教育

病毒蜥蜴尾木马繁衍数十万变种iyiou.com

2019-03-11 15:02:53来源:励志吧0次阅读

病毒“蜥蜴尾”木马繁衍数十万变种

病毒正在变得越来越拟人化。日前,360安全中心发现了首次在Android系统中通过感染方式进行自我保护的木马病毒蜥蜴尾,采用 注射式的静态感染方法入侵底层系统,查杀难度高,还能繁衍数十万变种,感染力极强。蜥蜴尾木马是由360安全中心此前截获的长老木马 三代一个恶意子模块演变而来,也被称为长老木马四代。目前,蜥蜴尾木马总感染量已经超过80万,360急救箱已实现首家查杀。

图1:360急救箱查杀蜥蜴尾木马

蜥蜴尾木马拥有几十万变种

不同于一般的木马伪装成常用APP的作恶方式,蜥蜴尾木马拥有独特的加密解密模式,通过在文件末尾嵌入32位长度的字符串,解密后当作KEY,用于私有数据库等配置文件的AES/DES加密与解密。但就是这一方法,导致同一版本长老四,出现几十万个变种。这种相似文件路径欺骗法、 样本MD5自变化等正是传统PC端的病毒技术,伪装性极高。

图2:蜥蜴尾木马两个ELF可执行文件的对比

360安全专家分析称,蜥蜴尾木马主要分为launcher和核心作恶的ELF可执行模块,图1为两个蜥蜴尾ELF可执行文件的对比,可以看出,其文件末尾嵌入随机生成的32位长度的字符串,

同一版的蜥蜴尾木马则出现几十万个变种,并具有极高的感染性。

注射式的静态感染方法 躲避安全软件查杀

蜥蜴尾与长老木马三代有紧密的关系,是由其子模块发展而来。同长老木马三代相比,蜥蜴尾采用的注射式的静态感染方法,可将恶意代码插入到被感染的系统文件,在被感染系统文件即中完成蜥蜴尾的启动工作。值得指出的是,蜥蜴尾是在Android系统中首次采用感染技术的木马。

图3:被感染的系统库文件\system\bin\

这种静态感染方式加大了查杀难度。首先,增强了蜥蜴尾的隐蔽性,被感染的系统文件装载时加载恶意launcher,接着launcher启动ELF 可执行文件。由于被感染的系统库文件除了导入表多了一行字符串(launcher的路径)之外,与其他正常系统库文件完全相同,这是一种智慧;无奈的时候能达观的一笑容易躲过安全软件的查杀。

其次,增加杀毒软件的修复难度,由于被感染的库文件随系统进程启动时尝试加载导入表中的所有so文件,可能会因为安全软件的暴力删除导致系统挂机。

蜥蜴尾置于系统层感染

同以往的病毒有所不同,蜥蜴尾木马是对系统层的感染,蜥蜴尾木马通过更加隐蔽的静态感染启动方式,将恶意代码插入到被感染的系统文件,在被感染系统文件中完成其启动工作,终实现了对于系统层的感染。

蜥蜴尾木马还能通过感染技术实现自我保护和隐藏自身恶意代码,具有PC端的病毒自我保护手段,能够在移动端大量使用了免杀、加密、隐藏、反虚拟机等传统PC端病毒自我保护技术,更加不容易查杀。

对隐私及流量安全威胁极大

那样真的没有必要

蜥蜴尾木马的ELF可执行模块包括distillery、plugins及redbean三个主要部分。只要受其感染,这些插件能够在受感染的中执行远程服务端指令、恶意扣费、短信拦截监控、下载和更新插件、后台通话等潜在恶意行为,泄露受感染用户的隐私,尤其是对流量安全有极大的危害,能在用户毫无察觉的情况下通过下载插件、订购业务等手段造成流量的大量流失,给用户造成经济上的损失。

图4:蜥蜴尾木马感染地域分布

360 安全专家指出,蜥蜴尾木马感染的几乎涵盖所有主流机型,Android4.0.3以上系统成为感染重灾区,用户一定要通过正规渠道下载安装App应用,同时,安装专业的安全软件,开启安全监控。如果已经刷过第三方ROM或者已经Root,360安全专家建议用户采用360 急救箱进行一次完整的深度扫描,查杀蜥蜴尾木马,保证使用安全。

360急救箱下载地址:

声明:本文仅为传递更多络信息,不代表ITBear观点和意见,仅供参考了解,更不能作为投资使用依据。

运作中心
亿欧网每周融资汇总6.12-6.18共35家
线下理财
分享到: