WireX家族病毒基本上都會在內部硬編碼存放兩個URL地址（部分變種的URL經過加密），變種A在內部硬編碼了如下兩個URL

http://u.*******.store/?utm_source=tfikztteuic

http://g.*******.store/?utm_source=tfikztteuic

這些URL地址是病毒的C&C Server的地址，用于返回要攻擊的網站的信息，不同之處在于，對這兩個URL返回的信息，處理方式不同，執行的惡意行為也不同。

UDP Flood攻擊

對于以u開頭的URL地址，比如http://u.*******.store/?utm_source=tfikztteuic（實際測試不能正常返回數據，以下是根據代碼邏輯進行描述的），返回數據分為兩部分，一個要攻擊的主機地址，一個是端口，中間使用字符串“snewxwri””分割，代碼中對返回數據處理如下：

獲得主機地址和端口號之后，會創建50個線程，每個線程中都會連接該主機和端口，開啟socket之后，使用udp協議發送隨機數據，每次回發送512個字節的數據，一個線程中一共會發送 10000000 (一千萬)次，也就是 10000000512=5120000000 字節的數據，因為一共實現了創建了50個線程，所以，理論上會發送10000000512*50=256000000000（2560億）字節，實現代碼如下所示：

Deceptive Access Attack

對于以g開頭的URL地址， 比如 http://g.*******.store/?utm_source=tfikztteuic，返回數據分為3部分，分別是訪問要攻擊的網站的URL、UserAgent和Referer，使用硬編碼的字符串（比如snewxwri ）進行分割，代碼中對返回數據處理如下：

獲得要攻擊網站用到的URL、UserAgent和Referer后，會創建20個Webview，然后使用每個WebView訪問要攻擊的網站，代碼實現如下：

Deceptive Click Attack

變種B內置了2個URL地址，如下：

http://ww68.c.********.us/?utm_source=tfikztteuic

http://ww68.d.********.us/?utm_source=tfikztteuic

請求這兩個URL返回的數據是類似的，都是在HTML的title中設置了一段內容，這段內容使用一個硬編碼的字符串（比如”eindoejy）分隔成3或者4部分，前3部分都是一樣的，一個URL，一段JS代碼，一個UserAgent，后面可能還有一個字段，猜測為國家名字縮寫，該樣本中為CN（代表中國？）。請求你的地址和返回的數據，類似下圖：

該病毒對這些數據的處理方式是，使用WebView加載返回URL，然后在頁面加載完成后，執行那段JS代碼，JS代碼的功能是從頁面中所有的URL link（通過查找html的a標簽獲得）中，隨機挑選一個，模擬鼠標事件進行點擊，實現代碼如下：

實現模擬鼠標點擊JS代碼如下：

Attack Controller

上述幾種攻擊的實現都是位于某個Android Service中，那么這幾種攻擊是怎么啟動的呢？通過逆向分析APK得知, 該APK注冊了監聽某些事件的Broadcast Receiver，比如network connectivity change、device admin enabled等，在這些Receiver中，會啟動Attack Controller這個Service， Attack Controller負責啟動各種Attack，代碼實現如下：

不同的變種，實現方式有些差別，攻擊的強度也又有所差別，這個變種中，每隔55秒都會重啟一次攻擊。

原文地址：?http://blogs.360.cn/blog/analysis_of_wirex_botnet/

總結

以上是生活随笔為你收集整理的关于“WireX Botnet”事件Android样本分析报告的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。