[QING JIAN-11]病毒分析
0x000
作者: Sollyu
时间: 2016-04-14 深夜
博客: http://www.sollyu.com
0x001
病毒原贴: http://bbs.pediy.com/showthread.php?t=208897
类似病毒: http://bbs.pediy.com/showthread.php?t=208195
安装文字描述: 程序正常安装，安装完成桌面中图标消失，导致界面卡死，按下返回之后界面回复。经过几次测试会有个『和系统不符合，自动卸载』的提示。
病毒安装过程中截图

0x002
病毒简要分析：安转过程中出现明显的权限需求，软件名称比较特殊（为英文且无意义，应该为拼音），安装之后图标不见，同理出现在『设备管理器』中，『设备管理器』中无法『取消激活』，从而达到提取更多的系统权限和一直在运行的状态，并且无法卸载的目的。操作过程如下：

0x003
使用JEB工具进行对这个病毒进行反编译，发现可以正常反编译且可以看到SMALI代码，代码只是进行了简单的混淆，但总体不影响阅读。JEB中可以在Manifest文件中查看到这个软件的权限，以及对的声明的各种service和receiver，其中主要的权限有：SEND_SMS、RECEIVE_SMS、WRITE_SMS、RECEIVE_BOOT_COMPLETED，然后使用receiver来监听各种事件来启动病毒应用，监听事件如下：

上面的receiver用来保证程序不被退出或者杀死，它没有做过多的东西，主要的责任是负责程序不退出，保证SMSReceiver一直可以正确的接收到信息。
SMSReceiver 从字面上就可以看出来，主要是做短信接受。它的主要作用是判断接受的短信是不是主机发来的短信，然后来执行相应的操作。当这个Receiver被触发的时候就启动SmsService服务。
SmsService 就是主要是判读执行的操作的功能，具体代码片段如下

备注一下，上面代码让我修改过了，源程序被混淆过了，这里为方便大家阅读和分析整个病毒的执行过程进行了一些简单的备注。
可以后面在最下面有一个SendMessage的操作，跳转到这里看一下它的代码

里面进行了一些简单『加密』，当我看到这些『加密』的时候我是真心笑了。同样这里涉及了一个接受方的手机号码，就是在上面图片偏下的部分中有一个getSendMessageNubmer这个方法（同样这里也是我个人注释的），追溯到这里可以发现接受方的手机号码，为了不给自己带来一些不必要的麻烦，我这里给手机号打了一下马赛克

同样在这个类中可以发现很多关键的地方，比如里面写了发现邮件的帐号和密码。

看到上面邮件的帐号和密码，详细找了一下发送邮件的关键代码如下，同样还有发送联系人和短信内容的邮件

发送本地短信

发送电话簿

0x004
删除病毒方法: ROOT命令
pm disable cn.qalaedpad.qpaeweka
pm unstall cn.qalaedpad.qpaeweka
0x005
为了文章的篇幅，病毒就分析到此
个人纯粹菜鸟，可能分析的完全不对，还请大虾见谅

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)