揭秘手机里病毒木马都是怎么发现的&&长老木马前世今生
<img STYLE="BorDer-BoTToM: BorDer-LeFT: MArGin: DispLAY: VerTiCAL-ALiGn: BorDer-Top: BorDer-riGHT: medium none" src="/blog7style/images/common/sg_trans.gif" real_src ="/t01c1acb3bb.jpg"
ALT="揭秘手机里病毒木马都是怎么发现的&&长老木马前世今生"
TITLE="揭秘手机里病毒木马都是怎么发现的&&长老木马前世今生" />
经常有人很好奇问，手机里的病毒木马都是怎么发现的，其实很多有技术含量的木马的发现过程抽丝剥茧，跟侦探大片差不多，没点卷福的本事干不了手机安全这行。日前，360互联网安全中心披露识骨寻踪“长老木马”三代的整个过程，堪称侦探大片。本期安全播报就为您追寻一下安卓手机“长老木马”的前生今世。
吸费手电筒初露冰山一角
　　近期很多网友的Android手机上“莫名其妙”地出现了“手电筒”、“日历”等应用，并且在没有Root的前提下无法卸载。即使获得了Root权限卸载了，没过多久又会再次出现。根据360互联网安全中心统计，有类似情况的“带病手机”已经超过百万。
<img STYLE="BorDer-BoTToM: BorDer-LeFT: MArGin: DispLAY: VerTiCAL-ALiGn: BorDer-Top: BorDer-riGHT: medium none" BORDER="0" src="/blog7style/images/common/sg_trans.gif" real_src ="/t294532.png?size=363x592"
ALT="揭秘手机里病毒木马都是怎么发现的&&长老木马前世今生"
TITLE="揭秘手机里病毒木马都是怎么发现的&&长老木马前世今生" />
　　始作俑者“长老木马”三代潜入手机系统
　　经过大量的用户配合反馈以及360互联网安全中心细致分析排查后，发现始作俑者为“长老木马（FakeDebuggerd）”家族的最新变种“长老木马”三代，该木马会将安卓系统文件/system/bin/debuggerd文件替换为重名的恶意文件，并偷偷联网下载ELF文件，ELF文件在手机运行后会自动释放并安装恶意篡改的手电筒和日历等应用。
<img STYLE="BorDer-BoTToM: BorDer-LeFT: MArGin: DispLAY: VerTiCAL-ALiGn: BorDer-Top: BorDer-riGHT: medium none" BORDER="0" src="/blog7style/images/common/sg_trans.gif" real_src ="/tbf3888d.jpg?size=460x302"
ALT="揭秘手机里病毒木马都是怎么发现的&&长老木马前世今生"
TITLE="揭秘手机里病毒木马都是怎么发现的&&长老木马前世今生" />
　　另外，“长老木马”三代还会隐藏自身进程，回写文件修改时间，隐蔽性大大增强。“长老木马”三代会判断被恶意篡改的手电筒和日历应用在中招手机中是否存在，如果被卸载则会重新联网下载安装，因此很多手机用户卸载后这些程序还会再次出现。
　　木马宿主“省电专家”浮出水面
　　“长老木马”三代究竟从何而来？360互联网安全中心分析感染机型范围发现它的来源并不是随着ROM带下去的，应该是通过安装程序释放的。通过一系列的用户反馈进一步测试等待复现，“元凶”终于浮出了水面——“省电專家”。
<img STYLE="BorDer-BoTToM: BorDer-LeFT: MArGin: DispLAY: VerTiCAL-ALiGn: BorDer-Top: BorDer-riGHT: medium none" src="/blog7style/images/common/sg_trans.gif" real_src ="/t01d224cfc36eb414df.jpg"
