不死鳥作為希臘神話中的一種怪物，擁有不斷再生的能力，每當壽限將至時，它會在巢穴中自焚，并在三天后重新復活。就在近期，安天AVL移動安全團隊和小米MIUI安全中心發現了病毒界的“不死鳥”，其頑固程度之深，用戶很難通過常規的卸載手段清除該病毒。

這款病毒名為Fushicho，一旦運行，它首先會通過一系列手段攻擊手機的“免疫系統”：聯網下載root工具對用戶手機進行提權處理，進一步根據文件中的sql語句將自身插入某知名殺毒軟件白名單中，并通過“pm disable”命令禁用某知名殺毒軟件，致使手機安全防護功能全線崩潰。

接下來Fushicho病毒會替換系統啟動腳本文件，實現開機自啟動并獲得root權限。而為了使其自身成為手機中唯一具有root權限的應用，該病毒會刪除手機中其他root程序、su文件。除此之外，由于病毒應用被鎖在系統目錄下，用戶很難通過常規卸載手段清除該病毒。

至此，Fushicho病毒將緊緊扎根在手機中，像不死鳥一般難以消滅。同時該病毒將通過聯網獲取惡意扣費指令對手機進行長期的扣費并下載其他惡意扣費軟件，使感染用戶遭受巨大的財產損失。

接下來，我們將對這只病毒界的“不死鳥”進行詳細的解剖分析。

Fushicho病毒運行流程圖

詳細分析

私自提權

Fushicho病毒運行時加載本地Pxivuurauu.so文件，解密資源文件中的ico.png文件來釋放子包oko.jar。子包釋放后被動態加載，并在本地解密。Fushicho病毒獲取到提權工具下載地址后下載并解密，獲取提權工具包cab.zip，解壓并加載其中的data.jar文件，對用戶手機提權。

獲取提權工具下載地址：

解壓后的文件如下所示：

各文件功能及作用如下表所示：

提權工具包結構：

將自身寫入某知名殺毒軟件白名單

Fushicho病毒運行時解密root工具包中的ql文件獲取將自身插入某知名殺毒軟件白名單的sql語句,通過qlexec文件打開數據庫并執行sql語句，將自身插入某知名殺毒軟件白名單中來逃避檢測。

ql文件內容如下：

刪除提權相關文件

Fushicho病毒在獲得root權限后會刪除手機中其他的root相關文件和apk程序,將下載提權工具包cab.zip中的su文件分別重定向到/system/xbin/.sysd，/system/bin/android.sys，/system/etc/android.sys，/system/etc/android.sys中。

刪除其他root權限：

將su文件重定向到系統目錄中：

禁用某知名殺毒軟件

Fushicho病毒通過“pm disable”命令禁用某知名殺毒軟件，將該軟件停止使用，并隱藏圖標和已安裝應用列表中的展示，致使用戶無法找到該應用也無法重新安裝該應用。

為了驗證該命令的效果，我們測試了一下：

Step1：安裝某知名殺毒軟件，可以在已安裝應用程序中看到該應用：

Step2：使用pm disable命令：

Step3：在已安裝應用中查找該應用，已經找不到該應用了,說明該應用已被成功禁用：

Step4：用命令行工具查看data/app下的應用列表，可以看出該應用是存在的：

Step5：如果嘗試在手機中再次安裝該應用，提示已安裝：

替換系統腳本文件

Fushicho病毒運行時會替換系統的啟動腳本文件install-recovery.sh、install-recovery-2.sh，新的腳本文件將在手機啟動后立即給Fushicho病毒賦予root權限。

腳本運行時以守護進程的形式啟動對應目錄下的.sysd和android.sys文件

惡意扣費

Fushicho病毒的扣費模塊通過監聽用戶解鎖、網絡變化以及手機開機的系統廣播啟動，付費模塊啟動后聯網獲取付費短信數據和要攔截的短信關鍵字。

并聯網向hxxp:// www.mmchong[.]com上傳用戶設備信息，獲取短信相關扣費短信數據。

扣費短信數據解密后如下，其中字段port、cmd對應的是要發送的號碼和內容，字段hport、hcmd對應的是要攔截的號碼和短信內容，Fushicho病毒通過以上字段進行惡意扣費而用戶無法感知。此外Fushicho病毒還會攔截包含“銀行”和“快遞”關鍵字段的短信。在接收到包含msg字段的值的短信時還會自動回復短信或聯網發送攔截的短信。

推送惡意應用

Fushicho病毒運行時解密root工具包中的data0文件,通過解析文件中的指令將root工具包中的惡意應用推送到系統目錄下并啟動。在推送時將這些惡意應用加鎖，并修改創建時間為2008-01-01 00:00，偽裝成系統應用讓用戶難以察覺。

推送的惡意應用：

總結

總體而言，Fushicho病毒一旦運行，將會通過攻擊感染手機安裝的殺毒軟件來使整個手機的“免疫系統”形同虛設，并采取一列后續手段將其自身緊緊扎根于手機中，用戶很難通過常規卸載手段來清除。此外，從上述攻擊步驟可以看出，Fushicho病毒非常注重root權限，從自身提權，到刪除其他root工具，再到替換系統啟動腳本，使自身可以在系統啟動的第一時間得到root權限。這一系列操作之后，Fushicho病毒成為系統第一個也是唯一一個有root權限的應用。 在保證“不死”的情況下，“不死鳥”（Fushicho）病毒將通過發送惡意扣費短信持續對用戶的財產造成損害，危害極大。

安全建議

針對Fushicho系列病毒，集成AVL反病毒引擎的MIUI安全中心已經實現全面查殺。安天AVL移動安全團隊和MIUI安全中心提醒您：

l 請不要輕易root手機，否則您的手機將遭受巨大的安全風險；

l 請勿在非官方網站或者不知名應用市場下載任何應用；

安天AVL移動安全團隊專注于移動互聯網安全技術研究及反病毒引擎研發，為合作伙伴提供強大的移動安全解決方案。AVL移動反病毒引擎致力于為企業和廠商伙伴提供針對性的移動終端威脅防護解決方案，如病毒檢測、金融安全防護、上網安全防護等安全能力輸出。目前除了為小米MIUI輸送安全能力外，也與其他眾多知名廠商達成戰略合作，為獵豹、阿里云YunOS、OPPO、VIVO、步步高、努比亞、LBE、安卓清理大師、AMC等合作伙伴提供移動反惡意代碼能力，為全球過億終端用戶保駕護航。

總結

以上是生活随笔為你收集整理的安天AVL联合小米MIUI首擒顽固病毒“不死鸟”的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。