360安全中心对软件样本进行深入的逆向技术分析之后,发现这是一个成系列的手机木马软件。360安全中心曾经在2010年4月16日播报过一款名为“手机护士”的木马软件,这次发现的木马软件与“手机护士”的开发者相同,发布者证书(Publisher ID)的拥有者均为“Chengdu Rong Yu Technology Co., Ltd”,其公司注册地址为中国四川省成都市。
浪漫烛光 www.langmanzg.com
木马藏身于一些用户常用的软件之中,在用户安装常用软件时,强制将木马安装进用户的手机。用户安装软件会发现安装进度条走了两遍,第二遍即是恶意软件的强制安装。如下图,正常安装过程可以取消,强制安装过程无法取消。
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com
木马含有两个恶意插件,名称伪装为系
}a�{e�!vuV4w统服务,“InstallSrv EXE(安装服务)”和“Nokia SMS Sync Plugin(诺基亚短信同步套件)”。使用户难以辨认,而且不敢轻易卸载。如图
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com
小贴士:如果用户发现自己的手机的程序管理里面有“Nokia SMS Sync Plugin”,说明手机已经被植入了木马。
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com
该木马会对用户的手机造成以下危害:
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com
1.导致用户手机中的安全软件无法正常使用。
浪漫烛光 www.langmanzg.com
例如网秦杀毒,安全管家等的监控服务都无法正常启动。木马就能在用户的手机上肆意的进行破坏,使用户的手机沦为肉鸡。
浪漫烛光 www.langmanzg.com
2.强制开机自启动,
MpCmKU�wqb��@u导致手机运行变慢。
浪漫烛光 www.langmanzg.com
该木马会强制开机自启,无法关闭,使用户在不知不觉中运行木马,手机运行缓慢,影响正常使用。
浪漫烛光 www.langmanzg.com
3.私自连接网络,后台偷偷下载其他木马软件安装到用户手机。
浪漫烛光 www.langmanzg.com
木马会在后台偷偷联网或发送短信,导致用户话费受到损失,隐私遭到泄露。
浪漫烛光 www.langmanzg.com
4.无法正常卸载或删除。
浪漫烛光 www.langmanzg.com
木马无法正常停止或卸载,致使木马不断的对手机进行恶意破坏,影响用户正常的使用手机。
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com
现在用户只需要下载360“手机护士”木马专杀工具,安装之后一键即能完成彻底查杀,省时又省心。
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com
360手机卫士将会在即将推出的新版本中,增加软件安装实时检测的功能,监控正在安装的手机是否含有恶意插件,帮助用户防患于未然,让用户远离恶意软件的困扰。
浪漫烛光 www.langmanzg.com
