分类
大小:53.7M更新:2015-11-24
类别:病毒防治系统:WinAll
360长老病毒专杀软件是360专为安卓用户推出的一个长老病毒专杀功能,长老病毒是一种潜伏性的病毒,它会一直潜伏在你的手机中直到他发作时你才会发现,这款360长老病毒专杀工具可以帮你清理手机中的长老病毒,推荐有需要的用户下载使用。
1、下载360安全卫士、连入手机。
2、开始查杀病毒即可,可以选择长老病毒专杀
一. 长老四之前世今生
去年11月份,360安全团队截获了恶意手机木马“长老三代”,详细剖析挖掘了长老木马的整个有机生态链。并从传播源头开始进行强力打击,致使猖狂一时的长老木马迅速地消声灭迹。近期360安全团队发现改头换面的新版长老木马又“重出江湖”。
分析后发现,木马与“长老三代”有紧密的关系,在长老木马三代“疯狂崛起”时,以其子模块的形式存在,功能有限,而且也不具备对抗安全软件的能力,因此,我们将其命名为“长老四代”。
长老木马三代核心主体模块debuggerd与此子模块耦合度非常高。比如子模块由虚假debuggerd来启动,而且子模块运行时需要访问由假冒debuggerd下载生成的文件读取远程服务器地址,下载地址等。经过木马作者的“精心改进”后,子模块从“私生子”华丽“蜕变”为长老木马核心模块。
二. 进化篇
与之前老版本相比,虽然在恶意行为特征上仍然以隐私劫取、恶意扣费为主,但是自我保护与对抗安全软件方面有较大技术突破。例如,在移动安全领域首次采用了静态感染技术,感染系统运行依赖的lib文件,加大了查杀难度。此外,还采用相似文件路径欺骗法、 样本MD5自变化等传统PC端的病毒技术。
下图的文件MD5分别为778ff1b54aaf88075523f1a8b7c233f9、3a93af95ec45aabb44018fdc4dd34243。
图1 两个长老4代 ELF可执行文件的对比
对比可以看出,是文件末尾嵌入32位长度的字符串,导致同一版本长老四,出现几十万个变种。进一步分析发现,长老四会读取这段字符,解密后当作KEY,用于私有数据库等配置文件的AES/DES加密与解密。代码如下:
图2 获取AES密钥的部分代码
长老木马的进化如下:
图3 长老四代进化图
经过一段时间的观察与分析,我们梳理了“长四”的发现过程及关键的时间节点,如图所示:
图4 长老四代发现过程及响应
三. 行为分析
长老木马四代主要分为launcher和核心作恶的ELF可执行模块。ELF可执行模块又包括distillery、plugins及redbean三个主要部分。 redbean模块会注入系统Phone进程,具有Phone进程权限,可以在未经用户允许下,后台私自订购SP业务,屏蔽订购确认和成功短信,给用户造成经济上的损失。
长老木马四代作恶流程如下:
图5 长老四代流程图
从启动方式来看,长老三代主要以替换系统原生文件为自身镜像,随系统启动时执行,由于安全软件对于这种类型的查杀方法已比较成熟,长老木马四代采用更加隐蔽的“静态感染”启动方式,将恶意代码插入到被感染的系统文件,在被感染系统文件中完成长老木马四代的启动工作。长老四代是在Android系统中首次采用感染技术的木马。
“长老四代”静态感染启动原理如下:
1、感染守护进程启动时依赖的正常库文件。在库文件的导入表里添加launcher的路径,使守护进程随操作系统启动时,加载并执行launcher的恶意代码。如下图所示,被感染的系统库文件的导入表中包含恶意库文件libs6x.so的路径。
图6 被感染的系统库文件\system\bin\libglog.so
2、Linux的动态链接器在加载ELF可执行文件或动态链接库时完成装载、映射、重定向后,首先依次执行pre_init、init、init_array节中描述地址指向的函数。这些函数都是早于入口点执行的。
图7 Launcher的init_array节
Linux的动态连接器执行这些函数的初衷原来是为了程序执行前初始化C++静态构造函数,C库的IO等等。木马作者巧妙利用Linux动态链接器对ELF文件的装载原理,在init_array段里写入了启动病毒长老四代的代码。
Petya勒索病毒漏洞防护补丁病毒防治M
查看万能脱壳工具病毒防治M1.4绿色版
查看杭州银行网银病毒专杀工具病毒防治MV13.0.10.111官方最新版
查看wannacry勒索蠕虫病毒补丁病毒防治M2017最新版
查看QQ电脑管家2017病毒防治MV12.10.19263.223官方版
查看win8关闭135.445端口补丁病毒防治M360免费版
查看瑞星安全助手病毒防治M1.0.2.77 官方安装版
查看F-Secure Internet Security 2011病毒防治M简体中文注册版
查看极宝杀毒病毒防治Mv1.8.2免费版
查看勒索病毒WannaCry2.0免疫工具病毒防治.04Mv1.0.0.1015
查看360勒索蠕虫病毒新变种检测工具病毒防治M官方最新版
查看360杀毒云动病毒防治MV5.0.0.8160E 官方安装版
查看比特币病毒文件修复工具最新版病毒防治M
查看360勒索蠕虫病毒文件恢复工具2.0病毒防治M
查看超级广告杀手(Ultra Adware Killer)病毒防治Mv7.6.1.0官方最新版
查看TeslaCrypt加密病毒破解工具【主密匙】病毒防治M3.0.1最新版
查看360nsa武器库免疫工具免费版(win7)病毒防治.00M官方最新版
查看狙剑病毒防治.28M0224 无限制中文版
查看2017微软永恒之蓝补丁官方版病毒防治M
查看火绒CryptON专用解密工具病毒防治.70Mv1.0.0.1 绿色版
查看wannacry免疫工具2.0病毒防治M2.0版
查看ATool病毒防治M2.1.1.26简体中文免费版
查看360隔离沙箱独立版病毒防治Mv3.5.0.1029 免费版
查看永恒之蓝漏病毒修复工具官方最新版病毒防治M官方正式版
查看点击查看更多