秒抢红包锁屏样本+手动查杀操作

1 样本概况

1.1 样本信息

病毒图标:

病毒名称: 秒抢红包病毒样本

所属家族: a.rogue.SimpleLocker.a

文件名称: com.h-1.apk

MD5值: 033ae1ba78676130e99acc8d9f853124

文件大小: 245.38KB

病毒行为:重置android系统密码,诱骗用户激活设备管理器,属于锁屏勒索类病毒。

1.2 测试环境及工具

AndroidKiller、夜神模拟器

1.3 分析目标

研究此病毒的恶意行为以及如何清除此病毒

2.具体行为分析

2.1 主要行为

2.1.1 恶意程序对用户造成的危害

主动修改用户系统密码给使用造成影响且勒索用户。

1、该样本安装后诱骗用户点击激活设备管理器,使自己无法被用户卸载

2、激活后屏幕界面锁屏,提供了序列号和勒索信息

2.1.2 恶意程序在Androidmanifest.xml中注册的恶意组件

(1)权限相关

  • 传递附加信息
  • 重置密码
  • 添加悬浮窗口
  • 激活ActivityForResult
  • 窗口信息
  • 添加View
  • 初始化Intent
  • 激活设备管理器

(2)服务/广播

2.2 恶意代码分析

2.2.1 恶意程序的代码分析片段

恶意代码修改系统密码相关函数。

自启动服务函数,调用com.h.s

密码生成函数分析

3.总结

3.1 提取病毒的特征,利用杀毒软件查杀

恶意代码特征:

  • (1) MD5:033ae1ba78676130e99acc8d9f853124

  • (2) 提取字符串:\u7528jj\u6233\u4E00\u4E0B\u4E5F\u80FD\u89E3\u9501\u54E6

3.2 手工查杀步骤或是工具查杀步骤或是查杀思路等。

1)提取样本

Android 中有两个目录是存放已经安装的 apk 目录

  1. System/app 存放系统 apk

  2. Data/app 存放用户安装的 apk

2)查找关键字

3)搜索字符串

4)使用自带的jd-gui查看密码加密的随机数与固定值,计算出密码

解密算法为:序号+8985 = 6664503

5)进入手机设置-安全-设备管理器,点击取消掉激活的勾

6)取消激活按钮点击时会遇到第二重密码,输入得到的密码固定值8985可解锁

7)最终我们会成功卸载掉这个恶意的APP的。

样本链接: https://pan.baidu.com/s/1kVC2G8B 密码: q5jw

压缩包密码:52pojie

posted @ 2017-04-10 20:57  17bdw  阅读(744)  评论(1编辑  收藏  举报