短信转发短信屏蔽样本分析报告+病毒样本+哈勃分析报告

岁月神偷7

样本MD5：
ffd43e034ae89fcd708ff7d6eaccd2cf

哈勃自动分析报告：
http://habo.qq.com/file/showdeta ... fcd708ff7d6eaccd2cf

样本下载地址：


行为描述：
        样本接收黑客短信，根据短信内容可以实现两个功能：
        1.向指定号码发送短信。
        2.屏蔽所有收到的短信（阻止短信广播并删除短信）。


样本自保护：
        1.使用了代码混淆器。
       
        2.在许多关键函数调用开始时，验证了程序的签名信息，防止自己被二次打包，如果签名不是Q049U0hBWUZN则不执行操作（d.a函数为计算签名的函数）。
       


SmsServer
        它负责创建两个SmSReceiver，分别负责监听短信接收和短息发送。同时还会注册一个content://sms/的ContentObserver，用来监控短信。
       

SmSReceiver
        负责监听短信接收事件和com.yfm.send事件。
        1.        当收到短信的时候会调用d类的函数处理。
        该方法判断手机号码是否为13062532885，如果是该号码开始解析命令，并执行相应操作。
                1）        如果短信以com#后面跟一个true或者false来表示程序在接到短信后是否拦截消息，并直接删除。这个值被保存在SharedPreferences中，叫做“islj”。
                2）        如果短信格式为“手机号码#内容”，程序就会将指定内容发送给指定号码。
               


        2.        手机在接收到命令“手机号码#内容”的时候会向指定号码发送消息，这时候会创建一个com.yfm.send的Intent，SmSReceiver监听它，用来检测发送是否成功。
                发送短信：
                                
                检测是否发送成功：
               
               
ContentObserver
        在收到短信后也会判断号码是否是13062532885，如果是13062532885同样交给d类的函数。如果不是这个号码，则根据islj标识决定是否将短信直接删除。
       

XywCloud

bav云杀
安全管家杀

ESET杀：Android/TrojanSMS.Agent.WX

Dust-;羅錠

Dr.Web

ffd43e034ae89fcd708ff7d6eaccd2cf\classes.dex - infected with Android.SmsSpy.68.origin

zmzcy

wenshui1013

EIS杀。

zmzcy

Dr.web
Android.SmsSpy.68.origin

1654637359

折腾哥

卡巴斯基 杀

兜里揣着メ壹块

类型：
ANDROID.SmsAgent.BZ.Gen

描述：
恶意软件是对病毒、木马、蠕虫、后门程序等危害用户计算机及数据安全的有害软件的统称。危害较大。

扫描引擎：
小红伞本地引擎

文件路径：
C:\Users\lenovo~\Desktop\ffd43e034ae89fcd708ff7d6eaccd2cf.zip

文件指纹(MD5)：
bfbf8f41eaf31890d88d8fcb63254d4c