TGFC Lifestyle - Powered by Discuz! Board

标题: 喷了~~~这下子连专杀工具都有了~~~手机版熊猫烧香 - “功夫熊猫”病毒袭卷Android [打印本页]

作者: FoxfoO 时间: 2012-3-1 17:06 标题: 喷了~~~这下子连专杀工具都有了~~~手机版熊猫烧香 - “功夫熊猫”病毒袭卷Android

感谢LBE小组的投递
功夫病毒可能是2012年最为活跃的病毒家族了，截止目前，这支病毒已经发展了超过5种以上的变种，使用的引导、隐藏和免杀技术也在日新月异的发展变化，当之无愧的成为目前技术最为先进、传播最为广泛的流行Android病毒。

2月24日，LBE小组首先拦截到了功夫病毒的最新变种Trojan/Android.KungFu.aa，我们称之为功夫熊猫病毒。功夫熊猫具备传统功夫病毒的一切特征，包括：修改系统分区嵌入至ROM、感染后无法查杀，甚至回复出厂设置也无法解决的同时加强了自我保护和隐藏的功能，并且能够干扰部分安全软件（包括LBE安全大师等）正常运行，是目前为止危险性最高的流行病毒。

病毒分析

功夫熊猫病毒会将自己伪装成合法的软件，通过第三方市场和论坛进行传播

为了解决签名不一致导致升级失败无法安装的问题，病毒作者特意修改了包名，避免了病毒无法安装的问题。

LBE小组拦截到的功夫熊猫病毒样本并未携带自动提权代码，因此需要用户手机ROOT之后才会被感染。由于部分软件自身需要ROOT权限，所以一般用户很难分辨自己安装的是正常软件，还是恶意软件，从而导致感染病毒。

当病毒的提权部分代码被触发之后，便会执行以下操作：

将系统分区设置为可写

将自身复制到系统分区内/system/lib/libd1.so

将/system/bin下的多个关键系统组件备份至/system/framework下，并且使用病毒代码覆盖原始系统组件

修改多个系统引导脚本，确保自身在系统引导之前加载

当病毒本体执行时，会执行以下操作：

将自己设置为后台daemon，避免被终止；并将自己伪装为system_server，实现进程自我保护，并且干扰部分安全软件的正常运行。

监控被自身修改的系统引导脚本的内容，如果发现有任何软件尝试修改和替换系统引导脚本，都会自动将内容还原。

联络远程控制端，获取攻击指令。功夫熊猫病毒使用了不同的控制端域名(ad.pandanew.com)，这也是其得名的原因。

截止到发稿为止，功夫熊猫的控制端并未开始下发任何攻击指令，我们认为病毒团队仍然在对控制端进行调试，以及收集受感染的机型数据。但是对于功夫熊猫的逆向分析显示，其包含了功夫病毒的所有功能，包括静默安装、卸载软件；静默执行软件；设置浏览器首页和收藏夹等。

与先前版本的功夫病毒不同，功夫熊猫病毒使用了几乎完全不同的加载、隐藏和自我保护方式。由于病毒会设法使自己先于Android系统加载，使得任何现有的安全软件对其都束手无策。

免疫和清除方式

      截止到发稿为止，目前仅有LBE安全大师能够识别功夫熊猫病毒。LBE安全大师的用户需要将病毒库在线更新至20120224.d版本即可；如果无法在线更新，也可以选择前往LBE官方网站下载最新的3.2.1750版。如果您使用其他软件软件，请等待厂商的更新。

      对于不幸中招的用户，由于病毒已经修改了相当多的系统文件，并且具备相当强的自我保护能力，手工清理几乎不可能完成。我们推荐您使用功夫熊猫专杀工具，您可以登录LBE小组官方主页下载安装。功夫熊猫专杀工具内置了最新版本的安天查杀引擎，能够检测和识别带毒恶意软件，同时也能够将病毒修改的系统文件彻底还原。

结语

      在Android病毒日渐泛滥的今天，我们建议您：只通过安全的途径下载使用软件，不安装来历不明的软件（谨慎安装各种汉化版、破解版软件），使用一款安全软件，通过以上途径来保护您手机的安全。

