吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 24171|回复: 42
上一主题 下一主题
收起左侧

[移动样本分析] 一个伪装为腾讯视频的木马病毒样本分析

  [复制链接]
跳转到指定楼层
楼主
530041979 发表于 2016-10-8 20:59 回帖奖励
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
今晚收到一条被拦截的短信,一看就是发送木马传播的,


用电脑打开上面的链接,果不其然!已经被浏览器拦截,不管他,下载样本开撸!

下载下来是个apk文件,我先上哈勃和virscan分析下:
哈勃结果:https://habo.qq.com/file/showdetail?pk=ADYGZF1tB2AIPVs0

virscan结果:http://r.virscan.org/report/c02300e1b7bfaa26e1bd35e9e289b767

我们在来看看木马里面的东东:
部分权限代码:
[Java] 纯文本查看 复制代码
<manifest xmlns:android="http://schemas.android.com/apk/res/android" android:installLocation="internalOnly" package="cn.bjahsjdhs.lskjjdgsdd.lskoodksh.lskdllsasc" platformBuildVersionCode="21" platformBuildVersionName="APKIJAHSJHDSSWASAL">
    <uses-permission android:name="android.permission.RECEIVE_WAP_PUSH"/>
    <uses-permission android:name="android.permission.RECEIVE_BOOT_COMPLETED"/>
    <uses-permission android:name="android.permission.MODIFY_AUDIO_SETTINGS"/>
    <uses-permission android:name="android.permission.WRITE_EXTERNAL_STORAGE"/>
    <uses-permission android:name="android.permission.RECEIVE_USER_PRESENT"/>
    <uses-permission android:name="android.permission.READ_CONTACTS"/>
    <uses-permission android:name="android.permission.INTERNET"/>
    <uses-permission android:name="android.permission.READ_PHONE_STATE"/>
    <uses-permission android:name="android.permission.READ_SMS"/>
    <uses-permission android:name="android.permission.WRITE_SETTINGS"/>
    <uses-permission android:name="android.permission.VIBRATE"/>
    <uses-permission android:name="android.permission.RECEIVE_SMS"/>
    <uses-permission android:name="android.permission.ACCESS_NETWORK_STATE"/>
    <uses-permission android:name="android.permission.GET_TASKS"/>
    <uses-permission android:name="android.permission.WRITE_SMS"/>
    <uses-permission android:name="android.permission.SEND_SMS"/>
    <uses-permission android:name="android.permission.ACCESS_WIFI_STATE"/>
    <application android:allowBackup="true" android:icon="@drawable/app_logo" android:label="@string/app_name" android:name="com.phone.stop.db.PhoneApplication" android:theme="@android:style/Theme.Black.NoTitleBar.Fullscreen">


再看看里面留的邮箱和密码;动手能力强的同学可以尝试变成自己的木马!
[Asm] 纯文本查看 复制代码
    iget-object v0, p0, Lcom/phone/stop/db/a;->b:Landroid/content/SharedPreferences;

    const-string v1, "a70"

    const-string v2, "xuhaojiesha@aliyun.com"

    invoke-interface {v0, v1, v2}, Landroid/content/SharedPreferences;->getString(Ljava/lang/String;Ljava/lang/String;)Ljava/lang/String;

    move-result-object v0

    return-object v0
.end method

.method public i(Z)V
    .locals 2

    iget-object v0, p0, Lcom/phone/stop/db/a;->b:Landroid/content/SharedPreferences;

    invoke-interface {v0}, Landroid/content/SharedPreferences;->edit()Landroid/content/SharedPreferences$Editor;

    move-result-object v0

    const-string v1, "has_send_contacts"

    invoke-interface {v0, v1, p1}, Landroid/content/SharedPreferences$Editor;->putBoolean(Ljava/lang/String;Z)Landroid/content/SharedPreferences$Editor;

    invoke-interface {v0}, Landroid/content/SharedPreferences$Editor;->commit()Z

    return-void
.end method

.method public j()Ljava/lang/String;
    .locals 3

    iget-object v0, p0, Lcom/phone/stop/db/a;->b:Landroid/content/SharedPreferences;

    const-string v1, "a80"

    const-string v2, "aa895744"

    invoke-interface {v0, v1, v2}, Landroid/content/SharedPreferences;->getString(Ljava/lang/String;Ljava/lang/String;)Ljava/lang/String;

    move-result-object v0

    return-object v0





附带一个安卓权限大全介绍


下面就是样本,解压密码:52pojie.cn,喜欢专研的同学拿去继续撸

视频DJ0-病毒样本,解压密码:52pojie.cn.rar (222.74 KB, 下载次数: 300)

免费评分

参与人数 9热心值 +9 收起 理由
三日月宗近 + 1 热心回复!
Hmily + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
比柠檬还萌 + 1 用心讨论,共获提升!
TM1819 + 1 用心讨论,共获提升!
gzsklsskszngc + 1 我很赞同!
li6893 + 1 用心讨论,共获提升!
a6718589 + 1 谢谢@Thanks!
官师傅 + 1 头像女神QAQ
隔壁小王 + 1 虽然看不懂,但是看你这么认真的分析了。。

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

头像被屏蔽
推荐
Nghitsong 发表于 2017-4-27 10:38
提示: 作者被禁止或删除 内容自动屏蔽
沙发
fresharplite 发表于 2016-10-8 21:19
3#
迁就阿 发表于 2016-10-8 21:20
4#
破名字无语 发表于 2016-10-8 21:21
这个很老了  还有人用啊
头像被屏蔽
5#
r1342018996 发表于 2016-10-8 21:38
提示: 作者被禁止或删除 内容自动屏蔽
6#
yuwen001 发表于 2016-10-8 21:48
能防止这样的病毒不
7#
 楼主| 530041979 发表于 2016-10-8 21:59 |楼主
yuwen001 发表于 2016-10-8 21:48
能防止这样的病毒不

不确定的网址不要点
8#
zhaoweifu 发表于 2016-10-8 22:01
  收下 等等拿来练手
9#
Night丶呆 发表于 2016-10-8 22:09 来自手机
大牛收下我的膝盖
10#
Hmily 发表于 2016-10-13 17:52
过程还是有些简单,建议对代码进行详细分析,给出样本的恶意行为等。
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 07:54

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表