功夫熊貓病毒是功夫病毒的最新變種Trojan/Android.KungFu.aa它將自己偽裝成合法的軟體,通過第三方市場和論壇進行傳播。功夫熊貓具備傳統功夫病毒的一切特徵,包括: 修改系統分區嵌入至ROM、感染後無法查殺,甚至恢復出廠設定也無法解決。與先前版本的功夫病毒不同的是,它已變種的更加強大。功夫熊貓病毒雖然並未攜帶自動提權代碼需要用戶給予ROOT許可權,但是功夫熊貓病毒使用了幾乎完全不同的載入、隱藏和自我保護方式,一般用戶很難分辨自己安裝的是正常軟體,還是惡意軟體,從而導致感染病毒。最為嚴重的,功夫熊貓病毒會設法使自己先於Android系統載入,使得任何現有的安全軟體對其都束手無策,是目前為止危險性最高的流行病毒。
LBE小組攔截到的功夫熊貓病毒樣本並未攜帶自動提權代碼,因此需要用戶手機ROOT之後才會被感染。由於部分軟體自身需要ROOT許可權,所以一般用戶很難分辨自己安裝的是正常軟體,還是惡意軟體,從而導致感染病毒。
當病毒的提權部分代碼被觸發之後,便會執行以下操作:
將系統分區設定為可寫
將自身複製到系統分區內
將/system/bin下的多個關鍵系統組件備份至/system/framework下,並且使用病毒代碼覆蓋原始系統組件
修改多個系統引導腳本,確保自身在系統引導之前載入
當病毒本體執行時,會執行以下操作:
將自己設定為後台daemon,避免被終止;並將自己偽裝為system_server,實現進程自我保護,並且干擾 部分安全軟體的正常運行。
監控被自身修改的系統引導腳本的內容,如果發現有任何軟體嘗試修改和替換系統引導腳本,都會自動將內容還原。
聯絡遠程控制端,獲取攻擊指令。功夫熊貓病毒使用了不同的控制端域名(ad*pandanew*com),這也是其 得名的原因。
