好友
阅读权限 35
听众
最后登录 1970-1-1
龙飞雪
发表于 2018-8-2 19:07
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子! 病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途! 禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 龙飞雪 于 2018-8-2 23:13 编辑
某安全公司移动端病毒分析 的面试题目,该病毒样本的难点在于混淆的比较厉害,靠人力手动分析肯定是不现实的,在规定的时间内,人肉手动分析你是不可能分析完成,样本的代码量也比较大,有兴趣的、有条件拿到样本的同学可以自己动手分析试试,这个远控木马的分析是有点难度,不过还是蛮有意思的,样本暂不提供,这真是一段悲伤的故事!生活还在继续,努力加油,让技术再提升一下。通过对这个样本的分析让我明白了很多,思考了很多,又找到了一些新的兴趣点.
木马病毒com.schemedroid的混淆对抗手段:
(1).dex文件的类名称和变量的名称被混淆为无法辨认的特殊字符串
(2).dex文件中的字符串全部被加密函数所加密并且每个类中的加密函数的实现还不同(100多个类文件)
Android木马病毒com.schemedroid的分析报告
apk包名:com.schemedroid
文件Md5: CFBCEE2B12DD93A6109AC06C10C34C86
1.读取当前Android应用的assets目录下的droid.png文件的文件数据,解密之后释放到当前Android应用的文件路径/data/data/com.schemedroid/files/droid.png下,然后将文件/data/data/com.schemedroid/files/droid.png进行重命名为/data/data/com.schemedroid/files/annotation.jar文件。
2.通过DexClassLoader动态加载/data/data/com.schemedroid/files/annotation.jar文件,分别加载类com.GoogleService.MainService和com.GoogleService.Common.Config并通过类反射调用分别构造它们的实例对象,调用通过类反射调用类com.GoogleService.MainService的实例方法create进行对用户的手机进行远程控制的操作(具体的远程控制行为后面再详细的分析);通过类反射调用类com.GoogleService.Common.Config的实例方法getIMEI获取到手机的IMEI值,通过类反射调用类com.GoogleService.Common.Config的实例方法getSrvAddr获取远程服务器的主机名称SrvAddr,通过类反射调用类com.GoogleService.Common.Config的实例方法getSrvPort,获取到与远程服务器通信的端口号SrvPort,然后删除文件/data/data/com.schemedroid/files/droid.png和/data/data/com.schemedroid/files/annotation.jar。
3.调用libwatch.so库文件中的native方法init函数,对用户的手机安装远程监控,具体的通过文件/data/data/com.schemedroid的存在性,来判断是否需要在用户的手机上启动远程监控服务,如果文件/data/data/com.schemedroid存在,则执行am startservice -n com.schemedroid/com.GoogleService.MainService命令,启动java层的服务类com.GoogleService.MainService进行监控,否则的话向SrvAddr指定的主机名,SrvPort指定的端口,发送带用户手机的IMEI值和"MM_UNINSTALLED"命令的tcp数据包给远程服务器,获取是否对手机设备进行监控的标记,1-不监控(uninstall_watch),0-监控。
对SrvAddr服务器返回的数据包的类型进行判断,数据包类型为2时为uninstall_watch,不监控,仅仅作为发送给服务器的ack握手包。
4.对开机启动的广播事件android.intent.action.BOOT_COMPLETED进行注册和监听处理,当接收到该广播事件并且文件/data/data/com.schemedroid/files/android.sys不存在时,则重复执行上述的行为;由于当前apk应用在进行远程监控销毁自身应用的命令处理中,销毁自身apk应用时,会创建/data/data/com.schemedroid/files/android.sys文件,因此在触发行为时,需要判断该文件。
5.对广播事件android.intent.action.START_GOOGLE_SERVICE进行相应注册和监听,启动服务com.schemedroid.SchemeService同样执行上述的行为。
6.当前apk应用的很多行为都是在动态加载的/data/data/com.schemedroid/files/annotation.jar文件里实现的,下面就对/data/data/com.schemedroid/files/annotation.jar文件的行为进行分析。
<1>.当用户点击运行当前apk以后,会对当前Android应用的图标进行隐藏,使用用户难以发现它的存在。
