近日,一款名为短信巫毒(a.rogue.smszombie)的Android手机病毒现身多家电子市场,被该病毒感染的手机用户超百万。为控制“短信巫毒”的疯狂传播,腾讯手机管家及时响应提供精准查杀,同时联合机锋市场共同预警,提示Android手机用户尽快下载腾讯手机管家并升级病毒库至最新版,然后开启全盘扫描。
此外,腾讯手机管家和机锋市场建议用户不要在手机论坛、无安全检测的电子市场下载手机应用,应该到腾讯手机管家“软件游戏”、机锋市场等经过安全认证的应用电子市场下载。
病毒特性:
“短信巫毒”会捆绑在美女动态壁纸等热门Android应用中,诱骗用户下载。一旦安装激活后,可能会存在偷偷定制业务,实施恶意扣费、偷窥用户隐私等行为;而且病毒自带恶意安装包会不停弹出提醒用户下载,让用户手机成为病毒“集中营”。
特征一、诱导下载。该病毒感染了诸多美女动态壁纸,以美女的噱头来吸引用户下载。下载安装后又安装携带的伪装成“系统服务”的病毒子包,子包伪装成a33.jpg存在于assets目录下,安装后可进一步监听用户短信箱。
图1病毒子包伪装图片的代码图
特征二、隐私泄露。病毒以手机短信为攻击对象,有恶意插入短信、私自发送短信、恶意拦截短信等行为。据工程师推测,可能会定制某些扣费的业务或是私自转发短信箱里有价值的短信,如银行卡帐户信息以及其他帐户的注册信息等。手机安全岌岌可危!
特征三、持续性。病毒自带的恶意子包安装页面不断自动重复弹出,多次诱导用户下载,很多用户可能会不堪骚扰而点击安装,让用户手机成为病毒“集中营”。
特征四、难卸载。该病毒会引导用户激活设备管理器,让用户通过正常的方法无法卸载这款病毒软件。
腾讯移动安全实验室工程师提醒用户,这个病毒极为狡猾。用户需要在手机系统设置—设备管理器—取消激活设备管理器—管家查杀—腾讯手机管家卸载或者使用腾讯手机管家pc版连接手机直接卸载。
图2病毒诱导用户激活安全策略反卸载
另外病毒将assert目录下的病毒子包复制到SD卡下,执行安装后,将对应病毒子包删除掉防止用户发现。双重的反卸载,这个病毒真是煞费苦心!
图3删除病毒子包反卸载的代码图
病毒截图:
图4腾讯手机管家查杀“短信巫毒”截图
专家支招:
目前,腾讯手机管家已经实现对“短信巫毒”的精准查杀,用户应尽快从腾讯手机管家官方网站http://msm.qq.com/下载安装,同时升级病毒库至最新,然后开启全盘扫描,即可完成查杀。
此外,由于“短信巫毒”感染的美女壁纸热门Android应用仍然潜伏在部分电子市场、论坛、WWW\WAP站点供用户下载,专家特别提醒Android手机用户在下载应用时务必提高警惕,建议到经过安全检测的手机应用商店下载。
