秒抢红包锁屏样本+手动查杀操作

1 样本概况

1.1 样本信息

病毒图标：

病毒名称： 秒抢红包病毒样本

所属家族： a.rogue.SimpleLocker.a

文件名称： com.h-1.apk

MD5值： 033ae1ba78676130e99acc8d9f853124

文件大小： 245.38KB

病毒行为：重置android系统密码，诱骗用户激活设备管理器，属于锁屏勒索类病毒。

1.2 测试环境及工具

AndroidKiller、夜神模拟器

1.3 分析目标

研究此病毒的恶意行为以及如何清除此病毒

2．具体行为分析

2.1 主要行为

2.1.1 恶意程序对用户造成的危害

主动修改用户系统密码给使用造成影响且勒索用户。

1、该样本安装后诱骗用户点击激活设备管理器，使自己无法被用户卸载

2、激活后屏幕界面锁屏，提供了序列号和勒索信息

2.1.2 恶意程序在Androidmanifest.xml中注册的恶意组件

(1)权限相关

• 传递附加信息
• 重置密码
• 添加悬浮窗口
• 激活ActivityForResult
• 窗口信息
• 添加View
• 初始化Intent
• 激活设备管理器

(2)服务/广播

2.2 恶意代码分析

2.2.1 恶意程序的代码分析片段

恶意代码修改系统密码相关函数。

自启动服务函数，调用com.h.s

密码生成函数分析

3．总结

3.1 提取病毒的特征，利用杀毒软件查杀

恶意代码特征：

• （1） MD5：033ae1ba78676130e99acc8d9f853124

• （2） 提取字符串：u7528jju6233u4E00u4E0Bu4E5Fu80FDu89E3u9501u54E6

3.2 手工查杀步骤或是工具查杀步骤或是查杀思路等。

1）提取样本

Android 中有两个目录是存放已经安装的 apk 目录

1. System/app 存放系统 apk

2. Data/app 存放用户安装的 apk

2）查找关键字

3）搜索字符串

4）使用自带的jd-gui查看密码加密的随机数与固定值，计算出密码

解密算法为：序号+8985 = 6664503

5）进入手机设置-安全-设备管理器，点击取消掉激活的勾

6）取消激活按钮点击时会遇到第二重密码，输入得到的密码固定值8985可解锁

7）最终我们会成功卸载掉这个恶意的APP的。

样本链接: https://pan.baidu.com/s/1kVC2G8B 密码: q5jw

压缩包密码：52pojie