PE Identifier)是一款著名的查壳工具,其功能强大,几乎可以侦测出所有的壳,其数量已超过470 种PE 文档 的加壳类型和...
计算机病毒恶意软件有哪些,恶意软件上常见的病毒有哪些
weixin_31089065的博客
07-16 2335
病毒是一种很强大的恶性木马程序,它可以依附在所有的网络数据上,特别是恶意软件,很多都含有不止一种的病毒,一旦用户下载了其中一种恶意软件,很有可能会导致电脑受损,或者电脑出现死机等状况,那么,恶意软件上常见的病毒有哪些呢?控件和插件的区别与防病毒措施有哪些呢?今天我们就跟随佰佰安全网一起来了解关于这方面的网络病毒小知识吧。第一,特洛伊,该程序看上去有用或无害,但却包含了旨在利用或损坏运行该程序的系统...
手工清除“魔波病毒
云中客的专栏
09-01 1273
近些时日,利用微软MS06-040高危漏洞进行传播的恶性病毒——“魔波(Worm.Mocbot.a)”和“魔波变种B(Worm.Mocbot.b)病毒异常泛滥,不少网友纷纷中招,导致系统瘫痪,不能正常工作。求助网上一些杀毒工具,均不能有效清除该病毒。 因此,我们提供最安全、最稳妥的手动清除方式来除掉“魔波病毒,让病毒不再继续猖狂。由于手动清除需要对操作系统比较了解,对这方面不是很熟悉的网友还
C# ToolStripProgressBar 用法简析
最新发布
08-11
ToolStripProgressBar 是 C# 中的一个控件,用于显示进度条。它通常用于表示某个操作的进度,例如文件下载、任务执行等。 要使用 ...以上是 ToolStripProgressBar 的基本用法简析,希望能对你有所帮助!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值