目录

1．样本概况... 3

1.1 样本信息... 3

1.2 测试环境及工具... 4

1.3 分析目标... 4

2．具体行为分析... 5

2.1 主要行为... 5

2.1.1 恶意程序对用户造成的危害... 5

2.1.2 恶意程序在Androidmanifest.xml中注册的恶意组件... 5

2.2 恶意代码分析... 6

2.1 加固后的恶意代码树结构图(是否有加固). 6

2.2 恶意程序的代码分析片段... 6

3．解决方案(或总结). 7

3.1 提取病毒的特征，利用杀毒软件查杀... 7

3.2 手工查杀步骤或是工具查杀步骤或是查杀思路等。... 8

1．样本概况

1.1 样本信息

病毒名称：5b22058c7632aa3211987b1abdd8e3d0

所属家族：未知

MD5值：5b22058c7632aa3211987b1abdd8e3d0

SHA1值：03d33383c7152661088a4f1e67408d1c011df552

CRC32：ecb06ce5

病毒行为：

1.单击启动后主界面如图所示，主要行为有返回键失效，多任务按钮失效，显示在一定时间后手机关机，主菜单建未失效，可以返回主界面，当进行其他操作时又会回到该界面。

2.清单文件中的恶意组件：

1).如下图所示，使用了服务组件

2).如下图所示，使用了广播组件

3敏感的权限：

1).android.permission.ACCESS_WIFI_STATE，该权限将允许应用程序查看wlan状态信息

  2).android.permission.CHANGE_WIFI_STATE，该权限将允许应用程序连接或关闭wlan，并允许修该wlan网络配置

        3).android.permission.RECEIVE_BOOT_COMPLETED，该权限将允许应用程序在系统开机时自动启动，并降低系统运行速度

  4).android.permission.KILL_BACKGROUND_PROCESSES，该权限将允许应用程序结束其他后台应用程序

  5).android.permission.GET_TASKS，该权限将允许应用程序检索当前任务信息

  6).android.permission.WAKE_LOCK，该权限将允许应用程序防止手机进入休眠状态

加固情况：未加固

1.2 测试环境及工具

测试环境：Android 4.4

测试工具：夜神模拟器 3.8

1.3 分析目标

程序运行后按键失效，无法进行其它操作，通过分析使系统恢复正常

2．具体行为分析

2.1 主要行为

2.1.1 恶意程序对用户造成的危害

   将会导致用户无法正常操作手机，按键全部失效，无法进入休眠状态，其他进程被结束

2.1.2 恶意程序在Androidmanifest.xml中注册的恶意组件

(1)权限相关

<uses-permission android:name="android.permission.ACCESS_WIFI_STATE"/>

<uses-permission android:name="android.permission.CHANGE_WIFI_STATE"/>

<uses-permission android:name="android.permission.RECEIVE_BOOT_COMPLETED"/>

<uses-permission android:name="android.permission.KILL_BACKGROUND_PROCESSES"/>

<uses-permission android:name="android.permission.GET_TASKS"/>

<uses-permission android:name="android.permission.WAKE_LOCK"/>

(2)服务/广播 

<receiver android:name=".BootBroadcastReceiver">             <intent-filter>                 <action android:name="android.intent.action.BOOT_COMPLETED"/>                 <action android:name="android.intent.action.BOOT_COMPLETED"/>                 <action android:name="android.intent.ACTION_SCREEN_OFF"/>                 <action android:name="android.net.conn.CONNECTIVITY_CHANGE"/>                 <action android:name="android.net.wifi.WIFI_STATE_CHANGED"/>                 <action android:name="android.net.wifi.STATE_CHANGE"/>                 <category android:name="android.intent.category.HOME"/>             </intent-filter> </receiver> <service android:name=".killpoccessserve"/>

 

2.2 恶意代码分析

2.1 加固后的恶意代码树结构图(是否有加固)

   未加固

2.2 恶意程序的代码分析片段

    1).当应用程序启动后，首先进入的是MainActivity类中的onCreate方法，创建了一个服务

在服务中会杀死所有进程，除了tk.jianmo.study，并启动tk.jianmo.study.MainActivity

其中创建了一个线程执行计时操作，当时间为0后调用stopService函数，

通过重写了onKeyDown方法实按键失效，例如下图所示，为返回键的标志，

其中对不同的按键都进行了处理，如下图所示，导致无法退出主界面

3．解决方案(总结)

3.1 提取病毒的特征，利用杀毒软件查杀

特征包括：

在线程中进行计时操作

杀死进程的类名：tk.jianmo.study.killpoccessserve

主界面类名：tk.jianmo.study.MainActivity

包名：tk.jianmo.study

3.2 手工查杀步骤或是工具查杀步骤或是查杀思路等。

手工查杀，通过adb结束进程并卸载，或者回到主界面然后进入多任务界面进行结束进程，再卸载程序

命令如下：adb uninstall 包名

工具查杀，通过获取包名执行命令结束进程