ALT="揭秘手机里病毒木马都是怎么发现的&&长老木马前世今生"
TITLE="揭秘手机里病毒木马都是怎么发现的&&长老木马前世今生" />
　　木马作者在恶意篡改的“省电專家”中对类名和字符串进行了高度混淆加密，增加静态分析难度，同时，运行时释放seed.jar文件，这个文件正是“长老木马”三代的真正宿主。
　　追根溯源千余软件安装包为seed.jar携带者
　　360互联网安全中心分析发现，只要加载运行恶意文件seed.jar手机就会感染“长老木马”三代，
seed.jar通过伪装成常用软件以及“TJ”广告联网下载进行传播，这两类的样本总数量达到了1000多款，这正是“长老木马”三代的感染量如此高的原因。
<img STYLE="BorDer-BoTToM: BorDer-LeFT: MArGin: DispLAY: VerTiCAL-ALiGn: BorDer-Top: BorDer-riGHT: medium none" src="/blog7style/images/common/sg_trans.gif" real_src ="/tb7804848a.jpg"
ALT="揭秘手机里病毒木马都是怎么发现的&&长老木马前世今生"
TITLE="揭秘手机里病毒木马都是怎么发现的&&长老木马前世今生" />
　　同时，与早期版本的seed.jar文件对比，seed.jar执行流程从“线型”发展为“网状”，使用加密算法从“裸奔”到“面目全非”。
　　株连蔓引“大毒枭”家族传毒路径曝光
　　在分析“长老木马”三代的整个传播感染过程中，360互联网安全中心又揪出了另一个恶意木马家族——“大毒枭”（Trojan.Dropper.Android.Fakeinfo.A），该家族对漏洞利用文件和恶意APK包进行双层加密，以恶意样本为介质依次进行推广传播，借毒传毒，此外，还会通过云控私发扣费短信。
<img STYLE="BorDer-BoTToM: BorDer-LeFT: MArGin: DispLAY: VerTiCAL-ALiGn: BorDer-Top: BorDer-riGHT: medium none" BORDER="0" src="/blog7style/images/common/sg_trans.gif" real_src ="/t012b9f1b3b73a63ca1.png?size=440x296"
ALT="揭秘手机里病毒木马都是怎么发现的&&长老木马前世今生"
TITLE="揭秘手机里病毒木马都是怎么发现的&&长老木马前世今生" />
　360手机安全专家指出，“长老木马”三代及“大毒枭”木马家族背后是一个庞大的手机病毒制造团伙，通过多种加密手段以及专业的混淆工具躲避安全检测，木马在手机中隐藏得更深，更难以清除。360互联网安全中心建议，App开发者在嵌入广告时应仔细甄别，以免嵌入恶意广告插件，给自己的软件及用户带来不必要的损失；广告商要加强推广软件的审查力度，不给恶意软件传播留下可趁之机。手机用户一定要通过正规渠道下载安装App应用，同时，安装专业的安全软件，开启安全监控。
2014年3月：安卓长老木马潜伏三年首发现 手机一秒变肉鸡
　　2014年3月，360手机安全中心研究发现，有一种潜伏在手机预装ROM中长达三年的“长老级”手机木马，从2011年至今已衍生出十几个变种，最新变种不但会窃取用户手机号、IMEI及地理位置等隐私等信息，同时还强制手机小组件来推广广告，还可以篡改手机浏览器主页、偷偷安装其他未知手机应用。该“长老”木马甚至还可根据窃取的手机号单独控制某一款手机。目前，360已紧急发布专杀工具，可彻底查杀该木马。
<img STYLE="BorDer-BoTToM: BorDer-LeFT: MArGin: DispLAY: VerTiCAL-ALiGn: BorDer-Top: BorDer-riGHT: medium none" BORDER="0" src="/blog7style/images/common/sg_trans.gif" real_src ="/t4128e0.jpg?size=281x500"
