技术揭秘—无线WIFI破解FBI病毒

毫无关系的好吧

一.背景
近日哈勃(habo.qq.com)发现了FBI锁屏敲诈病毒，该病毒会锁定用户手机，并以此威胁用户付费解锁。哈勃第一时间发布了专杀工具，帮助用户使用PC查杀手机中的FBI敲诈病毒，此工具需要手机开启USB调试模式。经过哈勃继续深入分析发现了一种不需要开启USB调试解锁中毒手机的办法，帮助用户解锁手机。
二.原理
1.样本解锁逻辑
分析病毒发现，客户端app根据服务器的返回值会将配置文件里的status字段设置为不同的值，当服务器返回"unlock"时，会设置status值为77：

当病毒检测到status值为77时，会主动退出：

病毒访问的服务器地址为:
servicemanapi.com/api/app.php

2.WIFI破解FBI病毒思路
通过分析病毒解锁逻辑发现，只要我们伪造病毒服务器，向病毒发送unlock指令就可以解锁手机，实现办法如下(由于手机无法操作，以下服务器均要与手机保持在同一局域网，或者手机可以访问的公网)：
1)搭建HTTP服务器
使用HFS或者IIS等工具搭建HTTP服务器,并构造app.php文件，内容为“unlock”，服务器地址记为192.168.1.101。
2)搭建DNS服务器
使用bind9或者其他工具搭建DNS服务器，并修改配置使servicemanapi.com的IP地址解析为192.168.1.101，DNS服务器地址记为192.168.1.102。
3)设置WIFI主DNS服务器
登录手机默认连接的wifi，修改DHCP服务中的“主DNS服务器“地址为192.168.1.102（不同品牌wifi，名称可能会有差异，请读者自行研究）。

4)输入任意卡号密码提交或者安静等待2分钟，手机解锁完成。
解锁同时可以观察到HTTP服务器日志的访问记录中有中毒手机的访问记录：

5)解锁后的修复
(a)进入设置-安全-设备管理器，找到病毒程序并取消激活
  
(b)进入设置-应用或应用程序，找到病毒程序并卸载

6)至此，FBI敲诈病毒清除完成。

p4ssme

这个高端。不知道思路是否可以运用在服务器验证授权文件上用以破解软件么~~

毫无关系的好吧

p4ssme 发表于 2015-3-19 16:32
这个高端。不知道思路是否可以运用在服务器验证授权文件上用以破解软件么~~

可以搞，很多外{过}{滤}挂都能用这个思路破解，过程比这个简单，不用DNS服务器就可以

欧阳宣

@边缘vip 请注意此id