揭秘安卓史上最强病毒 你中招了没？

Android病毒特性全面与Windows病毒接轨

　　我们知道，由于Windows系统安装在超过90%的个人电脑上，所以其病毒数量和种类真是让人眼花缭乱，尤其在Windows 98和XP时期，甚有突破天际之势。Android系统随着设备数量的急剧上升，病毒和恶意程序也一步步渗透，不过早期的病毒普遍还比较弱智，很大一部分 通过直接卸载或查杀就能搞定。但Brain Test的情况就没这么简单了。

（Brain Test的运作原理）

　　在将Brain Test安装到手机以后，不管用户是否运行，该应用都会开始执行“时间炸弹（time bomb）”，20秒以后首次运行，并且每2小时运行一次。8小时以后，将设备数据上传至病毒作者服务器。病毒会检查当前所用Android设备是否已经root，如果还没有root，则从服务器上下载一组工具，一个个试，直到root为止。

　　所谓的root就是让系统最高权限下放给用户（或应用），和iOS的越狱是同一个道理。只有在越狱以后，病毒才能真正展开手脚去对系统服务和文件做 修改。在root完成以后，该应用会从服务器下载一个名叫malicious.apk的安装文件（名字还真是露骨啊），并默默地安装，作为系统应用存在 （运行起来叫com.android.music.helper，隐蔽性很好啊）。生成的两个进程（mcpef.apk与brother.apk），两者 相互守望，两者都会监视对方是否被删除，只要任意一个被删除，其中一个就会即刻重新生成一个。而且他们会随手机启动而启动。

　　就以上几点就足够形成了病毒或木马的完全形态，包括具备隐蔽性的主进程，保护主进程的守护进程，还有在主进程停止以后负责重新生成主进程的程序（这 里后两者是同一个），虽然相比Windows平台上的这一套病毒系统，Brain Test还显得比较稚嫩。可以想见，此后的Android强化版病毒都会在此基础上进化。

　　至于Brain Test究竟干了什么，就目前看来是建立rootkit，这样一来就能执行病毒作者期望在设备上执行的任意代码了，比如说用来显示广告（这好像是Brain Test的主要工作），甚至在感染的设备上部署其他例如盗取证书一类的特性。

（传说中，幽灵推波及的范围）

　　章开头的时候说了，这次爆发的是两只病毒，到这里小编才要引出第二只，它叫Ghost Push（幽灵推）。Ghost Push在特性上相比Brain Test只是少了一步在谷歌应用商店上架的过程，也就是说它不是通过谷歌应用商店传播的，其余表现是基本相似的，包括首先想着如何把你的机子root了， 随机启动，进程相互守望，不过它在破坏力度上更出色一些。