ALT="揭秘手机里病毒木马都是怎么发现的&&长老木马前世今生"
TITLE="揭秘手机里病毒木马都是怎么发现的&&长老木马前世今生" />
　　3月6日，360手机安全工程师申迪针对该木马发布研究报告。虽然与此前“不死木马”同为系统预置木马，但长老木马更加狡猾和隐蔽：木马会替换Android系统正常进程debuggerd来实现自启动，用户不会在启动程序中看到它，行为非常隐蔽。木马运行后会立即释放多个apk/jar/elf等多个木马“小弟”恶意程序来作恶。
<img STYLE="BorDer-BoTToM: BorDer-LeFT: MArGin: DispLAY: VerTiCAL-ALiGn: BorDer-Top: BorDer-riGHT: medium none" BORDER="0" src="/blog7style/images/common/sg_trans.gif" real_src ="/t01bc4efe.jpg?size=495x340"
ALT="揭秘手机里病毒木马都是怎么发现的&&长老木马前世今生"
TITLE="揭秘手机里病毒木马都是怎么发现的&&长老木马前世今生" />
　　“即使将被释放出来的apk/jar/elf木马文件全部删除，长老木马仍会立即再次释放一次所有木马”，申迪介绍，再次释放这些木马“小弟”后，木马会将创建时间篡改为手机系统相同的创建时间，以掩人耳目。
　　长老木马有着极强远程控制手段。不但支持网络和短信两种远控模式，并且带有十几个可配置参数，甚至可对某台手机单独控制，将手机彻底沦为肉鸡。为了更好的控制这些配置参数，木马还会启动一项服务专门监控系统时间，如果重启手机后Wi-Fi开启，将立即更新配置文件，如果没有Wi-Fi或者超过一天没有重启，会在晚上22点到零时的整点，尝试通过上网流量的方式进行更新。更新的同时，还会将隐私信息上传至指定的服务器。
<img STYLE="BorDer-BoTToM: BorDer-LeFT: MArGin: DispLAY: VerTiCAL-ALiGn: BorDer-Top: BorDer-riGHT: medium none" BORDER="0" src="/blog7style/images/common/sg_trans.gif" real_src ="/t01ebfd6e.jpg?size=370x229"
ALT="揭秘手机里病毒木马都是怎么发现的&&长老木马前世今生"
TITLE="揭秘手机里病毒木马都是怎么发现的&&长老木马前世今生" />
　　手机一旦中招，手机桌面的小组件就就会在黑客云端控制下，在指定时间弹广告。同时手机号、IMEI，用户所在位置等信息被窃取，手机浏览器的主页还会被恶意篡改。甚至后台还可被偷偷安装其他推广应用或者恶意软件，连短信也可以被拦截。
　　从2011年末至今，安卓长老木马至少出现了十几个变种，感染方式也在不断变化，出现在中兴、三星、HTC等多款手机的第三方ROM系统中。申迪指出，这是360手机安全中心发现的又一个在手机系统启动阶段重新释放衍生APK程序的系统预置木马。
<img STYLE="BorDer-BoTToM: BorDer-LeFT: MArGin: DispLAY: VerTiCAL-ALiGn: BorDer-Top: BorDer-riGHT: medium none" BORDER="0" src="/blog7style/images/common/sg_trans.gif" real_src ="/t01737bcc90e8f44c44.jpg?size=300x225"
ALT="揭秘手机里病毒木马都是怎么发现的&&长老木马前世今生"
TITLE="揭秘手机里病毒木马都是怎么发现的&&长老木马前世今生" />
　　不过与不死木马不同之处在于，该木马没有修改启动脚本，而是选择直接替换系统进程达到自启动的目的，木马还包含强大的云端控制机制，有很强的扩展能力，被植入此木马的手机存在不可预估的高危风险。“同时我们也注意到rom中木马逐渐增多的趋势，我们将会继续关注此类顽固木马并提供相应的解决方案。”申迪表示。
