高级模式   | 热搜 : 资讯  安全  漏洞  工具  系统安全 
查看: 754 | 回复: 0
只看楼主
离线
Mersion(好ID:4666701)   发表于 2016-02-04 21:05:12     
1#

在打开手机浏览器的时候,如果发现浏览器弹出74443网址导航页面,或者在你打开常用APP的时候,弹出推广信息,那么多半可以确定你手机感染了广告木马。

              

  (打开浏览器时打开推广网址)  (打开正规应用时弹出推广应用) 

该类广告木马安装后有以下恶意行为:

1. 安装无图标,并且启动后不会显示在长按Home键弹出的“最近使用”界面里,达到有效隐藏自身的目的。

2. 加载恶意插件,监控手机最顶层界面,如果发现最顶层界面为浏览器,则通过浏览器打开恶意网址,让用户误以为是浏览器问题,有效的隐藏自身。

3. 监控手机最顶层界面,如果发现是常用应用,则弹出推广图片,诱导用户下载安装推广应用,让用户误以为是常用应用弹出的推广广告,从而有效隐藏自身。

4.在桌面创建快捷方式,该快捷方式为其推广广告信息。

当用户安装了“福利AV”、“美女视频”等恶意应用,提示用户“需要安装视频播放器”时,该木马伪装成系统播放器组件被诱导安装到用户手机里。手机感染该类木马后,用户在打开正常应用时,会全屏弹出推广信息,严重影响用户使用手机,给用户带来流量消耗等资费类的损失,同时,该木马隐藏自身并且借助正常应用弹出其推广信息,使得用户难以发现并清除。

1. 详细分析:

1.1 启动后加载恶意插件,并调用恶意插件里的方法:

1.2 恶意插件监听用户手机最顶层界面,如果最顶层界面是浏览器,则用浏览器打开其推广网址:

a)访问服务器获取到的推广网址:

b)用浏览器打开推广网址:

木马监听的浏览器如下图所示,可以看到所有主流浏览器都包括在内:

1.3恶意插件监听用户手机最顶层界面,如果发现是常用应用,则置顶弹出图片,诱导用户点击下载推广应用:

a)访问服务器获取到的推广应用列表整理如下:

2)弹出图片,诱导用户下载推广用户:

1.4在桌面创建快捷方式,该快捷方式为其推广广告信息:

a)获取到的推广快捷方式信息:

2)创建快捷方式:

2. 查杀:

腾讯哈勃分析系统识别:

* 作者:腾讯电脑管家(企业账号),转载请注明来自OFTEFS - SOSF (VCCCC.CN)

赞 0
    最近浏览:

huller1
2017-08-30

sherry12
2016-08-30

Mersion
2016-02-04
 
 
Mersion社区版权声明1、本主题所有言论和图片纯属会员个人意见,与本论坛立场无关。
2、本站所有主题由该帖子发布者发表,该帖子作者发布者享有帖子相关版权。
3、其他单位或个人使用、转载或引用本文时必须同时征得该帖子作者的同意。
4、帖子作者与发布者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任。
5、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责。
6、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意。
7、文字管理员和版主有权不事先通知发贴者而删除本文。
 
你需要登录入才可以回帖  登入  |  会员注册

备案号: 版权所有:Mersion社区
当前时间:UTC+8:00, 2019-06-26 01:33:38