吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 10846|回复: 29
收起左侧

[移动样本分析] com.h-1病毒分析报告(秒抢红包锁屏样本)+手动查杀操作

  [复制链接]
lipss 发表于 2017-4-10 19:38
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 lipss 于 2017-4-10 21:55 编辑

回首看看自己发过的帖子,简直吓一跳。第一次发帖与第二次发帖间隔5年,第二次发帖与第三次发帖间隔4年。不堪回首。。。


1
样本概况

1.1 样本信息

病毒样本图标: 123.png

病毒名称:秒抢红包病毒样本

所属家族:a.rogue.SimpleLocker.a

文件名称:com.h-1.apk

MD5值:          033ae1ba78676130e99acc8d9f853124

文件大小:245.38KB


病毒行为:重置android系统密码,诱骗用户激活设备管理器,属于锁屏勒索类病毒。


1.2 测试环境及工具

      AndroidKiller、夜神模拟器

1.3 分析目标

  研究此病毒的恶意行为以及如何清除此病毒

2.具体行为分析

2.1 主要行为

123.png


  
病毒行为
  
  
修改系统密码
  
  
改变系统界面
  
  
将自身设为自启动服务
  
  
获取用户的root权限
  
  
危险函数
  
  
getRuntime 获取命令行环境
  
  
java/lang/Runtime;->exec 执行字符串命令
  
  
Activities
  
  
活动名
  
  
类型
  
  
.M  
  
android.intent.action.MAIN  
  
.M  
  
android.intent.category.LAUNCHER  
  
启动方式
  
  
名称
  
  
信息
  
  
com.h.bbb  
  
开机启动服务  
  
com.h.MyAdmin  
  
N/A  
  
权限列表
  
  
许可名称  
  
信息  
  
android.permission.SEND_SMS  
  
发送短信  
  
android.permission.SYSTEM_ALERT_WINDOW  
  
显示系统窗口  
  
android.permission.RECEIVE_BOOT_COMPLETED  
  
接收开机启动广播  
  
android.permission.INTERNET  
  
连接网络(2G或3G)  
  
android.permission.ACCESS_NETWORK_STATE  
  
读取网络状态(2G或3G)  
  
android.permission.WRITE_EXTERNAL_STORAGE  
  
写外部存储器(如:SD卡)  
  
服务列表名称
  
  
Com.h.s
  



2.1.1 恶意程序对用户造成的危害


主动修改用户系统密码给使用造成影响且勒索用户。

1、该样本安装后诱骗用户点击激活设备管理器,使自己无法被用户卸载
123.png

2、激活后屏幕界面锁屏,提供了序列号和勒索信息


QQ图片20170410204212.png


2.1.2 恶意程序在Androidmanifest.xml中注册的恶意组件

(1)权限相关()
·          传递附加信息
    ·         
重置密码
    ·         
添加悬浮窗口
    ·         
激活ActivityForResult
    ·         
窗口信息
·          添加View
·          初始化Intent
    ·         
激活设备管理器
(2)服务/广播
123.png


2.2 恶意代码分析

2.2.1 恶意程序的代码分析片段
   恶意代码修改系统密码相关函数。

123.png


自启动服务函数,调用com.h.s

123.png


密码生成函数分析
123.png


3. 总结

3.1 提取病毒的特征,利用杀毒软件查杀

恶意代码特征:

(1) MD5:033ae1ba78676130e99acc8d9f853124

(2) 提取字符串:\u7528jj\u6233\u4E00\u4E0B\u4E5F\u80FD\u89E3\u9501\u54E6

123.png

3.2 手工查杀步骤或是工具查杀步骤或是查杀思路等。
1)提取样本

Android 中有两个目录是存放已经安装的 apk 目录

1. System/app 存放系统apk

2. Data/app 存放用户安装的apk

2)
查找关键字

123.png


3)搜索字符串

123.png



4)使用自带的jd-gui查看密码加密的随机数与固定值,计算出密码

123.png


解密算法为:序号+8985 = 6664503


5)进入手机设置-安全-设备管理器,点击取消掉激活的勾

123.png

6)取消激活按钮点击时会遇到第二重密码,输入得到的密码固定值8985可解锁

123.png

7最终我们会成功卸载掉这个恶意的APP的。还我一个干净的桌面。啊哈哈!

样本:

链接: https://pan.baidu.com/s/1kVC2G8B 密码: q5jw

压缩包密码:52pojie


致谢15PB的诸位老师在学习上给我的指导与帮助,希望贵机构能为信息安全行业孕育出更多英才!



免费评分

参与人数 15威望 +2 吾爱币 +24 热心值 +15 收起 理由
cc6637 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
狂暴补师亚丝娜 + 2 + 1 学弟加油!
Hmily + 2 + 10 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
七情哥哥 + 1 用心讨论,共获提升!
杀杀傻 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
试试去爱你 + 1 + 1 讲解的很详细!学习了!
飞鸽传书 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
守护神艾丽莎 + 1 + 1 我很赞同!
md5 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
王亦棋 + 1 + 1 谢谢@Thanks!
lies2014 + 1 + 1 谢谢@Thanks!
不一样的烽火 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
skeep + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
夏雨微凉 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
笑颜一如从前Q + 1 + 1 谢谢@Thanks!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

yjh_b 发表于 2017-4-10 23:19
谢谢楼主的分析报告,我之前就中过类似的锁机软件,恶心,当时自己也不懂如何破解,感觉自己很无力,后来自己无意间通过通知任务栏的快速清理结束掉软件了,然后最终卸载掉的,希望这篇文章对大家有帮助!
郝哥哥 发表于 2017-4-11 19:21
yjh_b 发表于 2017-4-10 23:19
谢谢楼主的分析报告,我之前就中过类似的锁机软件,恶心,当时自己也不懂如何破解,感觉自己很无力,后来自 ...

你也是没谁了!  任务栏能关掉!
笑颜一如从前Q 发表于 2017-4-10 20:29
沐星雨 发表于 2017-4-10 20:37 来自手机
厉害了……
redapple0204 发表于 2017-4-10 21:09
建议遮住qq号,要不有推广的嫌疑
元吉 发表于 2017-4-10 21:20
学习学习   谢谢分享 看不懂
夏雨微凉 发表于 2017-4-10 21:48
向大神学习!
Let_go 发表于 2017-4-10 21:55
厉害厉害
key4479 发表于 2017-4-10 22:45
又学习了一些
nmsl 发表于 2017-4-11 03:07
欢迎分析讨论交流,吾爱破解论坛有你更精彩!
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-15 13:35

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表