<2>.将当前Android应用的assets目录下的id.txt文件中的数据"2015-12-10 10:58:27"写入到文件/data/data/com.schemedroid/files/id.txt中,apk在进行数据上传的时候会用到该数据;读取文件/data/data/com.schemedroid/files/setting.prop或者当前Android应用的assets目录下的setting.prop文件的数据进行解密操作,得到对用户的手机进行监控设置的原始初始化数据,其中222.87.0.101就是连接到远程服务器的IP地址SrvAddr,5000是端口号SrvPort,key=3ADA7521DBE2DBB311B44901A5C6EAD4就是对远程发送到用户手机上的TEA加密的短信控制指令进行解密的密钥,远控配置文件setting.prop用于保存用户手机被远程监控操作的一些记录。
[C++] 纯文本查看 复制代码
zr_user=, server=222.87.0.101, timer_trigger_1=-1, wifi_upldOnlyConned=0, record_autoUpld=0, gprs_autoTurnOn=0, screenshot=0, imsi=, zr_type=3, number=, msg_observe=1, rooted=0, judge_root=1, keylog=0, boot_cls=, screenshot_interval=10, key=3ADA7521DBE2DBB311B44901A5C6EAD4, timer_action_1=###GetCmd, keylog_app=, screenshot_app=, screenshot_max=100, wifi_cfg=0, takePicture_autoUpld=0, movieRecord_autoUpld=0, wifi_autoTurnOn=0, call_observe=1, version=2030005, gps_autoTurnOn=0, rcd_dura=3, port=5000, wifi_upldOnConned=1, imei=359250052949300, timer_interval_1=60, user=, boot_pkg=
<3>.当前apk数据目录下的配置文件Parameter.xml只要也是用于记录远程服务器对用户的手机进行控制操作的一些记录,方便远程服务器对用户的手机进行控制,主要记录参数有:
isNativeRooted 用户的手机是否已经 root
slower_phone
isRemoteRooted
destroy_apps
是否销毁用户手机系统 /system/app 目录下的 apk
app_package
daemon
是否运行守护进程创建文件 /system/bin/debuggerd
sdcard_tag
initCfg
是否读取 setting.prop 文件中的数据进行原始数据初始化
udp
是否向网址 www.baidu.com 端口 53 或者 8000 发送 udp 数据包
consume_mobile_traffic
isSettingSend
是否将 setting.prop 文件的数据发送给远程服务器
run
是否将所有 .ini 文件中的信息数据压缩保存为文件 data%d.41 并将压缩文件的数据保存到数据库 config.db 的表 t_fileTask
<4>.当前Android应用在进行上传用户手机里的信息文件数据到远程服务器的方式是,先将需要发送的信息文件压缩为/data/data/com.schemedroid/files/tmp/data%d.41文件并将该压缩文件的文件路径等相关信息保存到数据库文件/data/data/com.schemedroid/databases/config.db的表t_fileTask中,上传文件数据的信息时,主动连接到远程服务器,读取config.db数据库中文件存放路径srcpath指定文件的数据上传给服务器,远程服务器下载释放文件到用户手机的里也是存放到srcpath指定的文件路径。
<5>.当前Android应用自带了root工具,先通过判断文件system/bin/su4100和system/bin/clock_service是否存在,来判断用户的手机是否root。
将assets目录下的splash文件释放到文件路径/data/data/com.schemedroid/app_bin/su下,assets目录下的help4.png文件释放到文件路径,
/data/data/com.schemedroid/app_bin/help4.png下,assets目录下的busybox_g1文件释放到文件路径,
/data/data/com.schemedroid/app_bin/busybox_g1下以及创建和释放脚本文件,
/data/data/com.schemedroid/app_bin/toor.sh并将assets目录下的 logo.png文件先解密然后释放该文件到文件,
路径/data/data/com.schemedroid/app_bin/logo.png下,执行如下命令对用户的手机进行root操作,
root操作完成之后删除文件/data/data/com.schemedroid/app_bin/logo.png、 /data/data/com.schemedroid/app_bin/toor.sh以及/data/data/com.schemedroid/app_bin/su。
