當病毒的提權(quán)部分代碼被觸發(fā)之后����,便會執(zhí)行以下操作:
將系統(tǒng)分區(qū)設(shè)置為可寫
將自身復(fù)制到系統(tǒng)分區(qū)內(nèi)/system/lib/libd1.so
將/system/bin下的多個關(guān)鍵系統(tǒng)組件備份至/system/framework下���,并且使用病毒代碼覆蓋原始系統(tǒng)組件
修改多個系統(tǒng)引導(dǎo)腳本���,確保自身在系統(tǒng)引導(dǎo)之前加載
當病毒本體執(zhí)行時,會執(zhí)行以下操作:
將自己設(shè)置為后臺daemon�����,避免被終止;并將自己偽裝為system_server���,實現(xiàn)進程自我保護���,并且干擾部分安全軟件的正常運行����。
監(jiān)控被自身修改的系統(tǒng)引導(dǎo)腳本的內(nèi)容���,如果發(fā)現(xiàn)有任何軟件嘗試修改和替換系統(tǒng)引導(dǎo)腳本�����,都會自動將內(nèi)容還原��。
聯(lián)絡(luò)遠程控制端�,獲取攻擊指令�。功夫熊貓病毒使用了不同的控制端域名(ad.pandanew.com),這也是其得名的原因�����。
截止到發(fā)稿為止��,功夫熊貓的控制端并未開始下發(fā)任何攻擊指令����,我們認為病毒團隊仍然在對控制端進行調(diào)試����,以及收集受感染的機型數(shù)據(jù)�。但是對于功夫熊貓的逆向分析顯示��,其包含了功夫病毒的所有功能�,包括靜默安裝、卸載軟件;靜默執(zhí)行軟件;設(shè)置瀏覽器首頁和收藏夾等��。
與先前版本的功夫病毒不同���,功夫熊貓病毒使用了幾乎完全不同的加載�、隱藏和自我保護方式��。由于病毒會設(shè)法使自己先于Android系統(tǒng)加載�,使得任何現(xiàn)有的安全軟件對其都束手無策。
免疫和清除方式
截止到發(fā)稿為止�,目前僅有LBE安全大師能夠識別功夫熊貓病毒。LBE安全大師的用戶需要將病毒庫在線更新至20120224.d版本即可;如果無法在線更新����,也可以選擇前往LBE官方網(wǎng)站下載最新的3.2.1750版。如果您使用其他軟件軟件,請等待廠商的更新���。
對于不幸中招的用戶�,由于病毒已經(jīng)修改了相當多的系統(tǒng)文件�����,并且具備相當強的自我保護能力��,手工清理幾乎不可能完成����。我們推薦您使用功夫熊貓專殺工具,您可以登錄LBE小組官方主頁下載安裝�����。功夫熊貓專殺工具內(nèi)置了最新版本的安天查殺引擎�,能夠檢測和識別帶毒惡意軟件,同時也能夠?qū)⒉《拘薷牡南到y(tǒng)文件徹底還原�。
結(jié)語
在Android病毒日漸泛濫的今天,我們建議您:只通過安全的途徑下載使用軟件�����,不安裝來歷不明的軟件(謹慎安裝各種漢化版、破解版軟件)���,使用一款安全軟件���,通過以上途徑來保護您手機的安全��。
