用户注意 功夫熊猫病毒 袭卷 Android手机

用户注意 功夫熊猫病毒 袭卷 Android手机

news.imobile.com.cn true http://news.imobile.com.cn/articles/2012/0301/102251.shtml report 5480
  功夫病毒可能是2012年最为活跃的病毒家族了,截止目前,这支病毒已经发展了超过5种以上的变种,使用的引导、隐藏和免杀技术也在日新月异的发展变化,当之无愧的成为目前技术最为先进、传播最为广泛的流行Android病毒。

  继春节前夕LBE小组发布了功夫病毒专杀工具之后,在2月24日,LBE小组首先拦截到了功夫病毒的最新变种Trojan/Android.KungFu.aa,我们称之为功夫熊猫病毒。功夫熊猫具备传统功夫病毒的一切特征,包括:修改系统分区嵌入至ROM、感染后无法查杀,甚至回复出厂设置也无法解决的同时加强了自我保护和隐藏的功能,并且能够干扰部分安全软件(包括LBE安全大师等)正常运行,是目前为止危险性最高的流行病毒。

  病毒分析

  功夫熊猫病毒会将自己伪装成合法的软件,通过第三方市场和论坛进行传播

点击查看大图

  为了解决签名不一致导致升级失败无法安装的问题,病毒作者特意修改了包名,避免了病毒无法安装的问题。

  LBE小组拦截到的功夫熊猫病毒样本并未携带自动提权代码,因此需要用户手机ROOT之后才会被感染。由于部分软件自身需要ROOT权限,所以一般用户很难分辨自己安装的是正常软件,还是恶意软件,从而导致感染病毒。

点击查看大图

  当病毒的提权部分代码被触发之后,便会执行以下操作:

  1、 将系统分区设置为可写

  2、 将自身复制到系统分区内/system/lib/libd1.so

  3、 将/system/bin下的多个关键系统组件备份至/system/framework下,并且使用病毒代码覆盖原始系统组件

  4、 修改多个系统引导脚本,确保自身在系统引导之前加载

  当病毒本体执行时,会执行以下操作:

  1、 将自己设置为后台daemon,避免被终止;并将自己伪装为system_server,实现进程自我保护,并且干扰部分安全软件的正常运行。

  2、 监控被自身修改的系统引导脚本的内容,如果发现有任何软件尝试修改和替换系统引导脚本,都会自动将内容还原。

  3、 联络远程控制端,获取攻击指令。功夫熊猫病毒使用了不同的控制端域名(ad.pandanew.com),这也是其得名的原因。

点击查看大图

点击查看大图

  4、 截止到发稿为止,功夫熊猫的控制端并未开始下发任何攻击指令,我们认为病毒团队仍然在对控制端进行调试,以及收集受感染的机型数据。但是对于功夫熊猫的逆向分析显示,其包含了功夫病毒的所有功能,包括静默安装、卸载软件;静默执行软件;设置浏览器首页和收藏夹等。

  与先前版本的功夫病毒不同,功夫熊猫病毒使用了几乎完全不同的加载、隐藏和自我保护方式。由于病毒会设法使自己先于Android系统加载,使得任何现有的安全软件对其都束手无策。

  免疫和清除方式

  截止到发稿为止,目前仅有LBE安全大师能够识别功夫熊猫病毒。LBE安全大师的用户需要将病毒库在线更新至20120224.d版本即可;如果无法在线更新,也可以选择前往LBE官方网站下载最新的3.2.1750版。如果您使用其他软件软件,请等待厂商的更新。

  对于不幸中招的用户,由于病毒已经修改了相当多的系统文件,并且具备相当强的自我保护能力,手工清理几乎不可能完成。我们推荐您使用功夫熊猫专杀工具,您可以登录LBE小组官方主页下载安装。功夫熊猫专杀工具内置了最新版本的安天查杀引擎,能够检测和识别带毒恶意软件,同时也能够将病毒修改的系统文件彻底还原。

  结语

  在Android病毒日渐泛滥的今天,我们建议您:只通过安全的途径下载使用软件,不安装来历不明的软件(谨慎安装各种汉化版、破解版软件),使用一款安全软件,通过以上途径来保护您手机的安全。

  对于专杀工具的使用有任何疑问和建议,您可以发送邮件至lbe@lbesec.com,或者访问微博http://weibo.com/lbesec
来源: 手机之家

微博评论

之家评论

© 2002-2016 imobile.com.cn 手机之家 所有权利保留

京ICP备09079639号 京ICP证090349号 电信业务审批[2009]字第281号 京公网安备:110105001081