2020年五月中下旬，360手機安全中心接到用戶滿意度稱自身的手機上常常自動安裝新游戲運用，經360手機安全中心剖析清查發覺，該客戶有沒有中招的是一個名叫“萬藍”的ROM級別手機木馬，該木馬病毒危害客戶達十萬之上。該木馬病毒關鍵根據連接網絡免費下載shell腳本文件開展靜默安裝應用推廣，并能夠完成本身升級。360手機安全中心公布技術博客，對“萬藍”木馬病毒開展深入分析。

360技術博客詳細介紹，“萬藍”木馬病毒關鍵根據嵌入ROM，根據刷機網站開展散播。到迄今為止，故意樣版主要是嵌入為夏新、想到、小采等手機開發的三方ROM開展散播，客戶手機上刷入被感染的ROM后，木馬病毒便瘋狂地剛開始營銷推廣散播各種各樣運用，數量達到近千種。

“萬藍”木馬病毒會連接網絡免費下載shell腳本文件，把要實行的故意個人行為寫在腳本制作里，木馬病毒的wlan過程絕大多數作用取決于實行這種腳本制作，那樣就大大的便捷了病毒感染創作者開展升級，也便捷創作者操縱有沒有中招手機上去實行大量故意個人行為，潛在性風險性極大。

技術博客剖析強調，“萬藍”木馬病毒起動時候試著給本身在系統目錄中創建一些標記連接，當系統軟件中有其他程序運行這種指令時，木馬病毒便會被起動。以后，根據復位每日任務池、創建本身運作時所需的文件目錄和文檔開展手機木馬復位，為以后實行故意個人行為做準備。特別注意的是，該木馬病毒起動后會復位一個建筑結構，里邊包括了50個可運行命令每日任務池的子結構。

360手機安全性權威專家剖析強調，“萬藍”木馬病毒是根據Linux管路來開展通訊的，管路是Linux的一種通信方式，等同于一根管道，一個人在管道左側，一個人在管道右側，左側的人不斷的往管道里放物品(寫數據信息)，右側的人就不斷的從管道拿東西(讀取數據)，右側的人取得數據信息后就可以解決這種數據信息了，“萬藍”木馬病毒創作者即將實行的指令、腳本制作寫到管路里，以后wlan過程就可以實行這種指令。

木馬病毒從服務器上獲得要運作的指令(shell腳本制作)，再啟用例如input、am、pm等DOS命令，木馬病毒就可以完成起動運用、靜默安裝運用、卸載應用、完畢運用、刪除應用數據信息、完畢后臺進程、公布intent廣播節目等40多種多樣故意個人行為。

除此之外，該木馬病毒還會繼續根據二種對策完成自升級，一種是檢驗本身行為主體wland文檔的版本號來分辨是不是必須升級，一種是依據間距之前檢驗升級的時間來分辨是不是必須升級。該木馬病毒自升級之后還能夠完成私發信息、屏蔽短信、撥電話等故意個人行為。

根據遺留下在木馬病毒初期版本號中的信息內容，360手機安全中心發覺了木馬病毒創作者及其企業的基本信息，根據木馬病毒連接的服務器ip分辨，該網絡服務器歸屬于上海市某科技有限公司，而木馬病毒創作者也很有可能任職于該企業。

現階段，360系統醫藥箱早已適用對此類惡意程序開展殺毒，如碰到病毒感染不斷殺毒、手機上自動安裝手機軟件等一般手機上電腦殺毒軟件不可以處理的異常情況，提議應用360系統醫藥箱開展殺毒。另外提議移動用戶從正規平臺選購手機，安裝360手機護衛維護手機安全中心。

深入分析詳細地址：http://blogs.#/360mobile/2015/06/10/analysis_of_wland/

申明：IT之家網址發表/轉截此篇出自于傳送其他信息之目地，并不代表著贊成其見解或論述其敘述。

推薦閱讀：河北視窗