<6>.通过检测文件/system/xbin/su4100的存在以及执行命令su4100 -c ls /data能否获取用户手机的data目录下的文件信息来判断用户的手机是否已经root;如果用户的手机没有root,则对用户的手机进行root操作。将assets目录下的splash文件释放到文件路径/data/data/com.schemedroid/app_bin/su下,assets目录下的help4.png文件释放到文件路径/data/data/com.schemedroid/app_bin/help4.png下,将assets目录下的busybox_g1文件释放到文件路径/data/data/com.schemedroid/app_bin/busybox_g1下,创建和释放脚本文件/data/data/com.schemedroid/app_bin/toor.sh,动态加载/data/data/com.schemedroid/app_rmr目录下的.jar包文件,通过类反射调用获取类com.r.m的实例方法s,传入参数.jar文件的名称、/data/data/com.schemedroid/app_bin/toor.sh等调用该类方法s对用户的手机进行root操作(.jar包文件应该是远程服务器下载到app_rmr目录下的),root操作完成以后删除文件toor.sh,su,help4.png。
<7>.root权限下,修改用户手机的系统内存属性为可读可写,通过dd命令将com.schemedroid.apk文件和libwatch.so拷贝释放到文件路径/system目录下并赋予他们677权限,然后发送广播android.intent.action.START_GOOGLE_SERVICE和启动服务com.GoogleService.MainService。
<8>.创建tcp连接的服务端,绑定本地ip地址127.0.0.1端口号为10101,等待远程客户端的连接,接受远程客户端的命令控制。
控制命令 执行的操作
4100_IMEI
将用户手机的 IMEI ( "4100_IMEI:+ 用户手机 IMEI" )信息 , 发送给远程的 tcp 客户端
4100_TERMINAL_NUM
获取到 TerminalNum 即 number ,并将该 number 加密保存到配置文件 /data/data/com.schemedroid/files/setting.prop 中
4100_KEY
获取到 key 值并将该 key 加密保存到配置文件 /data/data/com.schemedroid/files/setting.prop 中
4100_LOCAL_NUM
向 number 指定的手机号发送短信,短信内容为 jnfja+ 当前用户手机的 IMEI 值
4100_SRV_ADDR
获取到网络连接的目标 ip 地址 SrvAddr 即 server 并将 server 值加密保存到配置文件 /data/data/com.schemedroid/files/setting.prop 中,然后主动连接到 server 地址 端口号为 5000 的远程服务器,让用户的手机接受远程控制。
4100_SRV_PORT
获取到网络连接的端口号 SrvPort 即 port ,并加密保存 port 到配置文件 /data/data/com.schemedroid/files/setting.prop 中
4100_REQUEST_CONTACT
将用户手机里联系人的信息,发送给远程的 tcp 客户端
4100_REQUEST_SMS
4100_REQUEST_CALL
将用户手机里通话记录的信息,发送给远程的 tcp 客户端
4100_REQUEST_STATION
将用户基于手机定位的经纬度、基站区号、网络标识等信息 , 发送给远程的 tcp 客户端
4100_REQUEST_GPS
将用户手机基于 Gps 定位的经纬度信息,发送给远程的 tcp 客户端
<9>.窃取用户手机里以下Android应用的文件数据信息和Android应用的版本号,上传到SrvAddr和SrvPort指定的远程服务器端,现将收集到的下列App的数据文件信息进行压缩处理得到data%d.41(其中%d为0~30的某个值)文件,将该压缩文件的路径等信息先保存到数据库config.db的表t_fileTask中,然后发送给远程的服务器。
App 应用的包名 窃取的数据信息
是否上传 App 的版本号 versionName
com.instanza.cocovoice
/data/data/com.instanza.cocovoice/databases
com.loudtalks
/data/data/com.loudtalks/shared_prefs Sd 卡下的文件 zello/history
com.viber.voip
/data/data/com.viber.voip/databases /data/data/com.viber.voip/files
com.android.browsercom.google.android.browser
/data/data/ com.android.browsercom.google.android.browser /databases
com.android.browser
/data/data/com.android.browser/databases
com.android.email
/data/data/com.android.email/databases
com.google.android.email
/data/data/com.google.android.email/databases
com.htc.android.mail
/data/data/com.htc.android.mail/databases
com.tencent.mm