　　目前，360手机安全中心紧急发布了安卓长老木马专杀工具，可将其彻底查杀。360手机安全专家建议，要从正规渠道购买手机，同时在刷第三方ROM时更要第一时间安装360手机卫士，彻底查杀木马病毒。
　　2014年6月：长老木马二代专盗手机20余项密码 360独家查杀
　　2014年6月，360手机安全中心再次独家截获“长老木马”二代，这是首个采用解密数据库方式窃取聊天记录的“长老木马”变种，同时新变种俨然成为“偷窥狂”，窃取手机里包括短信、电话号码、位置、日程、Wi-Fi、浏览器等多达20余项账号及密码，甚至可根据这些指令窃取手机环境音、限制用户拨打电话。360手机安全中心对此独家发布了专杀工具，如果发现上网流量异常消耗，可通过长老木马专杀工具进行查杀。
<img STYLE="BorDer-BoTToM: BorDer-LeFT: MArGin: DispLAY: VerTiCAL-ALiGn: BorDer-Top: BorDer-riGHT: medium none" BORDER="0" src="/blog7style/images/common/sg_trans.gif" real_src ="/t01ecd76e.jpg?size=213x378"
ALT="揭秘手机里病毒木马都是怎么发现的&&长老木马前世今生"
TITLE="揭秘手机里病毒木马都是怎么发现的&&长老木马前世今生" />
　　360手机安全专家介绍，“长老木马”是一款长时间潜伏在手机预装ROM中的手机木马，从2011年至今已衍生出十几个变种。今年3月，360手机安全中心发现了“长老木马”一代，窃取用户隐私信息，篡改手机浏览器主页、偷偷安装其他未知手机应用，甚至还可根据窃取的手机号单独控制某一款手机。
<img STYLE="BorDer-BoTToM: BorDer-LeFT: MArGin: DispLAY: VerTiCAL-ALiGn: BorDer-Top: BorDer-riGHT: medium none" BORDER="0" src="/blog7style/images/common/sg_trans.gif" real_src ="/t01fdbfaff37efc682e.png?size=498x291"
ALT="揭秘手机里病毒木马都是怎么发现的&&长老木马前世今生"
TITLE="揭秘手机里病毒木马都是怎么发现的&&长老木马前世今生" />
　　而二代变种性质更为恶劣，据360手机安全中心发布的“长老木马”二代分析报告介绍，该木马感染用户手机之后，就会一直在后台默默地运行，窃取用户手机中存储的WIFI密码、浏览器中的密码以及短信、通话记录等多种信息发送给木马作者，甚至还会偷录手机周围环境音，限制用户拨打电话。它能隐藏自己的图标，使得用户难以发觉，即使用户重启手机或者重置手机，木马依旧存在于用户手机中。
　　据了解，“长老木马”二代在替换系统文件/system/bin/debuggerd之前首先会进行备份，避免手机系统文件缺失，手机运行异常被用户发觉，确保恶意程序运行的隐秘性。木马还会自动备份安装文件，并且每隔30秒检查一次木马程序是否存在，一旦发现木马被删除，备份文件就会重新自动安装，继续执行恶意行为，这种“进程守护”机制和之前发现的“恶魔守护者木马”是一样的。
<img STYLE="BorDer-BoTToM: BorDer-LeFT: MArGin: DispLAY: VerTiCAL-ALiGn: BorDer-Top: BorDer-riGHT: medium none" BORDER="0" src="/blog7style/images/common/sg_trans.gif" real_src ="/t01fa2e5e9faf876574.jpg?size=300x200"
ALT="揭秘手机里病毒木马都是怎么发现的&&长老木马前世今生"
TITLE="揭秘手机里病毒木马都是怎么发现的&&长老木马前世今生" />
