恶意删除UC百度解密“暗箭刺客”病毒技术逻辑
发布时间:2014-03-03 23:06:28作者:知识屋
据大量用户反馈,自主安装的UC浏览器在手机中被无故删除,重新下载安装后仍被卸载,这一事件引起了UC的极大重视,并在微博进一步发布了“恶意卸载”的声明,在行业引起了极大反响。腾讯 手机管家 病毒检测技术团队第一时间找到了病毒样本,并对这个命名为“暗箭刺客”的手机病毒逻辑进行了详细分析和深度解密。
手机病毒:a.system.appkiller.[暗箭刺客]
主要危害:强制删除UC浏览器、百度搜索等大量知名应用,具有极强的恶意攻击性。
病毒主要逻辑说明:
病毒申请ROOT权限,监听用户解锁或网络变化启动恶意服务,联网获取需要下载app信息(包含哪些是可以删除的字段标识),同时创建相关应用数据库,数据库中包含大量推广应用信息,同时维护了一个可删除应用的数据表,病毒会根据预先设定的时间去发起联网,联网后检测哪些应用可以删除,执行删除应用操作,同时与其它跨进程包有通信联系。
该病毒详细流程如下:
主要是通过ROM内置、部分下载的方式植入用户手机系统,伪装成系统文件“下载管理”,并在后台进一步作案。
1 病毒申请ROOT权限的行为,以获得最高系统关联权限
2 病毒监听用户手机终端解锁或网络变化,启动恶意服务
3 联网获取需要下载的app应用信息
4 分析代码发现了该病毒联网的加密域名,通过解密可得到域名地址如下:
http://do.sy***y.com/jarjs
http://101.64.***.136:8085/jarjs
http://115.238.***.136:8085/jarjs
并进一步发现与该病毒发生远程通信的加密可疑包包名com.android.mic、远程通信服务net.omigo.android.server。
5 病毒会创建和维护相关的app应用数据库
先是联网获取数据库数据信息,
进一步创建app应用数据表
同时维护可删除app应用的数据表
6 病毒代码包含删除系统目录下文件的指令,包括mount -o remount,rw /system /system、rm 、chmod 644等部分加密指令
7 进一步搜索数据库删除指定应用
8 病毒执行删除数据库中指定app应用的操作
由于病毒危害极大,影响深远,腾讯手机管家技术团队迅速反应并已录入病毒库,遇到该类病毒的用户,建议安装腾讯手机管家查杀该病毒,确保手机安全
知识阅读
软件推荐
更多 >
-
1菜鸟简单抓肉鸡(如何抓肉鸡)
2011-06-17
-
2
电脑开机时出现lass.exe进程是病毒吗?
-
3
自拍须谨慎!教你如何通过照片定位查看拍摄地点
-
4
电脑病毒最基础知识
-
5
黑客学员必须了解的C语言技术
-
6
精典详细内网渗透专题文章
-
7
教你破解Tp-Link的无线路由密码
-
8
解决SecureCRT中文显示乱码
-
9
QQ电脑管家和360哪个好?横评实测对比
-
10
攻防实战:无线网络路由入侵过程
