全球主机交流论坛

标题: 本人遇到新的xx神器病毒 [打印本页]

作者: 没空袭击 时间: 2014-8-7 05:34
标题: 本人遇到新的xx神器病毒
好吧，我承认我手贱，举报给了中国网警，他说已经无法访问，可是手机照样可以打开，求大神d死那个下载地址的网站，马甲:http://722q.com安卓病毒http://722q.com/sz.apk。另外遇到这种情况应怎么处理。

作者: 雨宫音羽 时间: 2014-8-7 05:50
分析中。。等结果。。

作者: 雨宫音羽 时间: 2014-8-7 06:02
本帖最后由雨宫音羽于 2014-8-7 06:05 编辑

数字签名显示 apk用的是淘宝某个店家的APK编辑器打包的

会发条短信"请叫我超越，低调路过" 到181[防收录]71603[防收录]583

会向通讯录里所有人发送一条“xxx看这个，免费刷钻软件，我试过了。点击下载hxxp://72[防收录]2q.com/sz.apk”(xxx是通讯录内的人名)

这段时间作死搞这种弱智玩意的挺多嘛。。。

作者: 雨宫音羽 时间: 2014-8-7 06:15
本帖最后由雨宫音羽于 2014-8-7 06:43 编辑

那个包里还有一个apk包那个apk会在安装完这个软件后安装等会儿继续分析。。
==========================
那个包看起来是监控后门，启动后就隐藏了自己的apk图标

注册了两个开机启动项，被控手机开机后或者收到新短信后都会启动这个后门

启动后会发送两条短信
“【数据库截获】监控service启动”
“d2VpX2ppYW5nYm9fcWlkb25nX21pbnlp”（BASE64解码后获得“wei_jiangbo_qidong_minyi”）
到 18171[防收录]603583

会将被控端手机收到的短信发到18171[防收录]603583

会“特别关注”来自18171[防收录]603583的短信消息
以上种种迹象看起来这个就是主控端的手机号了

另外配置了一个SMTP服务邮箱是1912[防收录][email protected]

楼主可以把这些信息丢给网安了用QQ邮箱外加用手机号做主控简直闷声作大死

作者: 没空袭击 时间: 2014-8-7 07:31

雨宫音羽发表于 2014-8-7 06:15
那个包里还有一个apk包那个apk会在安装完这个软件后安装等会儿继续分析。。
==========================
...

网安，不给力啊，我都举报了

作者: 登录帐号 时间: 2014-8-7 08:55
提示: 作者被禁止或删除内容自动屏蔽

作者: doors 时间: 2014-8-7 10:09
真正的超级病毒就是中了几年都没人发觉的。

作者: 单手摘月 时间: 2014-8-7 10:19
提示: 作者被禁止或删除内容自动屏蔽

作者: SKIDROW 时间: 2014-8-7 10:26
BAT的权限比XX神器高到不知哪里去了……

作者: 雨宫音羽 时间: 2014-8-7 11:07

单手摘月发表于 2014-8-7 10:19
2和5中间为什么有东西。。。

防收录~ ~

欢迎光临全球主机交流论坛 (https://fd.vvwvv.eu.org/)