360长老病毒专杀软件

360长老病毒专杀软件是360专为安卓用户推出的一个长老病毒专杀功能，长老病毒是一种潜伏性的病毒，它会一直潜伏在你的手机中直到他发作时你才会发现，这款360长老病毒专杀工具可以帮你清理手机中的长老病毒，推荐有需要的用户下载使用。

使用方法：

1、下载360安全卫士、连入手机。

2、开始查杀病毒即可，可以选择长老病毒专杀

长老四代病毒介绍：

一． 长老四之前世今生
去年11月份，360安全团队截获了恶意手机木马“长老三代”，详细剖析挖掘了长老木马的整个有机生态链。并从传播源头开始进行强力打击，致使猖狂一时的长老木马迅速地消声灭迹。近期360安全团队发现改头换面的新版长老木马又“重出江湖”。
分析后发现，木马与“长老三代”有紧密的关系，在长老木马三代“疯狂崛起”时，以其子模块的形式存在，功能有限，而且也不具备对抗安全软件的能力，因此，我们将其命名为“长老四代”。
长老木马三代核心主体模块debuggerd与此子模块耦合度非常高。比如子模块由虚假debuggerd来启动，而且子模块运行时需要访问由假冒debuggerd下载生成的文件读取远程服务器地址，下载地址等。经过木马作者的“精心改进”后，子模块从“私生子”华丽“蜕变”为长老木马核心模块。
二． 进化篇
与之前老版本相比，虽然在恶意行为特征上仍然以隐私劫取、恶意扣费为主，但是自我保护与对抗安全软件方面有较大技术突破。例如，在移动安全领域首次采用了静态感染技术，感染系统运行依赖的lib文件，加大了查杀难度。此外，还采用相似文件路径欺骗法、 样本MD5自变化等传统PC端的病毒技术。
下图的文件MD5分别为778ff1b54aaf88075523f1a8b7c233f9、3a93af95ec45aabb44018fdc4dd34243。

图1 两个长老4代 ELF可执行文件的对比
对比可以看出，是文件末尾嵌入32位长度的字符串，导致同一版本长老四，出现几十万个变种。进一步分析发现，长老四会读取这段字符，解密后当作KEY,用于私有数据库等配置文件的AES/DES加密与解密。代码如下：

图2 获取AES密钥的部分代码
长老木马的进化如下：

图3 长老四代进化图
经过一段时间的观察与分析，我们梳理了“长四”的发现过程及关键的时间节点，如图所示：

图4 长老四代发现过程及响应
三． 行为分析
长老木马四代主要分为launcher和核心作恶的ELF可执行模块。ELF可执行模块又包括distillery、plugins及redbean三个主要部分。 redbean模块会注入系统Phone进程，具有Phone进程权限，可以在未经用户允许下，后台私自订购SP业务，屏蔽订购确认和成功短信，给用户造成经济上的损失。
长老木马四代作恶流程如下：

图5 长老四代流程图
从启动方式来看，长老三代主要以替换系统原生文件为自身镜像，随系统启动时执行，由于安全软件对于这种类型的查杀方法已比较成熟，长老木马四代采用更加隐蔽的“静态感染”启动方式，将恶意代码插入到被感染的系统文件，在被感染系统文件中完成长老木马四代的启动工作。长老四代是在Android系统中首次采用感染技术的木马。
“长老四代”静态感染启动原理如下：
1、感染守护进程启动时依赖的正常库文件。在库文件的导入表里添加launcher的路径，使守护进程随操作系统启动时，加载并执行launcher的恶意代码。如下图所示，被感染的系统库文件的导入表中包含恶意库文件libs6x.so的路径。

图6 被感染的系统库文件\system\bin\libglog.so
2、Linux的动态链接器在加载ELF可执行文件或动态链接库时完成装载、映射、重定向后，首先依次执行pre_init、init、init_array节中描述地址指向的函数。这些函数都是早于入口点执行的。

图7 Launcher的init_array节
Linux的动态连接器执行这些函数的初衷原来是为了程序执行前初始化C++静态构造函数，C库的IO等等。木马作者巧妙利用Linux动态链接器对ELF文件的装载原理，在init_array段里写入了启动病毒长老四代的代码。