最新手机病毒LanPackage.sisx简单分析
此病毒是一款运行在Symbian平台上的蠕虫病毒;具有有效的数字签名并通过MMS传播。在传播时是以一个骷髅图像的信息发送给用户,当用户点击并安装时便可中此病毒。该信息包含一个链接http://transdin.com,从此网站上下载病毒文件LanPackage.sisx,此服务器会检查用户是否是通过移动设备进行浏览,如果使用PC机浏览则会出现404出错页面。LanPackage.sisx下载完成并运行后,便会提示用户是否安装;如果用户安装则会有一个证书文件;证书内容如下
; 支持语言
&EN, ZH; 程序名称
#{"System Enhancement", "系统中文语言包"}, (0x20028B98), 2, 0, 0, TYPE=SA; 兼容平台
, 0, 0, 0, {"Series60ProductID", "Series60ProductID"}; 名称
%{"Nokia", "Nokia"}:"Beijing GuoShengMingDao Technology Co. Ltd.""c_sys\bin\Installer_SV.exe"-"c:\sys\bin\Installer_SV.exe", FR, RI, RW"c_sys\bin\LanPackage.exe"-"c:\sys\bin\LanPackage.exe", FR, RI"c_private\101f875a\import\.rsc"-"c:\private\101f875a\import\.rsc"
选择安装后会在以下目录中产生文件:
C:\sys\bin\Installer_SV.exe C:\sys\bin\LanPackage.exe C:\private\101f875a\import\.rscC:\private\101f875a\startup\.dat C:\private\20028B98\SisInfo.cfg C:\private\20028B98\Source.ini此病毒还会在远程服务器上访问如下三个JAVA页面:jump.jspkernel.jspkernelpara.jsp此病毒一旦安装成功病毒会在智能手机中收集数据并上传到服务器;尝试终止AppMngr
TaskSpy 、Y-Tasks、ActiveFile、TaskMan等任务管理软件,以防止自身被删除。 感谢楼主分享,请问是楼主原创分析吗?能不能具体的分享下分析经过,没有对手机病毒做过分析,想学习一下. 刚才在李铁军的博客看到这个病毒,呵呵 同2楼,求经过。。工具~~~ 支持楼上…求工具!
本人赛班3版系统! LanPackage.sisx是一个安装文件包可以下载一些解包的工具我用的是SiSDOWN_siscontents132汉化版可以在网上下的到,解开后有
Installer_SV.exe
LanPackage.exe
20028B98].rsc等其它文件
和签名文件,后面的就可以IDA加载exe文件分析了. 谢谢分享
页:
[1]