病毒执行流程
火绒工程师分析,“安卓修改大师”软件可以用于对安卓应用进行修改或破解,例如修改游戏规则改变伤害数值等。
在搜索引擎输入“安卓修改”,可以发现“安卓修改大师”官网排名首位。据“火绒威胁情报系统”监测和评估,已有数万台终端感染该后门病毒。目前,火绒已对该网站进行拦截,火绒用户无需担心,可使用火绒【全盘查杀】功能查杀该病毒。
安卓修改大师官网
官网拦截图
查杀图
软件破解类工具不仅影响游戏等网站、平台的正常运营,还会给用户本身带来隐私泄露等安全风险。火绒工程师提醒各位网友,千万不要抱有侥幸心理,安装不明来源的“灰色软件”。如若必须安装,可以先用安全软件进行查杀,做好安全防范工作。
一、病毒危害行为详细分析
该后门病毒会与C&C服务器(154.91.164.117)通讯获取后门指令,之后针对不同的后门指令执行指定的恶意行为,包括文件操作、盗取用户信息、降低系统安全性等操作。
(一)文件操作
黑客可以通过C&C服务器控制后门病毒下载执行任意恶意程序,进而对用户造成更大的安全威胁。病毒还可以将任意文件内容上传到后门服务器,严重威胁到用户的信息安全。
1、后门病毒可以下载执行任意文件,相关代码如下图所示:
2、除下载执行外,后门病毒还可以通过虚拟映射加载的方式执行任意PE文件,如下图所示:
执行后门指令图
3、后门病毒可以读取用户电脑中的任意文件内容发送到C&C服务器,可能会造成用户的隐私泄露。如下图所示:
读取任意文件内容
(二)盗取用户信息
该后门病毒盗取用户主机上登录的QQ群信息、好友列表以及QQ登录本地会话等信息,监控用户的键盘、剪切板记录、屏幕截图、记录用户打开的窗口。
1、后门病毒会获取用户的QQ好友以及所添加群的好友列表,如下图所示:
窃取用户的QQ信息图
2、后门病毒会通过键盘记录和读取剪切板内容来获取用户的个人信息、密码等敏感信息,严重威胁用户的财产和信息安全。如下图所示:
获取键盘输入图
3、后门病毒通过屏幕截图获取用户的浏览信息以及在窗口上输入的内容,如下图所示:
获取屏幕截图
4、后门病毒会获取用户电脑已安装的软件列表,如下图所示:
获取已安装软件列表图
(三)降低系统安全性
黑客可以利用该后门病毒激活guest账户并赋予管理员权限,在执行远程RDP的时候可以以较高的权限运行程序。
1、后门病毒激活guest账户并赋予管理员权限,相关代码如下图所示:
激活guest账户,赋予管理员权限图
2、后门病毒会开启RDP服务,使用户电脑可以被RDP远程控制,如下图所示:
开启RDP服务图
二、病毒hash