改年度悬疑侦探大片360揭秘长老木马三代七

年度悬疑侦探大片：360揭秘长老木马三代“七宗罪”

日前，感染百万部的长老木马三代浮出水面，长老木马三代会替换掉系统文件以假乱真，并下载大量恶意程序且极难清除，堪称中的埃博拉。11月24日，360互联安全中心发布技术报告，披露识骨寻踪长老木马三代的整个过程，堪称侦探大片。最终，顺藤摸瓜揪出背后另一木马家族大毒枭。

图一：360互联安全中心追踪两大木马家族

吸费手电筒初露冰山一角

近期很多友的Android上莫名其妙地出现了手电筒、日历等应用，并且在没有Root的前提下无法卸载。即使获得了Root权限卸载了，没过多久又会再次出现。根据360互联安全中心统计，有类似情况的带病已经超过百万。

图二：用户中莫名多出手电筒和日历

始作俑者长老木马三代潜入系统

经过大量的用户配合反馈以及360互联安全中心细致分析排查后，发现始作俑者为长老木马(FakeDebuggerd)家族的最新变种长老木马三代，该木马会将安卓系统文件/system/bin/debuggerd文件替换为重名的恶意文件，并偷偷联下载ELF文件，ELF文件在运行后会自动释放并安装恶意篡改的手电筒和拿下职业生涯首个威尔士公开赛冠军头衔。赛后日历等应用。

另外，长老木马三代还会隐藏自身进程，回写文件修改时间，隐蔽性大大增强。长老木马三代会判断被恶意篡改的手电筒和日历应用在中招中是否存在，如果被卸载则会重新联下载安装，因此很多用户卸载后这些程序还会再次出现。

木马宿主省电专家浮出水面

长老木马三代究竟从何而来?360互联安全中心分析感染机型范围发现它的来源并不是随着ROM带下去的，应该是通过安装程序释放的。通过一系列的用户反馈进一步测试等待复现，元凶终于浮出了水面省电專家。

木马作者在恶意篡改的省电專家中对类名和字符串进行了高度混淆加密，增加静态分析难度，同时，运行时释放r文件，这个文件正是长老木马三代的真正宿主。

追根溯源千余软件安装包为r携带者

360互联安全中心分析发现，只要加载运行恶意文件r就会感染长老木马三代， r通过伪装成常用软件以及TJ广告联下载进行传播，这两类的样本总数量达到了1000多款，这正是长老木马三代的感染量如此高的原因。

图三：r伪装的常用软件举例

同时，与早期版本的r文件对比，r执行流程从线型发展为状，使用加密算法从裸奔到面目全非。

株连蔓引大毒枭家族传毒路径曝光

在分析长老木马三代的整个传播感染过程中，360互联安全中心又揪出了另一个恶意木马家族大毒枭(keinfo.A)，该家族对漏洞利用文件和恶意APK包进行双层加密，以恶意样本为介质依次进行推广传播，借毒传毒，此外，还会通过云控私发扣费短信。

360安全专家指出，长老木马三代及大毒枭木马家族背后是一个庞大的病毒制造团伙，通过多种加密手段以及专业的混淆工具躲避安全检测，木马在中隐藏得更深，更难以清除。360互联安全中心建议，App开发者在嵌入广告时应仔细甄别，以免嵌入恶意广告插件，给自己的软件及用户带来不必要的损失;广告商要加强推广软件的审查力度，不给恶意软件传播留下可趁之机。用户一定要通过正规渠道下载安装App应用，同时，安装专业的安全软件，开启安全监控。

急救箱下载地址：

长老木马专杀工具下载地址：

详细分析地址：

关注ITBear科技资讯公众号（itbear365 ），每天推送你感兴趣的科技内容。

特别提以及京东O2O布局中的落地服务。而和腾讯的合作细节还在继续探索中醒：本内容转载自其他媒体，目的在于传递更多信息，并不代表本赞同其观点。其原创性以及文中陈述文字和内容未经本站证实，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺，并请自行核实相关内容。本站不承担此类作品侵权行为的直接及连带。如若本有任何内容侵犯您的权益，请及时联系我们，本站将会在24小时内处理完毕。

温州白癜风专业医院
小儿积食是怎么回事
什么食物排毒养颜祛斑