桌面图标:
一、样本概述
“围住神经猫”是 最近非常流行的一款手机游戏,游戏才上架没多久,利用这个名字欺骗用户的木马就出现了。这个名为“神经猫最新爆分工具1.20”的程序就是个伪装后的木 马。安装运行后,手机上会出现要用户加木马作者QQ的页面并屏蔽home键和其他实体键,用户在24小时内都无法进行正常的操作。这个木马还设置了开机启 动,用户重启也无法解决问题。这种木马可被用于讹诈用户,是一类高危手机木马。
二、样本流程
三、详细分析
运行木马样本后,手机会弹出下面这个界面,然后用户就会发现自己的手机被锁在这个页面上什么都做不了了:
为了达到锁死手机讹诈用户这一目的,这个木马先向系统申请了接受开机启动广播、关闭后台进程、锁屏后运行等权限。
取得接受开机启动广播的权限之后,木马接着就将自己设置为开机启动,并且还会在用户按下关机键的时候弹出“开机自启,关机无效哦”的字样。
接下来就是执行这个locker木马的核心代码段:通过屏蔽掉包括home键在内的所有按键,是用户对弹出的界面束手无策。
此后木马设置了锁定时间为24小时并在屏幕上开始倒计时,倒计时为0时,木马会将自己关掉。
除了浪费时间等到自动解锁,用户就只能按照屏幕上显示的那样联系木马作者接受讹诈了。不过从代码来看,作者大概只是会提供一组数字,输入之后,木马就会关闭自身进程。
关掉木马进程只是个暂时性的行为,这个木马并没有准备任何自删除的代码,也没有取消开机自启动的设置,也就是说,用户会一直被这个木马所骚扰。这时候,用户就只有依靠杀毒软件的力量了。
四、总结
这个命名为神经猫爆分工具的木马会锁死手机并讹诈用户,我们需要将这种有高度危险性的锁机木马扼杀在运行之前,腾讯电脑管家可以在这个木马被复制到手机上之前将其识别出来: