安卓党当心,Windows版病毒盯上你的设备 – 安卓恶意应用,Windows恶意程序,Windows病毒 – IT之家

by admin on 2020年3月25日

值得注意的是,受感染的 APK 文件不会对 Android
设备本身构成任何威胁,因为这些嵌入式 Windows 可执行二进制文件只能在
Windows 系统上运行。而这些 APK 文件之所以会被感染,原因在于 APK
开发者所使用的 Windows
系统已经被恶意程序感染,也就是说开发者在被感染后,不知不觉将恶意程序感染到其开发的
APP 上了。这种通过在开发生命周期中隐藏恶意程序,利用软件开发人员来实施大规模攻击的策略,在此之前已经有过案例,如 KeRanger、XcodeGhost 和 NotPetya 等,对软件供应链构成严重威胁。

不少安卓手机用户会将设备连接到PC电脑上,但是据赛门铁克最新的安全公告显示,Windows平台上一款新型特洛伊病毒程序会自动设别连接到PC电脑的安卓设备,尝试在后者植入恶意网银应用。

病毒名称:“灰鸽子2007”(Win32.Hack.Huigezi) 危害程度:中 受影响的系统:
Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows
XP, Windows Server 2003 未受影响的系统: Windows 3.x, Macintosh, Unix,
Linux 病毒危害: 1.自身伪装为系统进程,释放病毒文件
2.记录用户键盘和鼠标操作 3.从网上下载恶意文件
4.开启端口,连接黑客的控制端 感染形式:
该病毒是2007年的新的灰鸽子变种,它会利用一些特殊技术,将自身伪装成电脑上的正常文件,并能躲避网络防火墙软件的监控,使其难以被用户发现。此外,黑客可以利用控制端对受感染电脑进行远程控制,并进行多种危险操作,包括查看并获取电脑系统信息,从网上下载任意的指定恶意文件,记录用户键盘和鼠标操作,盗取用户隐私信息,如QQ,网游和网上银行的帐号等有效信息,执行系统命令,关闭指定进程等。如果它发现用户的电脑上安装有摄像头,还会自动将其开启并将拍摄的屏幕画面发送给黑客。不但影响用户电脑系统的正常运作,而且会导致用户的网络私人信息和数据的泄漏。该病毒运行后,会将自身伪装为系统正常进程Winlogon.exe,并释放WinLog0n.dll另一个病毒文件。它会在电脑系统里添加一个名字为gs2007的伪Windows安全登录程序。同时在受感染的机器上开启端口,当成功连接黑客的控制端后,黑客便可以完全控制受感染的电脑。
预防和清除:
建立良好的安全习惯,不打开可疑邮件和可疑网站;建议电脑用户不要随便打开不明来历的可执行文件以免中毒受害。

大多数受感染的 APP 上架于 2017 年 10 月到 11
月之间,这意味着恶意程序已经潜伏了半年多。在这些受感染的 APP
中,有几个甚至有超过 1000 的安装量和 4 星评价。

这次面向安卓设备的攻击方法很不常规,通常,移动攻击者更倾向使用社交类或者山寨的恶意应用,入侵安卓设备。

病毒名称:“仇英变种B” 危害程度:中 受影响的系统: Windows 95, Windows 98,
Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
未受影响的系统: Windows 3.x, Macintosh, Unix, Linux 病毒危害:
1.自动通过企业局域网传播 2.隐藏自身 3.感染所有可执行PE文件和所有网页文件
4.造成系统蓝屏、机器运行缓慢 感染形式:
该病毒采用DLL插进程技术隐藏自身,并采用保护机制对抗清除;运行后会感染所有可执行PE文件和所有网页文件,可能造成系统蓝屏、机器运行缓慢等现象;病毒内置一百余个弱口令,会自动通过企业局域网传播。与熊猫烧香相比,该病毒占用内存资源少,在安全模式下也可以正常启动,清除难度极大。该病毒内部含有“熊猫走了,俊哥也走了,但是我会继承他的一切,继续为促进中国网民的安全意识而无私地作贡献…”的字样。
预防和清除:
建立良好的安全习惯,不打开可疑邮件和可疑网站;建议电脑用户不要随便运行不知名程序或打开陌生人邮件的附件,以免中毒受损。

图片 1

据赛门铁克的安全研究员Flora
Liu,在本周四的一篇博文中介绍了新型特洛伊程序。他在文章中写道:之前我们一直看到安卓恶意程序尝试感染Windows桌面系统,例如Android.Claco,会自动在SD卡root路径下载一个恶意的PE文件,当安卓设备使用USB模式连接PC电脑后,当Windows系统开启媒体自动播放后,将自动打开SD卡中恶意的PE文件,对系统造成感染

