不死鳥作為希臘神話中的一種怪物，擁有不斷再生的能力，每當(dāng)壽限將至?xí)r，它會(huì)在巢穴中自焚，并在三天后重新復(fù)活。就在近期，安天AVL移動(dòng)安全團(tuán)隊(duì)和小米MIUI安全中心發(fā)現(xiàn)了病毒界的“不死鳥”，其頑固程度之深，用戶很難通過常規(guī)的卸載手段清除該病毒。

這款病毒名為Fushicho，一旦運(yùn)行，它首先會(huì)通過一系列手段攻擊手機(jī)的“免疫系統(tǒng)”：聯(lián)網(wǎng)下載root工具對用戶手機(jī)進(jìn)行提權(quán)處理，進(jìn)一步根據(jù)文件中的sql語句將自身插入某知名殺毒軟件白名單中，并通過“pm disable”命令禁用某知名殺毒軟件，致使手機(jī)安全防護(hù)功能全線崩潰。

接下來Fushicho病毒會(huì)替換系統(tǒng)啟動(dòng)腳本文件，實(shí)現(xiàn)開機(jī)自啟動(dòng)并獲得root權(quán)限。而為了使其自身成為手機(jī)中唯一具有root權(quán)限的應(yīng)用，該病毒會(huì)刪除手機(jī)中其他root程序、su文件。除此之外，由于病毒應(yīng)用被鎖在系統(tǒng)目錄下，用戶很難通過常規(guī)卸載手段清除該病毒。

至此，F(xiàn)ushicho病毒將緊緊扎根在手機(jī)中，像不死鳥一般難以消滅。同時(shí)該病毒將通過聯(lián)網(wǎng)獲取惡意扣費(fèi)指令對手機(jī)進(jìn)行長期的扣費(fèi)并下載其他惡意扣費(fèi)軟件，使感染用戶遭受巨大的財(cái)產(chǎn)損失。

接下來，我們將對這只病毒界的“不死鳥”進(jìn)行詳細(xì)的解剖分析。

Fushicho病毒運(yùn)行流程圖

詳細(xì)分析

私自提權(quán)

Fushicho病毒運(yùn)行時(shí)加載本地Pxivuurauu.so文件，解密資源文件中的ico.png文件來釋放子包oko.jar。子包釋放后被動(dòng)態(tài)加載，并在本地解密。Fushicho病毒獲取到提權(quán)工具下載地址后下載并解密，獲取提權(quán)工具包c(diǎn)ab.zip，解壓并加載其中的data.jar文件，對用戶手機(jī)提權(quán)。

獲取提權(quán)工具下載地址：

解壓后的文件如下所示：

各文件功能及作用如下表所示：

提權(quán)工具包結(jié)構(gòu)：

將自身寫入某知名殺毒軟件白名單

Fushicho病毒運(yùn)行時(shí)解密root工具包中的ql文件獲取將自身插入某知名殺毒軟件白名單的sql語句,通過qlexec文件打開數(shù)據(jù)庫并執(zhí)行sql語句，將自身插入某知名殺毒軟件白名單中來逃避檢測。

ql文件內(nèi)容如下：

刪除提權(quán)相關(guān)文件

Fushicho病毒在獲得root權(quán)限后會(huì)刪除手機(jī)中其他的root相關(guān)文件和apk程序,將下載提權(quán)工具包c(diǎn)ab.zip中的su文件分別重定向到/system/xbin/.sysd，/system/bin/android.sys，/system/etc/android.sys，/system/etc/android.sys中。

刪除其他root權(quán)限：

將su文件重定向到系統(tǒng)目錄中：

禁用某知名殺毒軟件

Fushicho病毒通過“pm disable”命令禁用某知名殺毒軟件，將該軟件停止使用，并隱藏圖標(biāo)和已安裝應(yīng)用列表中的展示，致使用戶無法找到該應(yīng)用也無法重新安裝該應(yīng)用。

為了驗(yàn)證該命令的效果，我們測試了一下：

Step1：安裝某知名殺毒軟件，可以在已安裝應(yīng)用程序中看到該應(yīng)用：

Step2：使用pm disable命令：

Step3：在已安裝應(yīng)用中查找該應(yīng)用，已經(jīng)找不到該應(yīng)用了,說明該應(yīng)用已被成功禁用：

Step4：用命令行工具查看data/app下的應(yīng)用列表，可以看出該應(yīng)用是存在的：

Step5：如果嘗試在手機(jī)中再次安裝該應(yīng)用，提示已安裝：

替換系統(tǒng)腳本文件

Fushicho病毒運(yùn)行時(shí)會(huì)替換系統(tǒng)的啟動(dòng)腳本文件install-recovery.sh、install-recovery-2.sh，新的腳本文件將在手機(jī)啟動(dòng)后立即給Fushicho病毒賦予root權(quán)限。