/data/data/com.tencent.mm/MicroMsg /data/data/com.tencent.mm/shared_prefs
com.sina.weibo
/data/data/com.sina.weibo/cache /data/data/com.sina.weibo/databases /data/data/com.sina.weibo/files /data/data/com.sina.weibo/shared_prefs
com.tencent.mobileqq
/data/data/com.tencent.mobileqq/databases /data/data/com.tencent.mobileqq/shared_prefs
com.tencent.android.pad
/data/data/com.tencent.android.pad/databases /data/data/com.tencent.mobileqq/shared_prefs
com.skype.rover
/data/data/com.skype.rover/files
com.skype.raider
/data/data/com.skype.raider/files
com.tencent.WBlog
/data/data/com.tencent.WBlog/cache /data/data/com.tencent.WBlog/databases /data/data/com.tencent.WBlog/files
com.whatsapp
/data/data/com.whatsapp/databases /data/data/com.whatsapp/shared_prefs
com.rebelvox.voxer
/data/data/com.rebelvox.voxer/databases
com.oovoo
/data/data/com.oovoo/databases
com.gtomato.talkbox
/data/data/com.gtomato.talkbox/databases /data/data/com.gtomato.talkbox/files
com.bbm
/data/data/com.bbm/files /data/data/com.bbm/shared_prefs
<10>.读取当前Android应用资源文件目录assets下的about.png文件的数据,释放该文件到文件路径/data/data/com.schemedroid/filess下,判断/system/bin/debuggerd文件是否已经存在,如果存在则执行/system/bin/debuggerd -c -s SrvAddr -p SrvPort(SrvAddr为连接远程服务器的IP地址,SrvPort为连接远程IP地址的端口),否则读取资源目录assets下的help.png、help2.png、help3.png、help4.png文件,解密后分别释放到/data/data/com.schemedroid/files文件路径下,然后在root权限下,执行以下命令创建守护进程/system/bin/debuggerd。
<11>.将Android应用的assets目录下的iptables_armv5文件和busybox_g1文件拷贝到文件路径/data/data/com.schemedroid/app_bin下,创建和释放/data/data/com.schemedroid/app_bin/droidwall.sh脚本文件并在root权限下执行脚本droidwall.sh,使手机安全软件com.qihoo360.mobilesafe,com.qihoo.antivirus的防火墙功能失效并在执行完成后删除脚本文件droidwall.sh。
<12>.向IP地址为SrvAddr端口号为SrvPort的远程服务器发起网络连接,获取远程服务器发送来的数据包类型,数据包类型为5,将文件/data/data/com.schemedroid/files/setting.prop上传给远程的服务器,关闭与远程服务器的连接;数据包类型为0,接收远程服务器发送来的控制指令对用户的手机进行远程控制操作,每条控制指令是存放在###与###的字符串,并且控制指令执行的操作与上文分析的样本行为是对应的。
控制命令 消息类型
执行的操作
GetCmd
SMSInfo
ContactInfo
LogInfo
BaseStation
GPS
AppList
GetQQ
获取用户手机里 QQ 的 databases 和 shared_prefs 文件信息
GetBrowser
获取用户手机里默认浏览器的 databases 文件信息
GetEmail
获取用户手机里指定 email 应用的 databases 文件信息
GetWeChat
获取用户手机里微信的 MicroMsg 和 shared_prefs 文件信息
GetWeibo
获取用户手机里新浪微博的 cache 、 databases 、 files 、 shared_prefs 文件信息
GetWifi
获取用户手机里 wifi 的名称、密码、连接状态等信息
GetSkype
获取用户手机里 Skype 应用的 files 文件的信息
LocalAddr
MakeACall:(
ClrRcdNum:(
删除数据库 config.db 里表 number 中储存类型为 2 的手机号
RcdNum:(
向数据库 config.db 里表 number 中插入类型为 2 的手机号
StartRecorder:(
KSerName:(
保存 server 的地址信息到远控配置文件 setting.prop 中