对于专杀工具的使用有任何疑问和建议，您可以发送邮件至lbe@lbesec.com，或者访问微博http://weibo.com/lbesec

作者: hudihutian 时间: 2012-3-1 17:12

这玩意能干嘛？

是偷通讯录还是偷照片库？

这个在苹果app store上任何软件都可以啊

作者: FoxfoO 时间: 2012-3-1 17:15

引用:

原帖由 hudihutian 于 2012-3-1 17:12 发表
这玩意能干嘛？
是偷通讯录还是偷照片库？
这个在苹果app store上任何软件都可以啊

这么一说~~~我想起来了，这么可怕的安全漏洞，而ios上连防病毒软件都没有~~~苹果公司真是太拆烂污了~~~

作者: superfight 时间: 2012-3-1 17:21

不ROOT就不会中病毒~ 为什么就是不明白~

作者: 小文 时间: 2012-3-1 17:25

没遇到过，肯定是假的，安卓黑故意写的

作者: Magician_G 时间: 2012-3-1 17:26

瑞星发来贺电，投资手机真是对了！

作者: 爱游戏 时间: 2012-3-1 17:46

禁止病毒传播靠杀毒软件就能行？没有严峻的法律来惩处靠其他手段简直天方夜谭。

作者: 道林格雷 时间: 2012-3-1 18:05

posted by wap

阿宝！你可是神龙大侠啊！

不能这么不要脸！

作者: lin3chen 时间: 2012-3-1 18:37

posted by wap, platform: SonyEricsson (Xperia Arc)

引用:

原帖由 @小文于 2012-3-1 17:25 发表
没遇到过，肯定是假的，安卓黑故意写的

哈哈哈哈

作者: 约翰法雷尔 时间: 2012-3-1 19:52

这肯定是假的，都是苹果的错

作者: 转子引擎 时间: 2012-3-1 20:01

posted by wap, platform: Nokia (6220)

哇！我好怕！另外不root一样有恶意…控制发短信，后台打电话权限不也是root前用户给的么，root下的程序绕不开授权管理的，

作者: 绯雨流 时间: 2012-3-1 20:07

安全极了

作者: d2loader 时间: 2012-3-1 20:16

只在官方市场下东西的表示我好怕怕哦

作者: 风之扉 时间: 2012-3-1 20:44

PC别用瘟都死手机别用安卓
投胎别去米国，在朝鲜或者下限至天朝
保证你天天生活在新闻联播中，天堂般的享受

作者: psx6 时间: 2012-3-1 21:09

posted by wap, platform: SAMSUNG (T959)

这贴就差龙舌兰和burnfox了

作者: FoxfoO 时间: 2012-3-1 21:10

posted by wap, platform: iPhone

引用:

原帖由 @风之扉于 2012-3-1 20:44 发表
PC别用瘟都死手机别用安卓
投胎别去米国，在朝鲜或者下限至天朝
保证你天天生活在新闻联播中，天堂般的享受

喷了
有点知识好不好

作者: 大头木 时间: 2012-3-2 07:31

posted by wap, platform: SAMSUNG (Galaxy S II)

球病毒文件。

作者: pocketmom 时间: 2012-3-2 07:35

posted by wap, platform: Nokia (E71)

真是high啊

作者: burnfox 时间: 2012-3-2 07:58

引用:

原帖由 psx6 于 2012-3-1 21:09 发表
posted by wap, platform: SAMSUNG (T959)

这贴就差龙舌兰和burnfox了

这又谁的马甲啊，今年1月底的ID就如数家珍？有啥情况不敢以真面目见人啊，鬼鬼祟祟

作者: nazitora 时间: 2012-3-2 08:13

posted by wap, platform: MOTOROLA (Milestone)

好奇这病毒能干些什么

作者: zztg 时间: 2012-3-2 08:20

引用:

原帖由 hudihutian 于 2012-3-1 17:12 发表
这玩意能干嘛？

是偷通讯录还是偷照片库？

这个在苹果app store上任何软件都可以啊

偷密码,感染程序导致不能正常用,偷跑流量,偷订业务,等等

作者: fatehe 时间: 2012-3-2 08:24

posted by wap, platform: SAMSUNG (Galaxy S II)

强大极了

作者: banditcat 时间: 2012-3-2 08:35

posted by wap, platform: Nokia (E5)

还是ios的沙盒靠谱

欢迎光临 TGFC Lifestyle (http://bbs.tgfcer.com/)