腳本運(yùn)行時(shí)以守護(hù)進(jìn)程的形式啟動(dòng)對應(yīng)目錄下的.sysd和android.sys文件

惡意扣費(fèi)

Fushicho病毒的扣費(fèi)模塊通過監(jiān)聽用戶解鎖、網(wǎng)絡(luò)變化以及手機(jī)開機(jī)的系統(tǒng)廣播啟動(dòng)，付費(fèi)模塊啟動(dòng)后聯(lián)網(wǎng)獲取付費(fèi)短信數(shù)據(jù)和要攔截的短信關(guān)鍵字。

并聯(lián)網(wǎng)向hxxp:// www.mmchong[.]com上傳用戶設(shè)備信息，獲取短信相關(guān)扣費(fèi)短信數(shù)據(jù)。

扣費(fèi)短信數(shù)據(jù)解密后如下，其中字段port、cmd對應(yīng)的是要發(fā)送的號碼和內(nèi)容，字段hport、hcmd對應(yīng)的是要攔截的號碼和短信內(nèi)容，F(xiàn)ushicho病毒通過以上字段進(jìn)行惡意扣費(fèi)而用戶無法感知。此外Fushicho病毒還會(huì)攔截包含“銀行”和“快遞”關(guān)鍵字段的短信。在接收到包含msg字段的值的短信時(shí)還會(huì)自動(dòng)回復(fù)短信或聯(lián)網(wǎng)發(fā)送攔截的短信。

推送惡意應(yīng)用

Fushicho病毒運(yùn)行時(shí)解密root工具包中的data0文件,通過解析文件中的指令將root工具包中的惡意應(yīng)用推送到系統(tǒng)目錄下并啟動(dòng)。在推送時(shí)將這些惡意應(yīng)用加鎖，并修改創(chuàng)建時(shí)間為2008-01-01 00:00，偽裝成系統(tǒng)應(yīng)用讓用戶難以察覺。

推送的惡意應(yīng)用：

總結(jié)

總體而言，F(xiàn)ushicho病毒一旦運(yùn)行，將會(huì)通過攻擊感染手機(jī)安裝的殺毒軟件來使整個(gè)手機(jī)的“免疫系統(tǒng)”形同虛設(shè)，并采取一列后續(xù)手段將其自身緊緊扎根于手機(jī)中，用戶很難通過常規(guī)卸載手段來清除。此外，從上述攻擊步驟可以看出，F(xiàn)ushicho病毒非常注重root權(quán)限，從自身提權(quán)，到刪除其他root工具，再到替換系統(tǒng)啟動(dòng)腳本，使自身可以在系統(tǒng)啟動(dòng)的第一時(shí)間得到root權(quán)限。這一系列操作之后，F(xiàn)ushicho病毒成為系統(tǒng)第一個(gè)也是唯一一個(gè)有root權(quán)限的應(yīng)用。 在保證“不死”的情況下，“不死鳥”（Fushicho）病毒將通過發(fā)送惡意扣費(fèi)短信持續(xù)對用戶的財(cái)產(chǎn)造成損害，危害極大。

安全建議

針對Fushicho系列病毒，集成AVL反病毒引擎的MIUI安全中心已經(jīng)實(shí)現(xiàn)全面查殺。安天AVL移動(dòng)安全團(tuán)隊(duì)和MIUI安全中心提醒您：

l 請不要輕易root手機(jī)，否則您的手機(jī)將遭受巨大的安全風(fēng)險(xiǎn)；

l 請勿在非官方網(wǎng)站或者不知名應(yīng)用市場下載任何應(yīng)用；

安天AVL移動(dòng)安全團(tuán)隊(duì)專注于移動(dòng)互聯(lián)網(wǎng)安全技術(shù)研究及反病毒引擎研發(fā)，為合作伙伴提供強(qiáng)大的移動(dòng)安全解決方案。AVL移動(dòng)反病毒引擎致力于為企業(yè)和廠商伙伴提供針對性的移動(dòng)終端威脅防護(hù)解決方案，如病毒檢測、金融安全防護(hù)、上網(wǎng)安全防護(hù)等安全能力輸出。目前除了為小米MIUI輸送安全能力外，也與其他眾多知名廠商達(dá)成戰(zhàn)略合作，為獵豹、阿里云YunOS、OPPO、VIVO、步步高、努比亞、LBE、安卓清理大師、AMC等合作伙伴提供移動(dòng)反惡意代碼能力，為全球過億終端用戶保駕護(hù)航。

總結(jié)

以上是生活随笔為你收集整理的安天AVL联合小米MIUI首擒顽固病毒“不死鸟”的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。