Browsed by
月份:2014年6月

长老木马二代FakeDebuggerd.B分析报告

长老木马二代FakeDebuggerd.B分析报告

作者:董清、王欢、石浩然   三个月前,我们发现了潜伏手机多年的木马---长老木马(FakeDebuggerd),它通过替换系统文件/system/bin/debuggerd实现开机自启动,并获得Root权限,使得木马作者可以远程控制用户手机,进行篡改浏览器主页、软件推广等恶意行为,详情请参考我们之前的分析报告[1]。 近日,我们又截获了长老木马(FakeDebuggerd)家族的最新变种—FakeDebuggerd.B,它与之前类似,也会替换系统文件/system/bin/debuggerd,在开机自启的同时获得Root权限。同时,FakeDebuggerd.B会解密用户的微信、QQ、Skype的聊天记录,并将之发送给木马作者,它还会盗取用户的WIFI密码、浏览器中保存的密码、系统中保存的同步账户的密码(Hash值),比如Google账户等;此外,FakeDebuggerd.B还会盗取用户手机的短信、通话记录、浏览器历史记录、日程信息、地理位置、基站信息、安装的程序、设备型号和IP地址等等多种信息。 FakeDebuggerd.B一般会伪装成名为“安卓更新”、“系统更新”等名字的程序,在第三方市场,诱惑用户安装。如果用户发现自己的手机里有类似的程序,我们建议用户使用最新版的长老木马专杀工具[2]对手机进行查杀。 一、       
TkLocker分析报告

TkLocker分析报告

作者:王欢 概述 在PC领域,“勒索软件”这个词在去年一个名为CryptLocker的病毒爆发之后逐渐进入公众视线,其会将用户文档资料全部加密,而用户必须给黑客支付300美元或0.5比特币才能找回自己的文档资料。而近期我们已经发现Android平台也出现了一款名为SimpLocker的病毒在国外传播,其行为与CryptLocker如出一辙。 而今我们发现国内的用户也不能幸免,TkLocker病毒的出现无疑给国内的用户敲响了警钟,其病毒作者最初是以炫耀技术为目的开发了一款名为“不要好奇,千万别打开”的恶搞程序,强行锁定用户手机24小时,使用户在这24小时内无法对手机进行任何操作,而后来其不满足于此,制作了近600款恶意程序,并有很多具有诱惑性的名称,诸如“天天酷跑专用修改(超哥破解)”、“100部BT种子(你懂的)”、“让任何人都惊喜的东西”、“天天酷跑秒杀275外挂”等,妨碍用户正常使用手机,其很可能进化成如CryptLocker和SimpLocker一样的“敲竹杠”软件,提醒用户尽量安装360手机卫士或者360手机杀毒等安全软件以防中招。如果用户已经中招,请用数据线将手机与电脑连接起来,然后在电脑上下载并安装“360系统急救箱”,使用其中的“手机木马专杀”功能查杀病毒。 病毒行为分析 其启动后会启动一个acitivity界面,如下图: 而后用户无论如何操作都无法退出这个界面,其实现过程如下: 首先创建一个计时器,时间设定时间为24小时,24小时后程序解锁。 而后一直不停查询当前显示界面是否为恶意activity本身,若不是则结束当前程序并启动恶意activity。 另外,若用户尝试关机重启,其还会提示“强制关机系统会报废!哈哈~”,实际没有这个能力,但软件会接收开机广播,开机后自动启动,这样重启仍然无法解决问题。 目前360安全中心已捕获到TkLocker系列样本近600个,总感染量超过57000人,其中感染量最多三个软件的是“天天酷跑专用修改(超哥破解)”(19341人), “妖艳制作”(12462人),以及“让任何人都惊喜的东西”(5092人), 以下是其他相同软件截图。   这些软件暂时还都是恶搞软件,功能也都相同,24小时后会自动停止。但可以预计的是,未来黑客可利用这种方式进行勒索。   解决方案 目前,我们的“360系统急救箱”已经支持对该木马进行查杀,下载地址是: http://www.360.cn/jijiuxiang/index.html 如果用户已经中招,请用数据线将手机与电脑连接起来,然后在电脑上下载并安装360系统急救箱,使用其中的“手机木马专杀”功能查杀病毒。同时建议用户从正规渠道购买手机,安装360手机卫士保护手机安全。如遇到病毒反复查杀、手机中静默安装软件等异常现象,及时向我们反馈。
“假面银贼”木马分析报告

“假面银贼”木马分析报告

作者:王玺 以淘宝“卡单”、“账户冻结”、“订单失败”等为借口的电信诈骗层出不穷。6月16日,360安全中心再次截获以“订单失败”为由的淘宝木马。此木马图标及应用界面,高度伪装手机淘宝,以订单失败需要退款为由,骗取用户姓名,手机号,身份证号,银行卡号信息,并将这些信息通过短信发送到木马作者指定的号码,同时该木马转发所有手机收到的短信到此号码,转发后用户不会再收到手机新来短信的提示。这样木马作者,就能得到用户手机收到的淘宝发送来的验证码或动态密码,进而通过修改淘宝和支付宝的账号密码来窃取用户的钱财。再次提醒网民,请通过360手机助手等正规应用市场来下载应用。目前360安全卫士已全面查杀此木马。     木马行为分析: 安装后图标和应用界面高度伪装淘宝: 木马伪装的图标   木马启动后伪装的界面 木马启动后,用户会被诱导,并按照界面的提示一步步的输入,手机号,姓名,身份证号,银行卡号。最后点“立即退款”提示退款“正在处理”。 而此时,木马将用户输入的这些信息全部通过短信发送到了15322547438这个号码上: 当用户点击界面1上“点击立即查询”按钮,会转发一条短信,内容格式“null:用户输入的手机号” 当用户点击界面3上“立即退款”按钮,也会转发一条短信,内容格式
假面间谍木马分析报告

假面间谍木马分析报告

作者:石浩然、陈宏伟   近日,360手机安全中心发现一种新的手机木马---假面间谍,该手机木马伪装成“qq2013”、“微信”、“91手机助手”、“UC浏览器”等常用软件,用户很容易受其误导,安装并运行该木马。手机一旦中招,木马会诱导用户安装名为“更新程序”的恶意子包,用户的短信将会受到木马监控,同时木马接收黑客短信指令控制用户手机,转发指定内容的短信,私自发送特定内容短信到指定号码等恶意行为,对用户的短信隐私及手机资费存在巨大的威胁。    图中“QQ2013”为该木马伪装  木马运行流程图如下   从流程中可以看出恶意子包也同样具有主包的短信监控和执行黑客短信指令的功能,木马如此设定是为了主包在被卸载的情况下依然可以对用户手机实施恶意行为,同时,子包安装后并没有图标,因此更加隐蔽。   第一部分
OpenSSL六漏洞再公开,安卓客户端受影响

OpenSSL六漏洞再公开,安卓客户端受影响

作者:申迪 继HeartBleed之后,OpenSSL于6月5日再度公开了六个安全漏洞。其中‘Early CCS’ (CVE-2014-0224)可被用于中间人攻击,窃听通信数据。而CVE-2014-0195则是一个堆溢出漏洞,客户端和服务端均可被攻击,理论上存在远程代码执行的可能性。另外四个则可被用于DoS(Denial
Simplocker分析报告

Simplocker分析报告

作者:张昊 背景: 近日某国外安全厂商发现一类新的锁屏勒索软件Simplocker.A。该软件为勒索软件,运行后会将自身程序置顶,用户无法对手机进行任何操作,同时将用户SD卡上文件进行加密,向用户索要260