1 样本概况
1.1 样本信息
病毒图标: 
病毒名称: 秒抢红包病毒样本
所属家族: a.rogue.SimpleLocker.a
文件名称: com.h-1.apk
MD5值: 033ae1ba78676130e99acc8d9f853124
文件大小: 245.38KB
病毒行为:重置android系统密码,诱骗用户激活设备管理器,属于锁屏勒索类病毒。
1.2 测试环境及工具
AndroidKiller、夜神模拟器
1.3 分析目标
研究此病毒的恶意行为以及如何清除此病毒
2.具体行为分析
2.1 主要行为
2.1.1 恶意程序对用户造成的危害
主动修改用户系统密码给使用造成影响且勒索用户。
1、该样本安装后诱骗用户点击激活设备管理器,使自己无法被用户卸载
2、激活后屏幕界面锁屏,提供了序列号和勒索信息
2.1.2 恶意程序在Androidmanifest.xml中注册的恶意组件
(1)权限相关
- 传递附加信息
- 重置密码
- 添加悬浮窗口
- 激活ActivityForResult
- 窗口信息
- 添加View
- 初始化Intent
- 激活设备管理器
(2)服务/广播
2.2 恶意代码分析
2.2.1 恶意程序的代码分析片段
恶意代码修改系统密码相关函数。
自启动服务函数,调用com.h.s
密码生成函数分析
3.总结
3.1 提取病毒的特征,利用杀毒软件查杀
恶意代码特征:
-
(1) MD5:033ae1ba78676130e99acc8d9f853124
-
(2) 提取字符串:u7528jju6233u4E00u4E0Bu4E5Fu80FDu89E3u9501u54E6
3.2 手工查杀步骤或是工具查杀步骤或是查杀思路等。
1)提取样本
Android 中有两个目录是存放已经安装的 apk 目录
-
System/app 存放系统 apk
-
Data/app 存放用户安装的 apk
2)查找关键字
3)搜索字符串
4)使用自带的jd-gui查看密码加密的随机数与固定值,计算出密码
解密算法为:序号+8985 = 6664503
5)进入手机设置-安全-设备管理器,点击取消掉激活的勾
6)取消激活按钮点击时会遇到第二重密码,输入得到的密码固定值8985可解锁
7)最终我们会成功卸载掉这个恶意的APP的。
样本链接: https://pan.baidu.com/s/1kVC2G8B 密码: q5jw
压缩包密码:52pojie