「地狱火」手机病毒：安卓系统底层的威胁分析

“地狱火”手机病毒是一种源自安卓系统底层的严重威胁，由360互联网安全中心在2016年发现并发布相关研究报告。病毒通过修改Boot Image和替换系统核心文件实现自我保护，感染量在短时间内超过百万。它寄生于系统boot分区，替换vold文件，并能自我恢复，清理过程复杂。 ### 病毒概述 “地狱火”病毒在用户尝试删除vold.apk文件后仍能重新出现，展示了其高度的顽固性。它是第一个利用Android系统Boot Image和核心文件进行自我保护的手机病毒，因此得名“地狱火”。 ### 传播与感染 病毒传播途径多样，感染地区分布广泛，360急救箱提供了紧急查杀方案以应对激增的用户反馈。 ### 病毒分析 #### ROOT模块 病毒可能利用ROOT权限在系统中执行恶意操作，包括但不限于替换系统文件。 #### 推广模块 “地狱火”病毒不仅自我复制，还与其他病毒合作进行推广，同时会下载诱导用户扣费的应用，对用户造成严重影响。 #### 系统底层寄生模块 1. **替换系统vold(ELF文件)**：病毒将自身插入到系统关键组件vold中，使得即使删除病毒文件，也能在系统启动时恢复。 2. **修改Boot.img**：病毒通过篡改Boot镜像文件，确保其在每次设备启动时都会被执行，增加了清除难度。 ### 病毒作者信息 虽然报告未提供具体信息，但病毒作者的技术能力可见一斑，能够编写出如此复杂的恶意软件。 ### 与其他病毒的关联 “地狱火”与其他病毒协同工作，形成恶性网络，增强了它们的生存能力和危害范围。 ### 清理与安全建议 清理“地狱火”病毒需要专业知识，普通用户可能无法有效去除。360急救箱提供了清理方案，但用户应定期更新安全软件，避免访问不安全的网站，不随意下载未知来源的应用，以预防病毒感染。 ### 结论 “地狱火”手机病毒揭示了安卓系统安全的新挑战，强调了系统安全更新和用户安全意识的重要性。面对此类威胁，除了技术防御外，提升公众的安全教育同样关键。