在QQ中查殺出了一個(gè)病毒androidBACKdoor420origin？

謝邀。最高級(jí)的android木馬已經(jīng)現(xiàn)身，據(jù)稱“它能利用Android操作系統(tǒng)此前未知的漏洞提升程序權(quán)限，并能阻止被卸載。”該惡意程序被稱為“Backdoor.AndroidOS.Obad.a”，其惡意行為是通過(guò)悄悄向增值服務(wù)號(hào)碼發(fā)送短信獲利。利用Android未曾發(fā)現(xiàn)漏洞并且無(wú)法卸載，“史上最強(qiáng)Android木馬”有多神奇？就此我們做了深度剖析，詳解攻破 “最強(qiáng)木馬”三層防查殺的整個(gè)過(guò)程。

第一層：封堵病毒分析主要入口 阻止安全工程師獲取安全信息

首先，專家發(fā)現(xiàn)，該木馬為逃避殺毒軟件查殺確實(shí)煞費(fèi)苦心。它在代碼中采取了一些專門針對(duì)病毒分析人員的措施，為安全公司分析它增加難度。例如，大多數(shù)安全公司分析Android木馬樣本時(shí)，通常采用AXML解析工具來(lái)解析樣本的主配置文件——AndroidManifest.xml文件。該文件包含了Android應(yīng)用的主要模塊入口信息，是木馬分析時(shí)的重要線索。Obad.a木馬故意構(gòu)造了一個(gè)非標(biāo)準(zhǔn)的AndroidManifest.xml文件，使得病毒分析人員無(wú)法得到完整數(shù)據(jù)。

第二層：對(duì)指令代碼進(jìn)行特殊處理 阻止反編譯

該木馬除了對(duì)代碼進(jìn)行加密處理以外，還通過(guò)對(duì)指令代碼進(jìn)行特殊處理，使得安全公司常用的Java反編譯工具無(wú)法正確地反編譯其指令，增加對(duì)木馬的分析難度：

第三層：利用系統(tǒng)缺陷阻止用戶卸載

該木馬為防止被用戶發(fā)現(xiàn)后卸載煞費(fèi)苦心。Android系統(tǒng)從2.2版本開始，提供了一個(gè)“設(shè)備管理器”的功能，其初衷是為企業(yè)部署遠(yuǎn)程IT控制使用，為了防止員工私自卸載企業(yè)安裝的“設(shè)備管理器”，一旦激活設(shè)備管理器之后，該設(shè)備管理器就不可刪除。但是，由于Android系統(tǒng)對(duì)此功能設(shè)計(jì)的不完善，使得木馬可以利用這個(gè)機(jī)制，讓自己注冊(cè)成為一個(gè)設(shè)備管理器，從而阻止用戶卸載。

木馬首先會(huì)提示用戶“激活設(shè)備管理器”：

而一旦用戶不慎點(diǎn)了“激活”，那么木馬就被注冊(cè)成了設(shè)備管理器，此時(shí)該木馬的“強(qiáng)行停止”和“卸載”按鈕將完全失效，即，木馬無(wú)法關(guān)閉，也無(wú)法卸載：

最可怕的是，設(shè)備管理器還存在一定缺陷，當(dāng)木馬故意以一種錯(cuò)誤的方式來(lái)注冊(cè)設(shè)備管理器時(shí)，Android系統(tǒng)也能讓它注冊(cè)成功，但是在設(shè)備管理器列表中不會(huì)顯示。用戶因此找不到取消注冊(cè)設(shè)備管理器入口，無(wú)法取消木馬的設(shè)備管理權(quán)限。

圖: 系統(tǒng)中甚至不會(huì)列出木馬所注冊(cè)的設(shè)備管理器