首页
社区
课程
招聘
[求助]一个劫持安卓和ios网络层病毒
发表于: 2016-12-23 23:15 2329

[求助]一个劫持安卓和ios网络层病毒

2016-12-23 23:15
2329
第一次发帖恩就这样!
手机下apk被劫持 起初以为是114.114.114.114劫持的
换了谷歌中华电信都一样被劫持(貌似换了DNS没那么猖狂)
以下是抓包到的
GET http://139.129.228.241:6678/a.php?id=bb01&url=ZmlsZS5saXF1Y24uY29tL3VwbG9hZC8yMDEyL2dvdXd1L2NvbS5tYXJrZXUubXNzY2FuXzMuMi44X2xpcXVjbi5jb20uYXBrP3Q9MTQ4MjE1MjUwMw== HTTP/1.1
Host: 139.129.228.241:6678
Connection: keep-alive
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8,UC/145
User-Agent: Mozilla/5.0 (Linux; U; Android 5.0.2; zh-CN; HTC D820u Build/LRX22G) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/40.0.2214.89 UCBrowser/11.2.5.884 Mobile Safari/537.36
Referer: http://liqucn.com/os/android/rj/75408.wml
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,en-US;q=0.8
X-UCBrowser-UA: dv(HTC D820u);pr(UCBrowser/11.2.5.884);ov(Android 5.0.2);ss(360*592);pi(720*1184);bt(UM);pm(1);bv(0);nm(0);im(0);sr(0);nt(2);


这个会跳转到以下这几个劫持下载地址
http://ifjf7506.wowxt.com/link/260673/
http://222.186.60.89:1188/008/wandoujia-aishu1_ad.apk
http://msoftdl.360.cn/mobilesafe/shouji360/360safe/6002988/360MobileSafe.apk?cclt1=ncache2
http://222.186.60.89:1188/008/ssdzz460.apk
http://wsx.99bxj.com:94/a246001/?a110

222.186.60.89这个ip AVg报告过了
三月份的时候就感染了190万设备
我的是广电网络 前几天DNSChanger复活升级了 特别怀疑是路由器被感染了 但是我一个是极路由2一个是水星都存在劫持就怀疑是调制解调器被感染了
广电网络的调制解调器都开了23端口的

跟360的童鞋研究了会 没研究出啥
这个php不会解密  get post都会转向下载地址  http://139.129.228.241:6678/a.php
各位大神帮我分析下是哪里出问题了
这个是网络层出的问题 怎么找证据
我想报警的

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (2)
雪    币: 53
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
好像是山东青岛阿里云上下载的360手机卫士。
在我这加密地址在msoftdl.360.cn上下载的360MobileSafe.apk
http://139.129.228.241:6678/a.php
这个地址下载的是ssdzz460.apk
上传的附件:
2016-12-24 00:24
0
雪    币: 32
活跃值: (17)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
我这边没有被劫持,不是DNS,不是路由,估计就是宽带入口服务器被人为的,目前黑市上有这种资源卖,我家小区的宽带估计就被卖了,到晚上经常跳广告
2017-1-2 18:18
0
游客
登录 | 注册 方可回帖
返回
//