首页
社区
课程
招聘
如何查杀中招后删不掉的木马"百脑虫"?
发表于: 2016-1-13 16:35 1334

如何查杀中招后删不掉的木马"百脑虫"?

2016-1-13 16:35
1334
新闻链接:http://safe.zol.com.cn/563/5633510.html
新闻时间:2016-01-12
新闻正文:
       2015年末,大量用户反馈手机中被莫名下载安装其他应用、自动订阅扣费业务等问题。经跟踪发现,这些用户中招的是一个名为“百脑虫”的手机木马,该木马通过嵌入热门应用传播,因此安全专家建议用户,尽量选择正规应用平台下载软件,不要随意下载色情主题应用。目前,中招用户可通过360手机卫士的手机急救全面查杀该木马。
  专挑 “色情”“热门”应用下手  感染量超80万
  为了成功入侵用户手机,“百脑虫”专挑高人气游戏类应用和色情视频类应用下手,以插件的形式嵌入,然后通过网盘、论坛或某些色情类网站进行传播。通过这种方式,“百脑虫”木马的感染量已经超过80万。
  安全专家分析发现,被恶意植入“百脑虫”木马的手机应用达数百种,尤以色情类应用和热门游戏居多。其中被植入木马的“禁播视频”手机应用不仅恶意推广其他应用,还会未经允许后台偷偷订阅扣费业务给用户造成话费损失。由于“禁播视频”运行时会屏蔽“成功订阅服务”、“验证码”等扣费相关敏感短信,用户难以第一时间察觉。
  四大伪装术对抗安全软件
  随着手机安全软件的升级,手机木马也在不断“进化”。首先,“百脑虫”木马在进入用户手机后,会判断用户手机是否处于root状态,如果不是,就会通过云端下载与用户机型和系统版本相应的root提权文件。在获得提权文件的同时,“百脑虫”还会将自身的核心模板复制到系统文件夹下,使用户无法通过正常方法卸载此应用。
  其次,“百脑虫”会针对手机中安全软件随时调整是否进行下一步操作,并会强制中止手机安全软件的运行。

“百脑虫”木马执行过程
再次,而为了更好地隐藏自己,“百脑虫”核心模块几乎所有的字符串都做了加密处理,并在执行过程中以动态解密的方式执行。
  此外,“百脑虫”木马还会自行判断是否处于安全厂商沙箱环境中,如果是,则直接退出不做进一步行为。这种方式导致安全厂商通过沙箱模拟很难全面分析手机木马的恶意行为,具有极高隐蔽性。
  删了也能自动重装  杀不死的“百脑虫”
  Core模块是“百脑虫”木马的核心模块,通过驻留在手机系统,实现下载推广应用的恶意行为,并可以通过注册receiver实现随系统开机或网络状态改变时启动,还设置了时间周期,每隔一个小时,便连接木马服务器下载应用执行,并对下载的文件进行备份,一旦发现被删除卸载则重新安装。

百脑虫”木马可备份以便重新安装
Core初始化完毕后,就会将手机imsi、木马当前版本、当前木马运行时间间隔、是否为内置rom、木马运行环境是否安全、已安装的应用列表、已经下载的JAR包上传给远程服务器,云端根据传回的信息选择返回内容,一旦配置信息将返回的APK安装设置成系统应用,一般用户基本不可能手动将其清理。
  提高安全意识 及时查杀“百脑虫”
  目前,360手机急救箱已实现对该木马的查杀与修复。专家指出,“百脑虫”木马可以大范围传播的主要原因之一是由于用户的安全意识薄弱。对此,专家建议手机用户:
  1、不要随意下载安装色情类手机应用;
  2、下载手机应用时尽量通过正规第三方平台或应用官方网站,避免点击不明链接或扫描来源不明的二维码进行下载安装;
  3、当发现手机出现非自主下载应用、话费异常等状况,立即通过安全软件对手机进行安全检查。

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//