IM體育官網(wǎng)APP 是360專為安卓用戶推出的一個長老病毒專殺功能，長老病毒是一種潛伏性的病毒，它會一直潛伏在你的手機中直到他發(fā)作時你才會發(fā)現(xiàn)，這款360長老病毒專殺工具可以幫你清理手機中的長老病毒，推薦有需要的用戶下載使用。

1、下載360安全衛(wèi)士、連入手機。

2、開始查殺病毒即可，可以選擇長老病毒專殺

一． 長老四之前世今生去年11月份，360安全團隊截獲了惡意手機木馬“長老三代”，詳細剖析挖掘了長老木馬的整個有機生態(tài)鏈。并從傳播源頭開始進行強力打擊，致使猖狂一時的長老木馬迅速地消聲滅跡。近期360安全團隊發(fā)現(xiàn)改頭換面的新版長老木馬又“重出江湖”。分析后發(fā)現(xiàn)，木馬與“長老三代”有緊密的關系，在長老木馬三代“瘋狂崛起”時，以其子模塊的形式存在，功能有限，而且也不具備對抗安全軟件的能力，因此，我們將其命名為“長老四代”。長老木馬三代核心主體模塊debuggerd與此子模塊耦合度非常高。比如子模塊由虛假debuggerd來啟動，而且子模塊運行時需要訪問由假冒debuggerd下載生成的文件讀取遠程服務器地址，下載地址等。經(jīng)過木馬作者的“精心改進”后，子模塊從“私生子”華麗“蛻變”為長老木馬核心模塊。二． 進化篇與之前老版本相比，雖然在惡意行為特征上仍然以隱私劫取、惡意扣費為主，但是自我保護與對抗安全軟件方面有較大技術突破。例如，在移動安全領域首次采用了靜態(tài)感染技術，感染系統(tǒng)運行依賴的lib文件，加大了查殺難度。此外，還采用相似文件路徑欺騙法、 樣本MD5自變化等傳統(tǒng)PC端的病毒技術。下圖的文件MD5分別為778ff1b54aaf88075523f1a8b7c233f9、3a93af95ec45aabb44018fdc4dd34243。

圖1 兩個長老4代 ELF可執(zhí)行文件的對比對比可以看出，是文件末尾嵌入32位長度的字符串，導致同一版本長老四，出現(xiàn)幾十萬個變種。進一步分析發(fā)現(xiàn)，長老四會讀取這段字符，解密后當作KEY,用于私有數(shù)據(jù)庫等配置文件的AES/DES加密與解密。代碼如下：

圖2 獲取AES密鑰的部分代碼長老木馬的進化如下：

圖3 長老四代進化圖經(jīng)過一段時間的觀察與分析，我們梳理了“長四”的發(fā)現(xiàn)過程及關鍵的時間節(jié)點，如圖所示：

圖4 長老四代發(fā)現(xiàn)過程及響應三． 行為分析長老木馬四代主要分為launcher和核心作惡的ELF可執(zhí)行模塊。ELF可執(zhí)行模塊又包括distillery、plugins及redbean三個主要部分。 redbean模塊會注入系統(tǒng)Phone進程，具有Phone進程權限，可以在未經(jīng)用戶允許下，后臺私自訂購SP業(yè)務，屏蔽訂購確認和成功短信，給用戶造成經(jīng)濟上的損失。長老木馬四代作惡流程如下：

圖5 長老四代流程圖從啟動方式來看，長老三代主要以替換系統(tǒng)原生文件為自身鏡像，隨系統(tǒng)啟動時執(zhí)行，由于安全軟件對于這種類型的查殺方法已比較成熟，長老木馬四代采用更加隱蔽的“靜態(tài)感染”啟動方式，將惡意代碼到被感染的系統(tǒng)文件，在被感染系統(tǒng)文件中完成長老木馬四代的啟動工作。長老四代是在Android系統(tǒng)中首次采用感染技術的木馬?！伴L老四代”靜態(tài)感染啟動原理如下：1、感染守護進程啟動時依賴的正常庫文件。在庫文件的導入表里添加launcher的路徑，使守護進程隨操作系統(tǒng)啟動時，加載并執(zhí)行l(wèi)auncher的惡意代碼。如下圖所示，被感染的系統(tǒng)庫文件的導入表中包含惡意庫文件libs6x.so的路徑。

圖6 被感染的系統(tǒng)庫文件\system\bin\libglog.so2、Linux的動態(tài)鏈接器在加載ELF可執(zhí)行文件或動態(tài)鏈接庫時完成裝載、映射、重定向后，首先依次執(zhí)行pre_init、init、init_array節(jié)中描述地址指向的函數(shù)。這些函數(shù)都是早于入口點執(zhí)行的。

圖7 Launcher的init_array節(jié)Linux的動態(tài)連接器執(zhí)行這些函數(shù)的初衷原來是為了程序執(zhí)行前初始化C++靜態(tài)構造函數(shù)，C庫的IO等等。木馬作者巧妙利用Linux動態(tài)鏈接器對ELF文件的裝載原理，在init_array段里寫入了啟動病毒長老四代的代碼。