SendInfo
将保存用户手机里指定用户信息的所有 .ini 文件上传到远程服务器
SetBlack
向数据库 config.db 里表 number 中插入类型为 1 的黑名单手机号
ClearBlack
删除数据库 config.db 里表 number 中储存类型为 1 的黑名单手机号
KillSelf
在用户手机里,清除 com.schemedroid.apk 自身并结束自身进程
FILELIST
获取用户手机里所有 scard 等存储器的文件路径信息
RecordFileList
获取对用户手机进行通话录音和常规录音的保存文件的路径信息
SendFile
将用户手机里指定文件路径的文件数据上传到远程服务器
SendDir
将用户手机里指定文件夹下的所有文件信息存储到数据库 config.db 的表 t_fileTask 中
SendSms
SendFakeSms
UpdateSetting
将远控配置文件 setting2.prop 的数据上传到服务器进行下载更新
TakePicture
MovieRecord
GetAppData
获取用户手机里指定 app 的指定目录的文件信息并上传到远程服务器
GetWhatsapp
获取用户手机里 Whatsapp 应用的 databases 、 shared_prefs 文件信息
DeleteFiles
对用手机里的指定图片、视频、音频或者 app 文件进行删除
DestroyApps
将用户手机里安装的 app 进行删除和破坏缓存 dex 文件
ConsumeEnergy
ConsumeMobileTraffic
SetFlyMode
SlowerPhone
MatchFiles
GetAVFileList
获取用户手机里指定格式图片、音频、视频文件的文件列表
MMSInfo
将保存用户 MMS 类型信息的 .ini 文件的数据上传到远程的服务器
STRATEGY
收集用户手机里通信 app 、联系人等信息并将保存信息文件路径存储到数据库 config.db 的表 t_fileTask 中
GetRoot
<13>.对用户手机里的短信数据库"content://sms"的变化进行监控,判断用户手机接收到的短信是否是###开头的远程控制指令短信,由于该远程控制指令短信是经过TEA算法加密的,使用远控配置文件setting.prop中key对远程控制指令短信进行TEA算法的解密,得到最终有效的控制指令字符串,控制指令对应的具体操作和网络远程控制的控制指令操作一致。
控制命令 消息类型
执行的操作
GetCmd
SMSInfo
ContactInfo
LogInfo
BaseStation
GPS
AppList
GetQQ
获取用户手机里 QQ 的 databases 和 shared_prefs 文件信息
GetBrowser
获取用户手机里默认浏览器的 databases 文件信息
GetEmail
获取用户手机里指定 email 应用的 databases 文件信息
GetWeChat
获取用户手机里微信的 MicroMsg 和 shared_prefs 文件信息
GetWeibo
获取用户手机里新浪微博的 cache 、 databases 、 files 、 shared_prefs 文件信息
GetWifi
获取用户手机里 wifi 的名称、密码、连接状态等信息
GetSkype
获取用户手机里 Skype 应用的 files 文件的信息
LocalAddr
MakeACall:(
ClrRcdNum:(
删除数据库 config.db 里表 number 中储存类型为 2 的手机号
RcdNum:(
向数据库 config.db 里表 number 中插入类型为 2 的手机号
StartRecorder:(
KSerName:(
保存 server 的地址信息到远控配置文件 setting.prop 中
SendInfo
将保存用户手机里指定用户信息的所有 .ini 文件上传到远程服务器
SetBlack
向数据库 config.db 里表 number 中插入类型为 1 的黑名单手机号
ClearBlack
删除数据库 config.db 里表 number 中储存类型为 1 的黑名单手机号
KillSelf
在用户手机里,清除 com.schemedroid.apk 自身并结束自身进程
FILELIST
获取用户手机里所有 scard 等存储器的文件路径信息
RecordFileList
获取对用户手机进行通话录音和常规录音的保存文件的路径信息
SendFile
将用户手机里指定文件路径的文件数据上传到远程服务器
SendDir
将用户手机里指定文件夹下的所有文件信息存储到数据库 config.db 的表 t_fileTask 中
SendSms
SendFakeSms
UpdateSetting
将远控配置文件 setting2.prop 的数据上传到服务器进行下载更新
TakePicture
MovieRecord
GetAppData
获取用户手机里指定 app 的指定目录的文件信息并上传到远程服务器
GetWhatsapp
获取用户手机里 Whatsapp 应用的 databases 、 shared_prefs 文件信息
DeleteFiles
对用手机里的指定图片、视频、音频或者 app 文件进行删除
DestroyApps
将用户手机里安装的 app 进行删除和破坏缓存 dex 文件
ConsumeEnergy
ConsumeMobileTraffic
SetFlyMode
SlowerPhone
MatchFiles
GetAVFileList
获取用户手机里指定格式图片、音频、视频文件的文件列表
MMSInfo
将保存用户 MMS 类型信息的 .ini 文件的数据上传到远程的服务器
