帮忙分析下这个 apk，可能是病毒

金山火眼是用来干嘛的

@402645707 谢谢，没用过金山的产品，怎么需要邀请码？

@virusdefender 谢谢，我试试看

@womaomao 我记得好像验证一下邮箱还是分享到微博空间就有资格了

@402645707 已经查了，确实有危险行为
http://fireeye.ijinshan.com/analyse.html?md5=992a56369db3b06be723aca6308f1083#full ，
然后手动删除这些东西？

这玩意 rootkit 啊，放了个自己的 su 进去，然后随意下载 malware 了

@VYSE 谢谢，明白你的意思了，我不懂 android 机制，怎么破？

@womaomao 建议重刷原厂 rom ，因为 /system 下面已被感染，没啥安全软件能帮你扫出来

@VYSE 我 recovery 下清除过 wipe 了，也恢复到出厂设置了。还需要刷 rom ？

@womaomao wipe 清不了 /system 里的内容

@VYSE 好麻烦，那得回家刷机。谢谢你

没事不要 root

@VYSE 如果要纯净，最好是"原生"ROM ，例如 AOSP ，而不是"原厂"ROM 吧

@virusdefender
@womaomao
@VYSE

我的理解是，火眼的报告说这个应用：
1. 尝试查看系统里是否装了这些安全软件 （这个行为非常可疑，但并不能证明它就干了坏事，在警察局门口张望而已）
2. 尝试查看系统中是否有 /system/lib/libnvs.so 等几个文件 （同 1 ，可疑，但无证据）
3. 尝试去访问 e.189vo.com:8008/DispatchServer/GPP （同样最多是可疑，现在哪个 APK 不去访问一个地址 URL 呢？没拿到返回前的数据前都不能算证据）
4. 申请了一些不怎么危险的权限（接收开机广播这个权限最多说它流氓，但谈不上病毒；网络的 3 个权限让他能联网，联网算什么病毒的证据吗；读取电话状态更普通了，基本上是个应用都要处理来电状态。也就是说如果走前门，这个应用申请的这些权限并没有做坏事的能力）

解开这个应用，没发现任何 bin 文件（如自己的 su ）。

也就是说，除非这个应用本身就是一个类似一键 root 的工具，通过网络下载程序，然后利用系统后门获取 root 权限，突破上面所有的限制，否则 1 没有证据证明它有恶意， 2 它申请的权限没有给他作恶的能力，那么大家依据什么做出这是一个病毒的推断呢？

如果是前者，那所有的 APK 都有这个可能性（没有人提到反编译），是不是随便来个 APK ，我们都可以说它是个病毒了？

另外装一个 APK 就能 root 的机器，按我的观察，现在也是越来越少了。

大多数 root 分这么几种方式：
1. 走前门解锁 booterloader 刷机
2. 直接用芯片的刷 flash 的工具
3. adb,fastboot 之类的漏洞获取 root 权限

但这些都不是一个 apk 就能独立完成的。

@xylophone21 火眼没跟你说它调用 /system/bin/sz 拿 root shell ，没跟你说从 e.189vo.com:8008/DispatchServer/GPP down apk 直接 pm install ，而且也没跟你说它是不是 root 工具，而是被其他 malware 塞到 /system/app 里的 rootkit

另外 apk 能不能 root ，请看 towelroot

@loveminds 很多机型没得适配啊，原厂 ROM 有这个病毒可以爆一爆了，就像酷派那次

@womaomao 同样是 2 天前遇到的，因为手机装了 xprivacy 发现一个陌生 APP 在申请权限才发现，另一包的名称是 com.stdi.vops ，给手机安装了一个“易打工”的 APP ，平时用手机很小心，那天可能相关的操作就是点了“移动营业厅”的更新，网上搜了很久都没有相关信息，不知道你有没有类似操作

这是另一个 com.stdi.vops 的信息，看来师出同门 http://fireeye.ijinshan.com/analyse.html?md5=f4f246a9b35baba9dd2685ec23a132e1&sha1=eb763e6bfd9488bb2d9f3d8f6f5bd97e26c73670