com.h-1病毒分析报告（秒抢红包锁屏样本）+手动查杀操作

lipss

回首看看自己发过的帖子，简直吓一跳。第一次发帖与第二次发帖间隔5年，第二次发帖与第三次发帖间隔4年。不堪回首。。。


1．样本概况

1.1 样本信息

病毒样本图标：

病毒名称：秒抢红包病毒样本

所属家族：a.rogue.SimpleLocker.a

文件名称：com.h-1.apk

MD5值：          033ae1ba78676130e99acc8d9f853124

文件大小：245.38KB

病毒行为：重置android系统密码，诱骗用户激活设备管理器，属于锁屏勒索类病毒。

1.2 测试环境及工具

      AndroidKiller、夜神模拟器

1.3 分析目标

  研究此病毒的恶意行为以及如何清除此病毒

2．具体行为分析

2.1 主要行为

病毒行为
修改系统密码
改变系统界面
将自身设为自启动服务
获取用户的root权限
危险函数
getRuntime 获取命令行环境
java/lang/Runtime;->exec 执行字符串命令
Activities
活动名	类型
.M	android.intent.action.MAIN
.M	android.intent.category.LAUNCHER
启动方式
名称	信息
com.h.bbb	开机启动服务
com.h.MyAdmin	N/A
权限列表
许可名称	信息
android.permission.SEND_SMS	发送短信
android.permission.SYSTEM_ALERT_WINDOW	显示系统窗口
android.permission.RECEIVE_BOOT_COMPLETED	接收开机启动广播
android.permission.INTERNET	连接网络（2G或3G）
android.permission.ACCESS_NETWORK_STATE	读取网络状态（2G或3G）
android.permission.WRITE_EXTERNAL_STORAGE	写外部存储器（如：SD卡）
服务列表名称
Com.h.s

2.1.1 恶意程序对用户造成的危害


主动修改用户系统密码给使用造成影响且勒索用户。

1、该样本安装后诱骗用户点击激活设备管理器，使自己无法被用户卸载


2、激活后屏幕界面锁屏，提供了序列号和勒索信息





2.1.2 恶意程序在Androidmanifest.xml中注册的恶意组件

(1)权限相关()
·          传递附加信息
    ·          重置密码
    ·          添加悬浮窗口
    ·          激活ActivityForResult
    ·          窗口信息
·          添加View
·          初始化Intent
    ·          激活设备管理器
(2)服务/广播



2.2 恶意代码分析

2.2.1 恶意程序的代码分析片段
   恶意代码修改系统密码相关函数。




自启动服务函数，调用com.h.s




密码生成函数分析



3. 总结

3.1 提取病毒的特征，利用杀毒软件查杀

恶意代码特征：

（1） MD5：033ae1ba78676130e99acc8d9f853124

（2） 提取字符串：\u7528jj\u6233\u4E00\u4E0B\u4E5F\u80FD\u89E3\u9501\u54E6



3.2 手工查杀步骤或是工具查杀步骤或是查杀思路等。
1）提取样本

Android 中有两个目录是存放已经安装的 apk 目录

1. System/app 存放系统apk

2. Data/app 存放用户安装的apk

2）查找关键字




3）搜索字符串





4）使用自带的jd-gui查看密码加密的随机数与固定值，计算出密码




解密算法为：序号+8985 = 6664503


5）进入手机设置-安全-设备管理器，点击取消掉激活的勾



6）取消激活按钮点击时会遇到第二重密码，输入得到的密码固定值8985可解锁



7）最终我们会成功卸载掉这个恶意的APP的。还我一个干净的桌面。啊哈哈！

样本：

链接: https://pan.baidu.com/s/1kVC2G8B 密码: q5jw

压缩包密码：52pojie


致谢15PB的诸位老师在学习上给我的指导与帮助，希望贵机构能为信息安全行业孕育出更多英才！

yjh_b

谢谢楼主的分析报告，我之前就中过类似的锁机软件，恶心，当时自己也不懂如何破解，感觉自己很无力，后来自己无意间通过通知任务栏的快速清理结束掉软件了，然后最终卸载掉的，希望这篇文章对大家有帮助！

郝哥哥

yjh_b 发表于 2017-4-10 23:19
谢谢楼主的分析报告，我之前就中过类似的锁机软件，恶心，当时自己也不懂如何破解，感觉自己很无力，后来自 ...

你也是没谁了！  任务栏能关掉！

笑颜一如从前Q

这个合我心意，谢谢啦2333

沐星雨

厉害了……

redapple0204

建议遮住qq号，要不有推广的嫌疑

元吉

学习学习   谢谢分享 看不懂

夏雨微凉

向大神学习！

Let_go

厉害厉害

key4479

又学习了一些

nmsl

欢迎分析讨论交流，吾爱破解论坛有你更精彩！