5801卡盟平台,快手点赞怎么一键删除

活跃于社交网络的“点赞狂魔”，已见怪不怪，现如今，却有一种病毒版的“刷赞狂魔”，活跃网路。近日，360安全脑部详尽披露了一种兼容安卓64位的Android Native病毒——“刷赞狂魔”。

该病毒以虚假情色应用为诱饵引诱用户上钩，暗地里悄悄通过短视频网路插口给短视频疯狂刷赞、为公众号刷阅读量，在不知不觉中让普通用户化身刷赞“僵尸粉”。广大用户可下载安装360手机卫士拦截查杀这种病毒。

中招秒变“僵尸粉”

“刷赞狂魔”借情色应用扩散

不同于通常病毒，“刷赞狂魔”病毒极其狡诈。从360安全脑部追踪数据看来，该病毒除了能通过更改系统文件、云控加载等技术手段躲避杀毒软件，还会借助CVE-2019-2025（水滴漏洞）等多个Android系统漏洞获取手机最高的ROOT权限。这也就造成，一旦手机感染该病毒，将被植入大量未能删掉的底层恶意模块，惨变“工具人”之余，还可能遇到恶意扣费的情况。

从害处上来看，“刷赞狂魔”病毒主要特点是，让中招手机沦为短视频刷赞、公众号刷阅读量“僵尸粉”，并在用户不知情的情况下，私自购买付费业务，拦截扣费邮件，造成直接经济损失。在传播途径上，该病毒主要通过情色应用、小游戏等多种形式进行传播。

（“刷赞狂魔”病毒伪装的几种典型应用）

综合360安全脑部检测数据而言，该病毒可使用多个Android系统漏洞获取手机最高ROOT权限，修改系统文件(aee_aed/debuggerd)，利用SVC指令隐蔽地加载病毒主体文件，和云端下载payload（载荷），使用自定义加密算法，保护自身不被杀毒软件发觉。

ROOT提权刷赞扣费三步走

“刷赞狂魔” 蛇皮跑位躲杀软

“刷赞狂魔”病毒感染手机后，会先从云端服务器下载ROOT提权工具包，解密并释放病毒主体文件kms_02ext，以获得更高的手机ROOT权限，用以执行刷赞、刷阅读量和恶意扣费等不法操作。经360安全脑部剖析强调，“刷赞狂魔”病毒从云端下载ROOT提权工具包前，其实会有一个复杂且隐蔽的打算阶段。

当用户无意中下载了带有病毒的应用时，打开应用界面，会先听到绕圈加载等待画面。这时，应用虽然在“暗度陈仓”，偷偷上传用户手机号、设备信息，并下载ROOT提权工具包等其他功能模块，为获取手机ROOT权限等恶意行为做打算。这一过程中，该应用会释放并下载近50个jar文件。

为了让更多的用户中招，该病毒应用就会在虚假情色应用显示的视频页面，显示用户评论以降低可信度，打消用户防范心理。而经360安全脑部追溯剖析发觉，视频页面评论及ID，均为预先设定内容，只是为了进一步蒙蔽用户。

此外，该病毒应用还使用了多个数据库文件，分门别类储存对应信息。

该病毒dfsywwy.data数据库中储存了大量待下载jar文件，插件数量之庞大可见一斑。具体如下：

当病毒应用释放的ss.jar文件成功从云端下载upnpclz.apk后，也就为进一步下载ROOT加壳工具包做好了打算。

第一步：ROOT加壳

upnpclz.apk加载上去后会检测更新，并从云端下载ROOT提权工具包imgs_9.zip，解密后得到upz_5压缩文件。

接下来，其会加载libkm05.so（64位手机则是libkm05_64.so），并调用其中的2个JNI函数，解密km01以释放“刷赞狂魔”病毒主体文件kms_02ext。

至此，病毒主体文件kms_02ext运行后，会最终释放“刷赞狂魔”病毒核心作恶模块km09_2970.so，并调用km09_2970.so的func_3( )函数，完成ROOT挂马、释放核心elf文件等操作。如此漫长的释放链，可以说“刷赞狂魔”病毒的求生欲非常强烈。

需要注意的是，func_3( )函数中，病毒首先会向C&C服务器POST设备信息，识别手机机型，以选用合适的加壳方案获取手机ROOT权限。在这一过程中，病毒主要使用了CVE-2013-2595、CVE-2016-5195（脏牛）、CVE-2019-2025 （水滴）等漏洞实现手机ROOT加壳。

第二步：短视频刷赞

成功获取手机ROOT权限后，核心作恶模块km09_2970.so会从云端下载揭秘短视频刷赞模块v15.zip（解密后为一个SO文件），并加载该SO文件的do_main( )函数，用于下载并揭秘v18_u.zip，其为完全揭秘的“刷赞狂魔”病毒主体文件kms_02ext，当病毒主体被删除后，仍可通过该方法“满血复活”。

接着，libdy.so会读取短视频应用的token_shared_preference.xml、applog_stats.xml、Cookies文件获取手动刷赞所需的用户token等个人登陆信息，构造完整的短视频刷赞恳求URL，并通过解析返回结果”status_code”、”is_digg”参数值，判断刷赞是否成功。

除此之外，恶意模块km09_2970.so就会释放恶意文件liblad.so、wxop.dex。liblad.so会在.init_array节中加载病毒文件/system/bin/debuggerro，并在my_entry( )函数中创建新线程加载wxop.dex的com.wxop.Entry类的入口函数DoOp( )，通过某社交应用的Webview来访问指定URL，为公众号刷阅读量。其刷公众号阅读量的代码片断如下：

第三步：恶意扣费

如果说，病毒刷赞是把普通用户弄成“工具人”，那么接下来的恶意扣费，就直接殃及用户的皮夹。这次，病毒释放的恶意模块km09_2970.so，会把恶意文件1.so、jarop.dex.jar注入com.android.phone进程，以监控收发读写手机邮件，甚至擅自订阅付费业务，并拦截扣费邮件。

该病毒执行邮件屏蔽的恶意代码片断如下：

相关C&C服务器信息

相关APK列表

不惧“刷赞狂魔”套路

更新360手机卫士护航安全

对普通用户来说，“刷赞狂魔”病毒强行占有用户手机刷赞、刷阅读量，不仅影响了手机正常使用导致个人信息外泄，漏洞的恶意借助还直接对用户手机的安全构成了巨大恐吓。同时，对用户来说，当病毒作者获取ROOT权限后，无异于将手机完全交于不法分子，一旦被借助极可能导致难以挽回的损失。

对此，360安全脑部给出如下安全建议：

1、寻找“360手机卫士”神抢断：及时通过360手机卫士官网及各大应用市场安装/更新360手机卫士，对爱机进行一次全面“体检”；

2、防微杜渐：若手机出现异常发热、霸屏广告等反常现象，及时使用360手机卫士进行复检、扫描查杀病毒；

3、警惕桃色圈套：病毒作者常借助人们的猎奇心理，精心设好圈套等待用户上钩，广大手机用户切勿抱有侥幸心理，通过正规手机应用市场下载安装应用可有效规避中招风险；

4、谨慎放行：杀毒软件提示病毒的，切勿轻信病毒软件提示添加信任；

5、及时更新系统及补丁：及时升级系统、安装系统更新补丁可有效减少漏洞借助风险。