安卓版「永恆之藍」病毒揭秘
最新
04-15
前幾天逛看雪發現有人求助遇到了勒索病毒,很興奮的下載看看(不是幸災樂禍)。
這是一個低仿版的「永恆之藍」勒索病毒,為什麼稱其低仿呢?因為他完全是仿製了Windows永恆之藍的界面以及令人髮指的勒索功能的山寨品,而整體的技術含量與該病毒作者的人品以及能力一樣low。
好了,一起來分析一下這款病毒吧(一周一篇文章,所以寫的很詳細,請耐心觀看),
首先放個我真機測試的圖
01
初步分析
使用騰訊哈勃分析提示沒有發現風險,真不靠譜!還以為騰訊應該把此病毒加入病毒庫了呢,人工查殺一下
使用壓縮管理器打開apk,原來數字公司已經將該樣本列入病毒庫。
從以上截圖我們還得到軟體經過以下保護措施:
騰訊樂固
res資源混淆
迎面而來的第一個問題就是脫殼了(無力吐槽還是某訊的樂固,病毒保護傘?),為了某加固廠商利益,這裡略去脫殼細節
脫殼前dex
脫殼後dex
02
深入分析
脫殼後病毒作者的拙劣代碼一覽無餘,「紅顏一笑儘是傷」(還挺傷感,多愁善感就能做壞事嗎)一起分析一下程序的惡意行為
首先分析入口類的onCreate方法
通過以上代碼得到了不少有用的信息,那麼程序是怎麼進行文件加密的呢?
我們注意第45行會啟動一個線程,跟蹤一下
靜態分析完病毒的加密流程,我們已經可以自己寫代碼來批量解密被加密的文件了。但是高興的有點早,AES加密的key依賴於變數m,變數m依賴於序列號和HongYan字元串數組,所以最終還是要拿其開刀
03
淺出分析
回到分析HongYan數組的由來
TAG:逆向愛好者 |