体育

鬼铃木马捏造确定按钮防卸载360手机卫士

2019-05-14 22:12:31来源:励志吧0次阅读

9月7日,360安全中心透露,其7月31日首家截获的一款名为鬼铃的木马近期有大面积感染的趋势,该木马存在偷发及上传短信,篡改上设置(APN)等恶意行为。特别之处在于,该木马精心构造一个系统升级的界面诱骗用户激活设备管理器以防卸载。统计发现该木马目前已感染30万部。360安全专家提醒,发现这类木马要立即通过360卫士查杀,避免造成经济损失。

360安全专家介绍,近年来,很多木马通过激活设备管理器来实现防止自身被卸载。不过激活装备管理器的操作需要用户的确认才可以实现。但鬼铃木马却通过精致的设计,假装成Android的升级通知,提示将系统升级到的Android 4.4系统,强迫用户只能点击伪造的确定按钮升级系统。但,用户事实上点击的却是激活装备管理器。

图1 :鬼铃木马伪造统升级界面覆盖设备管理器界面避免用户卸载

而此时,木马就获得了避免卸载的能力,达到强行驻留用户上的目的,剥夺了用户对的控制权。360安全专家表示。

目前该木马伪装成铃声免费下载2014新版及导航等运用图标和名称诱惑用户下载。一旦中招,木马就会检测装备管理器是不是被激活。激活了则启动程序正常功能,未激活则弹出激活装备管理器界面,同时启动恶意服务DService。

DService恶意服务会以提示用户升级系统为由,绘制出一个虚假的的界面,覆盖了真实在设备管理器激活界面上。当该界面覆盖在装备管理器上面时,用户只能点击肯定(取消按钮、返回键、主页键均无效)。实际是点击了确定下面的按钮,即激活设备管理器中的激活按钮,从而该应用顺利的激活装备管理器。

360安全专家指出,鬼铃木马下流的防卸载行为增加了用户的卸载本钱,致使很多用户发现了该木马作恶的痕迹后,因为卸载麻烦而选择放任不管,这也造成了该木马自发现以来,感染量高达30万之多的一个重要原因。

图2 :360 卫士查杀假装成铃声下载和导航的鬼铃木马

360安全专家提醒,该木马不但会偷发短信,同时还会盗取短信、篡改上设置等诸多恶意行动,不能对木马放任不管。建议用户立即通过360卫士查杀。同时也建议,消费者应从正规渠道购买,避免鬼铃被预置进。

360安全专家发布的技术研究报告:

子宫内膜炎如何治疗
子宫内膜炎的治疗方法
子宫内膜炎引起原因
分享到: