之前本文標題及內容誤將XXShenqi寫作XXZhushou,是作者一時手滑,想到了另一個應用了233

病毒指紋

釋放器包名:com.example.xxshenqi
釋放器MD5:5956c29ce2e17f49a71ac8526dd9cde3
 本體包名:com.example.com.android.trogoogle
本體MD5:b0dea6906329c47edbecd48adc15a996
收到朋友的短訊:「XX看這個,http://cdn.yyupload.com/down/4279193/XXshenqi.apk 」時,千萬不要打開,這是一個可以盜取用戶信息的手機病毒
目前主流手機安全軟件均為能查殺該病毒,屬於0day爆髮狀態;但是具有權限管理功能的安全軟件可以攔截短訊發送,但不能攔截郵件發送(除非禁止應用聯網)
其實這是一個寫得很菜的病毒,類似於PC時代的VB腳本小子的那種

病毒行為

經過逆向分析得知病毒具有以下行為
  1. 釋放器(XX神器)安裝後,誘導用戶安裝「資源包」,即病毒本體
  2. 本體監聽android.permission.RECEIVE_BOOT_COMPLETED和android.permission.RECEIVE_SMS廣播實現自啟動
  3. 本體接收來自18670259904手機號的短訊
  4. 本體收到短訊後,自動發送短訊到手機號,及郵箱[email protected],關鍵代碼如下

 查殺方案

進入設置->應用,卸載名為XX神器,及com.android.Trogoogle的應用

儘快修改各類賬號密碼