IT技術互動交流平台

安卓變僵屍_-亿彩彩票:新型病毒“維京部落”分析

作者--_现代科技成就的例子:Check Point --中国十大西装品牌,FB小編Sphinx編譯  發布日期_|端午节活动策划方案:2016-05-13 20:50:33

 Check Point研究團隊在Google Play Store發現了一款新的Android病毒|-_亿发彩票可靠吗?,並取名為Viking Horde(維京部落)_--金山快译通。這款病毒能夠執行廣告欺詐|_帅同文学转载,還能進行DDoS攻擊_-众发彩票注册、發送垃圾信息等金寨租房。至少已經有5款應用通過了Google Play的病毒掃描|-15858彩票计划。

無論是在已root或是未root的設備上|--鹤乡网,Viking Horde都會創建一個僵屍網絡--美国高菲特,用經過代理的IP地址偽裝廣告點擊--_金山快译通,這樣攻擊者就能賺錢||众发娱乐赌博。僵屍網絡是一組由黑客控製的設備__脑出血圈,設備的用戶毫不知情---框架箱尺寸。根據設備的計算能力不同_-雪碧真我篮球,“僵屍”能做各種各樣的事_锡纸万能钥匙。僵屍網絡越大_-_陈国栋简历,能夠做的事越多|-|易彩快三是正规平台吗。

在已root的設備上||雷波溪洛渡,Viking Horde能夠傳輸額外的惡意payload||_lame exe,從而遠程執行任意代碼_2n3055功放,它還會利用root權限使得自身難以刪除||黄山奇石天狗望月。

Horde介紹

Viking Horde係列病毒中下載量最大的就是Viking Jump應用_||苏州寒山寺招聘尼姑,自4月15日上傳到GooglePlay|谢苗电影,該應用已經有50,000-100,000的下載量了|_-铁粉吧。有些地方的市場中-长沙租房口碑网,Viking Jump還登上了Google Play免費應用排行榜-色狗图片。

提交最早的應用是Wi-Fi Plus-_kb女烈,於3月29日提交--市场问卷调查表。其他的應用包括Memory Booster, Parrot Copter, 和Simple 2048_雯雅婷漫画全集图片。所有感染Viking Horde的應用的評分都很低|-|118彩票下载安装,研究團隊猜測可能是因為用戶注意到了它奇怪的行為_--苏州人才新干线网,例如請求root權限_|单单堂。

攻擊者們創建的僵屍網絡散布在全世界各個國家__行政法规可以设定,Check Point研究團隊通過一個C&C服務器收集的數據獲得了其受害者的分布情況-_浪翻云博客。

來源|-永盛国际不让提款:Check Point移動威脅研究團隊||132彩票在线登录,2016年5月6日

Viking Horde工作原理

研究Viking Horde代碼和C&C服務器後___武汉体育学院校园网,研究人員畫出了流程圖--粗口短信。

1.病毒首先從Google Play上下載_|360重庆时时彩走势图彩。當應用啟動遊戲時|-云鼎彩票捷豹,它會在應用的目錄外麵安裝幾個組件||长信通。這幾個組件的名字都被偽裝成係統相關的名字||_痒原唱,如core.bin,clib.so, android.bin 和 update.bin--_深圳电视剧频道直播。如果設備沒有root||芜湖市地税局网上申报,組件就會被安裝到SD卡上||-钢笔行书字帖欣赏,如果已經root了|-|易彩彩票,就會安裝到root/data007a私募内线。這些文件中的一個是用來在各組件交換信息的__余庆教育网。另一個包含所有生成的組件名稱|-_盈彩彩票是真是假,方便其他組件訪問它們|__掌中投2018苹果。

2.接下來病毒會檢查設備是否已經root___易发彩票坑人吗:

如果是-|双线盗毒蛾,病毒就會啟動另外兩個組件-||众购彩票导航:

app_exec.實現與服務器的通訊協議

app_exec_watch_dog實現更新和係統駐足|||永盛娱乐平台怎么样?。Watchdog 會監控app_exec 進程_|掌信彩网址,如果有必要會重啟-__丧尸电影排行榜前十名。

如果設備沒有被root-|青岛八度空间纹身,惡意軟件就會以共享庫加載app_exec文件|_莱克帝卡,並且通過JNI(Java Native Interface--|云顶彩票首页,能夠允許Java代碼運行本地二進製文件)來調用它的函數_洛阳信息港绿色营地。

無論哪種情況下--_瑞士鹿喜微断食纤体,一旦app_exec應用被安裝-|_11选5彩票人工计划软件,它就會與C&C服務器建立TCP連接並且開始通信__mellow高敏爱。通信內容包含下列指令-_-倪志福追悼会。

Ping_--优衣库bt。每10秒應用程序就會給服務器發送5個字節|_御龙在天野蘑菇。同樣-_错爱徐帆,服務器會回複5個字節_|优乐彩正规吗。

更新設備信息-|_305彩票:將剩餘電量-|赢彩彩票、連接類型和手機號碼發送給服務器|-|现任国家领导人简历。

3. 下一步就是通過匿名代理連接執行惡意功能--_36选7好彩3奖金多少。C&C服務器會發送一個“create_proxy”命令_诗歌生成器,其中會有兩個IP地址和端口作為參數|-_2017 电影。這兩個IP地址就會被用來打開兩個sockets連接|_霍尔瓦特大街 小说,一個給遠程服務器|||深圳电视剧频道直播,一個給遠程目標||得胜236。然後它會讀取第一個socket收到的數據_|两根齐入啊受不了了,向目標主機傳輸_-_198彩票北京pk的计划员。病毒的開發者可以借此隱藏他的IP地址|__阳光的爱情生活。

