1．樣本概況

1.1 基本資訊

樣本名稱：

免流伺服器.

所屬家族：

鎖屏勒索病毒（a.rogue.SimpleLocker.a）

MD5值：

2efca46f34a565c2ef4052b89b6b364b

包名：

zs.ip.proxy

入口：

MainActivity

最低執行環境：

Android2.2X

敏感許可權：

獲取Root許可權 

讀取、寫入、修改SD卡

安裝和解除安裝應用程式

1.2測試環境及工具

•AndroidStudio

•AndroidKiller

•JEB

•夜神模擬器

2．行為分析

2.1 主要行為

獲取Root許可權 

傳送惡意簡訊

鎖屏勒索

2.1.1惡意程式對使用者造成的危害(圖)

鎖屏,如下圖

2.1.2惡意程式在Androidmanifest.xml中註冊的惡意元件

獲取的許可權

註冊的元件

2.2惡意程式碼分析

首先進入入口類MainActivity，發現程式在獲取手機Root許可權，且拷貝另一個app到 /system/app/目錄下，並安裝執行。因此我們下一步要用Android Killer檢視/storage/sdcard0/stk3.apk。

在資原始檔夾中找到stk3.apk 並用Android Killer開啟

提示有3個關鍵許可權：

允許程式顯示系統警報視窗，可能會導致鎖屏

允許程式開機啟動

允許程式傳送簡訊

進入入口類MainActivity中，發現其呼叫了com.android.stk3. llxfc

com.android.stk3.llxfc中，

傳送惡意簡訊，如下圖

建立全域性浮動視窗，設定密碼框，鎖屏

2.3加固分析

 沒有加固

3．解決方案(或總結)

3.1提取病毒的特徵，利用防毒軟體查殺

免流伺服器 特徵碼字串：

/storage/sdcard0/stk3.apk

\u6838\u5FC3\u6587\u4EF6\u5B89\u88C5\u9519\u8BEF\uFF01\u8BF7\u786E\u8BA4\u624B\u673A\u662F\u5426\u5DF2\u7ECFroot\uFF01   //核心檔案安裝錯誤！請確認手機是否已經root！

stk3.apk特徵碼字串：

手機號碼："18277506826"

"\u60f3\u5fc5\u4e00\u5b9a\u662f\u4eba\u6e23\u4e2d\u7684\u6781\u54c1\uff0c\u79bd\u517d\u4e2d\u7684\u79bd\u517d.\u770b\u770b\u554a\uff0c\u4f60\u8fd9\u5c0f\u8138\u7626\u5f97\uff0c\u90fd\u6ca1\u4e2a\u732a\u6837\u5566\uff01"

3.2       手工查殺步驟

通過對於關鍵程式碼的分析，找到以下解決方案

首先，找到鎖屏密碼，輸入後解除鎖屏

然後 用adb連線到手機

1.刪除/system/app/stk3.apk

2.刪除/storage/sdcard0/stk3.apk

3.重啟然後解除安裝免流伺服器

用到的命令：

adb shell

[email protected]:/ # cd system/app

[email protected]:/system/app # rm stk3.apk

[email protected]:/ # cd sdcard

[email protected]:/sdcard # rm stk3.apk