　　360手机安全专家指出，木马作者通过短信向中招手机发送指令，该木马会监视手机收件箱中的短信，一旦收到指令，就会执行相应的恶意行为，比如将窃取的微信、QQ聊天记录以及WIFI密码、浏览器数据等通过短信、邮箱或FTP等方式发送出去。专家分析，目前“长老木马”二代能够接收的远程指令多达31个，可自由控制并窃取20多项账号密码信息。甚至可根据这些指令窃取手机环境音、限制用户拨打电话。
<img STYLE="BorDer-BoTToM: BorDer-LeFT: MArGin: DispLAY: VerTiCAL-ALiGn: BorDer-Top: BorDer-riGHT: medium none" BORDER="0" src="/blog7style/images/common/sg_trans.gif" real_src ="/t010cf6df779c74bd0c.png?size=319x378"
ALT="揭秘手机里病毒木马都是怎么发现的&&长老木马前世今生"
TITLE="揭秘手机里病毒木马都是怎么发现的&&长老木马前世今生" />
　　360手机安全工程师董清介绍，安卓手机系统的一些关键信息，比如WIFI密码、浏览器中保存的密码、访问网页的历史记录等等，都是明文存储在系统中。微信、手机QQ等应用的聊天记录虽然经过加密，但加密算法也很简单，一旦用户中了“长老木马”二代，这些隐私信息很容易就被盗取。
　　360手机安全专家强烈建议用户不要将敏感信息，如银行卡账号、密码等，通过微信、手机QQ等方式发送，一定要从正规渠道下载手机软件，安装360手机卫士对手机进行全面的防护。
#警方提示#【谨防手机木马病毒
蜀黍教你四招来预防】近日，警方发现一款叫“鬼铃”的手机木马有大面积感染趋势，该木马通过偷发及上传手机短信等恶意行为盗取用户隐私信息，威胁资金安全，且不易卸载。那么，面对手机木马，该肿么破？蜀黍准备了预防攻略↓↓
<img STYLE="BorDer-BoTToM: BorDer-LeFT: MArGin: DispLAY: VerTiCAL-ALiGn: BorDer-Top: BorDer-riGHT: medium none" src="/blog7style/images/common/sg_trans.gif" real_src ="/tec4c1bec.jpg"
ALT="揭秘手机里病毒木马都是怎么发现的&&长老木马前世今生"
TITLE="揭秘手机里病毒木马都是怎么发现的&&长老木马前世今生" />
#网络安全小贴士#【“网络支付，关注安全”建议】提防虚假客服；关注支付安全；身份验证防诈骗；慎扫二维码；慎用公用wifi；警惕低价陷阱；防范手机木马；严守个人信息。
<img STYLE="BorDer-BoTToM: BorDer-LeFT: MArGin: DispLAY: VerTiCAL-ALiGn: BorDer-Top: BorDer-riGHT: medium none" src="/blog7style/images/common/sg_trans.gif" real_src ="/t01fd3e45e84cfefd2f.jpg?size=440x779"
ALT="揭秘手机里病毒木马都是怎么发现的&&长老木马前世今生"
TITLE="揭秘手机里病毒木马都是怎么发现的&&长老木马前世今生" />
已投稿到：
以上网友发言只代表其个人观点，不代表新浪网的观点或立场。手机要送去修理，怎样确保安全，防止被植入木马？_百度知道
手机要送去修理，怎样确保安全，防止被植入木马？
懂技术的人说说，很怕出安全问题。不敢冒这个险，最担心的就是木马，怎样才能确保不出问题。个人感觉对修理者而言，事后追查很难证明来源吧，植入木马太容易，诱惑太大了。虽然是原厂修理企业本身很大很正规，很难相信他们能管住个人就算我小人之心吧，现在我大多数银行操作都是用手机
您的回答被采纳后将获得：
系统奖励20（财富值+经验值）+难题奖励10（财富值+经验值）+提问者悬赏50（财富值+经验值）
我有更好的答案