STRATEGY
收集用户手机里通信 app 、联系人等信息并将保存信息文件路径存储到数据库 config.db 的表 t_fileTask 中
GetRoot
<14>.如果用户手机接收到短信的发送手机号是在config.db的数据库number表中的类型为1的黑名单中的手机号,则该条短信如下详细信息发送到远程的服务器端;如果不在,只将短信的发送时间、短信内容、短信长度和用户手机的手机定位经纬度等信息上到远程的服务器。
<15>.对用户的手机通话进行监控并监听和处理广播事件android.intent.action.NEW_OUTGOING_CALL,对用户的电话拨号进行拦截,获取到用户所拨打的手机号码,如果该手机号不在数据库config.db里的表number中type为2的非黑名单中,则对该手机号的通话进行监控录音。
<16>.对用户的手机进行录音监控,监听和注册广播事件googleservice.action.startRecord和googleservice.action.stopRecord,当前广播事件为前者时对用户的手机进行监控录音和保存,当广播事件为后者时,将录音文件上传到远程的服务器端。
<17>.对用户的手机屏幕进行截图监控,注册和监听广播事件googleservice.action.startTakePicture和googleservice.action.takingPictureOver,当收到的广播事件为前者时,开启定时器任务回调对用户的手机屏幕进行截图操作,当接收到的广播事件为后者时,将对用户手机进行截图监控得到文件,上传远程的服务器端。
<18>.对用户的手机进行视频监控,注册和监听广播事件googleservice.action.startMovieRecord和googleservice.action.movieRecordOver,当监听到的广播事件为前者时,开启定时器回调对用户的手机进行视频的录制操作,当监听到的广播事件为后者时,结束视频监控,将对用户手机视频监控得到的文件上到远程的服务器端。
<19>.强制开启用户手机的Gps定位功能,监听和注册广播事件googleservice.opengps和 googleservice.closegps,当接收到这两种广播事件时,都会强制开启用户手机的Gps定位功能,还会发送位置更新请求更新用户手机的定位信息。
<20>.监控用户手机的网络定位信息的变化并实时将用户手机的网络定位经、纬度等信息,上传到远程的服务器端。
<21>.监听用户手机网络wifi的变化,注册和监听广播事件android.net.conn.CONNECTIVITY_CHANGE和android.net.wifi.WIFI_STATE_CHANGED,当接收到的广播事件为前者时,主动向SrvAddr和SrvPort描述的IP地址发起网络连接,让用户的手机接收远程服务器的命令控制(具体控制行为,上面12中已分析)并将保存用户基本信息的文件上传到远程的服务器;当接收到的广播事件为后者时,清除掉用户手机的wifi配置信息,对用户手机的WiFi进行自动密码的破解 。
<22>.远程控制对用户手机里指定路径下的图片、音频、视频文件以及Android系统的其他文件进行删除操作,远程命令控制支持删除的图片、音频、视频文件的格式,如下所示:
在对Android系统的非多媒体文件进行删除时,若被删除文件在/system目录下时,先修改Android系统内存属性(root权限),然后将文件重名为.d文件,对/system/bin/app_process做特殊处理,执行kill命令结束掉/system/bin/app_process进程,其他的文件直接执行rm命令进行删除操作。
<23>.远程销毁和破坏用户手机里安装的所有Android应用程序,删除掉该Android应用的优化odex文件并破坏掉/data/dalvik-cache目录下的缓存dex文件,最后通过包名查找结束掉该Apk对应的Android进程。
<24>.远程控制实现自我的删除操作,执行命令的如下所示,当前Android应用在删除自身操作时,会创建标记文件/data/data/com.schemedroid/android.sys,将/system和/data目录下的com.schemedroid.apk文件删除和卸载后,结束自身进程。
<25>.关闭用户手机的wifi网络打开用户手机的移动数据流量,向http://www.androidcentral.com/google-play-store 发送http数据请求,消耗用户手机的移动数据流量。
<26>.强制开启用户手机的Gps功能,wifi网络并开启wifi的扫描功能,发送http请求等操作以及创建和释放脚本文件/data/data/com.schemedroid/files/consume0.sh和脚本文件/data/data/com.schemedroid/files/consume.sh,执行命令sh consume.sh 3 & 对用户手机的网络资源和电池电量进行消耗。
<27>.创建和释放脚本文件/data/data/com.schemedroid/files/slow.sh和/data/data/com.schemedroid/files/slow0.sh,执行命令 sh slow.sh 10 & 运行脚本,消耗用户手机的内存资源。
over,基本的样本行为就是这么多了,还有一些其他的行为就不写了,在该木马病毒的远程控制指令中都有描述。
加油~格式排版不是很好,图片压缩的厉害.
免费评分
查看全部评分
发帖前要善用【论坛搜索 】 功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。