| 红黑网友(游客) |
2015-01-15 22:06 |
“长老木马”三代揪出背后“大毒枭”
一、冰山一角
近期很多网友的Android手机上“莫名其妙”地出现了“手电筒”、“日历”等应用,并且在没有root的前提下无法卸载。即使获得了root权限卸载了,没过多久又会再次出现。根据360互联网安全中心统计,相关的受感染用户已经超过百万。
二、始作俑者
经过大量的用户配合反馈以及360互联网安全中心细致分析排查后,我们发现始作俑者为“长老木马(Fakewindowd)”家族的最新变种,该木马替换系统原生的/system/bin/windowd,开机启动,长期驻留后台,窃取用户信息,恶意推广软件。我们将其命名为Fakewindowd.C。
(一)Fakewindowd.C行为流程图
(二)Fakewindowd.C具体行为分析
1.初始化
启动后,在/sdcard和/data目录分别建立目录:/sdcard/sysv/和/data/.3q/,用来保存和服务器的通信数据和运行信息
2.替换系统文件
首先,Fakewindowd.C首次启动会创建空文件/system/bin/.cw来判断/system是否需要重新挂载。
其次,将/system/bin/windowd重命名成/system/bin/windowd_deamon
然后,找到自己对应的镜像文件,将自己的镜像文件复制到/system/bin/,重命名为windowd。等待原始的
阅读全文地址:/Article/201411/355458.html |
|