心态重要，除非你不用手机，太过了，找不到合适的刷机包，国外也好。如果是品牌机网上有刷机包或者官方包。修手机的一般还没几个把木马植入硬件的水平。凡是不要想的太过深入，网上很多教程，可以考虑打消这个念头，修好了到手自己再重刷一遍。无不外乎root&gt，所以很多手机从底层硬件上是有后门的，这个是无法阻止的，仔细看，都算不上什么安全。一般的手机安全都是局限于系统软件层面，考虑自己刷机是比较安全的，您说呢，不过话说回来;刷recovery&gt，并不难，手机不管国内也好;刷rom三大步走，没有绝对，你会发现难受的只是自己，安全是相对，因为安全就是不值得信任任何人？如果是杂牌手机是安卓机器么
谢谢！我保修拿回后，用手机的“恢复出厂设置”功能操作了，顺带选择了格式化，然后再恢复原来的应用备份和数据等。这样做是否还会有残留木马类软件的可能呢？（相对信任手机制造商而言）
如果真有木马病毒你这样做完全是无济于事，只不过是心理安慰罢了，我觉得这完全是一个信则有不信则无的事情。你要绝对的安全，那任何品牌的手机都做不到。如果是相对的安全，你买原生的NEXUS手机会好些，毕竟是安卓的亲儿子，从表面上来看，只包含了自家的谷歌产品，没有其它多余的垃圾软件，比较干净。而且nexus手机搬梯子才能升级或者下载新版刷机包刷到最新版本，新版本对权限控制方面也做的比以前更好些，用google play商店的东西相对国产层次不齐的商店下载软件要好些。毕竟是官方商店，虽然也会鱼龙混杂。总的来说google公司相对而言还是比较靠谱，外国人对你的隐私不会感兴趣。中国人会更感兴趣，国产的话，因为定制了UI，带的东西就多了。安全是相对的，即便是国产的也不会天天损失利益和隐私泛滥，要不然手机公司也会被告法庭无数遍的。心态最重要！
其他类似问题
为您推荐：
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁315晚会曝光植入手机的木马病毒怎么清除？
内容为广告/垃圾，我要举报！
特聘专家具有协助内容审核的特权
举报后内容将不能在前台展示
错乱举报会导致该权利被剥夺
选择举报原因&
315晚会曝光植入手机的木马病毒怎么清除？
已有1个回答
[编辑专家]
专家星级&:&3.5星
问答堂专家综合评分
问题评分&:&5星
采纳、点赞&:&0星
二次回复率&:&5星
内容为广告/垃圾，我要举报！
特聘专家具有协助内容审核的特权
举报后内容将不能在前台展示
错乱举报会导致该权利被剥夺
选择举报原因×
擅长领域：
& & 楼主可以使用手机管家还有手机卫士类的应用对手机进行检测，这样就可以直接找到木马病毒应用了。
留下你的评论
微信公众账号ZOL问答堂
关注微信，随时随地解答您的疑惑
ZOL问答堂官方微博@ZOL问答堂
关注成功！该问题被回答后，将给您发送站内短信。
您也可以通过关注问答堂微信，及时获得您关注问题的回答。
微信关注问题方法“”　　高考越来越近，考生们都在抓紧最后时间冲刺，家长们关心自己孩子营养补充的同时，也开始关注高考择校、专业选择等问题，使用手机APP获取资讯已经成为考生和家长的常用方法，而不法分子也借此机会恶意篡改常用APP植入手机木马作恶。
　　360手机安全中心监测发现，一款名为&学霸杀手&的手机木马恶意篡改&高考必备知识大全&后诱骗手机用户下载安装。
　　该木马进入手机后，会在后台私自发送恶意扣费短信，并屏蔽回馈短信，让中招用户在不知不觉中损失话费;同时，造成中招用户隐私泄露。监测还发现，除了恶意消耗手机用户话费、窃取隐私的&学霸杀手&外，另一款手机木马则恶意篡改软件&高考倒计时2015&，该木马在软件中捆绑恶意广告插件，软件安装后，会在手机屏幕上强行推送弹窗广告。
　　专家提醒，考生和考生家长在选择下载高考相关的手机应用时，尽量选择官方网站等正规手机应用平台。
关键字推荐
潇湘晨报APP
新闻 广告 发行
24小时热线 96360
ICP备案号：湘ICP备号-2
湖南省互联网新闻信息服务许可证 湘
互联网出版许可证：新出网证（湘）字31号
企业法人营业执照注册号978
增值电信业务经营许可证：湘B2-