病毒名称:“哲拉蒂”变种qx (I-Worm.Zhelatin.qx) 危害程度:中 受影响的系统:
Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows
XP, Windows Server 2003 未受影响的系统: Windows 3.x, Macintosh, UNIX,
Linux 病毒危害: 1.自我复制到Windows目录下 2.修改注册表,实现开机自启
3.监控活动的IE窗口 4.侦听黑客指令,窃取用户信息 感染形式:
这是一个利用群发带毒邮件进行传播的网络蠕虫。病毒运行后,自我复制到Windows目录下。屏幕显示虚假警告信息。修改注册表,实现开机自启。将病毒文件注入到正在运行的csrss.exe的进程中。监控活动的IE窗口,当某个窗口被移动并被置为当前窗口时,“病毒会依靠浏览器标题栏的内容复制自身到新的位置。例如:如果病毒文件存在于C:Windows目录下并在运行,那么当用户打开C:Windows目录时,蠕虫将删除原病毒体文件,以一个不同的文件名自我复制到被感染计算机上的任意一个位置下。当用户打开其它目录时,该蠕虫自我复制到该路径下,这个新的病毒文件具有隐藏属性。侦听黑客指令,从被感染计算机上搜索有效邮箱地址,发送带毒邮件。另外,病毒还可利用网络共享进行传播。
预防和清除:
建议电脑用户不要随便运行来历不明的文件,以免中毒受害。平时上网的时候一定要打开防病毒软件的实时监控功能。

报告中指出,在这些受感染的应用程序中,一个 APK
可能包含多个不同位置的恶意 PE(Portable
Executable)可执行文件,它们的文件名不同,并且还以“Android.exe”、“my
music.exe”、“COPY_DOKKEP.exe”、“js.exe”、“gallery.exe”与“images.exe”之类的名称­蒙混过关。而其中有两个
PE
文件比较突出,仅它们就覆盖了所有受感染 APK,主要功能是记录键盘输入,以获取信用卡号、社会保险号和密码等敏感信息。

但这次,攻击者的做法完全相反:使用一个恶意的Windows病毒去感染连接到该PC设备的所有安卓设备。

信息提供:
以上信息由上海市信息化服务热线、金山软件、江民科技以及瑞星科技股份有限公司提供。
建议:
1.随着电脑科技的日益发展,更多的病毒会伴随而来,为了保障您系统和个人信息的安全,请您经常更新您的病毒库,防止病毒的侵入。
2.随着网络的发展,许多病毒也伴随而来,一些病毒专门窃取用户的个人隐私、个人数据信息等,并对用户的信息泄露或给用户造成更大的危害,请用户增强自己的安全防范意识,多浏览反病毒网站上的相关安全信息,切实做好自己的安全工作,才能避免病毒给您带来的麻烦。

读者也不用过于担心,Palo Alto 已经分析出了恶意 PE 文件在 Windows
系统上执行时会产生以下可疑活动:

这款最新的恶意程序,被赛门铁克标记为Trojan.Droidpak级别,会自动在Windows系统下释放一个DLL动态文件,并注册为一个新的系统服务,即使系统重启后,该程序也可以正常工作

  • 在 Windows 系统文件夹中创建可执行文件和隐藏文件,包括复制自身

  • 更改 Windows 注册表以在重启系统后进行自启动

  • 试图长时间进入睡眼状态

  • 通过 IP 地址 87.98.185.184:8829 进行可疑的网络连接活动

随后,改程序会从远程服务器下载一个配置文件,该文件中包含了一个恶意安卓APK应用,应用名称为AV-cdk.apk。

如果在自己的电脑中发现这些可疑行为,那么请及早排查,避免进一步受伤害。

除此之外,该特洛伊程序同时也会下载Android Debug
Bridge命令工具,该工具允许用户对已连接到PC电脑的安卓设备执行命令控制。

(文/开源中国)    

该ADB工具同样也是来自安卓应用开发工具套件SDK。

该恶意程序在Windows平台下重复发送“adb.exe install
AV-cdk.apk”命令动作,只要有安卓设备连接到PC主机上,该命令操作即可生效,执行静默安装恶意APK应用

不过该攻击方法有一个局限性,只支持已开启“USB
debugging”模式的安卓设备上。

目前该恶意程序的主要目标为韩国银行账户,受影响的Windows平台包括:Windows
2000、Windows XP、Vista、Win7。

因此,该恶意程序整体影响度较低,对于安卓普通用户,建议关闭USB调试等开发者功能。

发表评论

电子邮件地址不会被公开。 必填项已用*标注

网站地图xml地图