僵屍網絡活動

即便設備沒有被root_-|038彩票官方版6分的,Viking Horde還是會把它變成能夠發送接收信息的代理_金寨房屋出租。以下就是一個從攻擊者的C&C服務器上看到的感染的設備--|闪电强效瘦。

遠程端是代理的IP_|帅猴手机网,而socks IP是C&C服務器的IP|0165彩票网站登录。C&C服務器包含設備的一些信息||盈彩网com,包括操作係統版本_|盈彩在线、電池狀態和GPS坐標-_-亿博娱乐彩票是骗局吗。在本例中|_掌上彩票下载,設備位於美國_-天弘基金网站,運營商是T-Mobile|_我们的歌声里歌词。

Viking C&C服務器

僵屍網絡由很多台C&C服務器控製_|许雯,每台都管理者幾百台的設備_x女特工结局。惡意軟件的首要目標是劫持設備__金立l7,然後用它模擬點擊網站上的廣告來賺錢__36选7好彩3奖金是多少。惡意軟件需要代理來繞過廣告商的反欺詐機製|_|闪金镇在哪。

有些用戶評論還說這款應用會發送收費短信__|淘宝店标多大,如截圖所示|||青春水漾。 這個僵屍網絡能用以各種用途___铁路公安改革,包括DDoS攻擊雅格奴、發送垃圾郵件和發送病毒_花都区教育局网。

病毒的持續性

病毒使用多種方法駐足在係統中_朴载庆。首先_银河赌博是不是都作假,Viking Horde安裝的那些組件使用了跟係統有關的名字--胡静雨,使得它們很難定位刪除_--离宫属东四命。

如果設備經過root--_刘久龙,有兩項機製又可以用來防止刪除__求购小龙虾:

 

app_exec組件會監控主程序是否存在__-金韵蓉博客。如果用戶卸載了主程序_|3208c刷机,app_exec會解密一個名為com.android.security的組件並且靜默安裝|坛缘坊。這個組件是隱藏的|||盈彩彩票是真是假,重啟之後執行-|158计划网时时彩。

watchdog組件會安裝app_exec組件的更新|-|xong出没熊出没之年货。如果app_exec被刪除__动感地带随心聊,watchdog會從更新目錄重新安裝它_||阴魂镇。

顯然_1995年的彩票中奖号码,有些用戶還注意到了這樣的活動-_鸡脚黑:

針對root設備的額外組件

可能最危險的功能就是更新機製|-|万林股份:app_exec從服務器下載最新的二進製文件|-118彩票软件苹果版,然後以app_exec_update的名字儲存在/data目錄_fps什么意思。

Watchdog會周期性地檢查更新文件是否存在_||亿贝是什么个平台,並且用它替換app_exec_-80txt。這就意味著VikingHorde可以根據服務器的命令下載新的二進製文件-__亿发彩票可靠吗?。watchdog組件會用它替換掉應用|和龙政务信息网。這樣的話這台設備上就可以下載執行任何遠程代碼-_亿彩彩票手机版登录。

附錄 1: app 包名

com.Jump.vikingJump
com.esoft.wifiplus
com.fa.simple2048
com.android.wifiman
Com.g.o.speed.memboost
Com.f.a.android.flyingcopters

附錄2: C&C 服務器列表

   www[.]adautoexchange[.]com
   www[.]adexchng[.]com
   www[.]adexchnge[.]com
   www[.]adexchangetech[.]com

附錄3: 感染的可執行文件的SHA256

85e6d5b3569e5b22a16245215a2f31df1ea3a1eb4d53b4c286a6ad2a46517b0c
254c1f16c8aa4c4c033e925b629d9a74ccb76ebf76204df7807b84a593f38dc0
ebfef80c85264250b0e413f04d2fbf9e66f0e6fd6b955e281dba70d536139619
10d9fdbe9ae31a290575263db76a56a601301f2c2089ac9d2581c9289a24998a
a13abb024863dc770f7e3e5710435899d221400a1b405a8dd9fd12f62c4971de
1dd08afbf8a9e5f101f7ea4550602c40d1050517abfff11aaeb9a90e1b2caea1
e284a7329066e171c88c98be9118b2dce4e121b98aa418ae6232eaf5fd3ad521

 

Tag標簽|_金城江租房信息: 維京   僵屍   病毒  
  • 專題推薦

  • Directx11 遊戲編程入門教程
  • 專題主要學習DirectX的初級編程入門學習-乔任梁死亡现场血腥图,對Directx11的入門及初學者有...... 詳細
  • Windows7係統入門 優化 技巧技術專題
  • Windows7係統專題 無論是升級操作係統---钱启敏博客、資料備份-|菊丸英二bg、加強資料的安全及管...... 詳細
About IT165 - 廣告服務 - 隱私聲明 - 版權申明 - 免責條款 - 網站地圖 - 網友投稿 - 聯係方式
本站內容來自於互聯網,僅供用於網絡技術學習,學習中請遵循相關法律法規
重庆时时彩盛兴彩票快乐飞艇荣盛彩票福德正神彩票金祥彩票

免责声明: 本站资料及图片来源互联网文章,本网不承担任何由内容信息所引起的争议和法律责任。所有作品版权归原创作者所有,与本站立场无关,如用户分享不慎侵犯了您的权益,请联系我们告知,我们将做删除处理!