46 ответов в этой теме

[demagog2]

Вашему запросу назначен идентификатор [drweb.com #6883730].

[Edward Moskalchuk]

Вашему запросу назначен идентификатор [drweb.com #6883730].

 

У вас в ответе на запрос файлик запросили. Пришлите пожалуйста.

[Alexhhh]

Похоже этот вирус поражает не все телефоны а только те,у которых дыры в стоковых прошивках. Т.е.в этих аппаратах вшиты приложения, которые не взаимодействуют должным образом с ос в следствии чего и антивирусы не могут с ними взаимодействовать. У меня тоже Арк м7. Установил каспера. Он обнаружил при полной проверке стоковое приложение обновления системы как вирус. Предложил очистить данные. После этого пока вируса нет, но я подозреваю что после посещения какого-нибудь зараженного сайта я снова увижу adserver kima)). Вообще дешевые китайские телефоны стоят мало не просто из-за доброты китайцев но и по затратам на тестироаание

Сообщение было изменено Alexhhh: 24 Апрель 2016 - 17:48

[maxic]

Alexhhh, ну да, ну да, оно "само попало". "Случайно".

[Alexhhh]

Что куда само попало?? Антивирус не может отработать защиту смарта из-за некачественного софта стокового. Ну да. Ну да))

[maxic]

Alexhhh, много дряни сейчас изначально встраивают в прошивки устройств. Вот о чем речь. А такого, чтобы через уязвимости... пока что имхо редкий зверь.

[Alexhhh]

maxic, нахожу упоминание об этом adserver.kima уже несколько раз в русскоязычном интернете и именно от владельцев Арк м7. Как я понимаю, у приложения обновления при срабатывании таймера опроса сервера идет обращение к адресу и порту заданными изготовителем. Вирус успешно подменяет этот адрес. В результате чего антивирусы в большинстве ничего не обнаруживают. После очистки данных встроенного приложения обновления все нормально. Даже остались в большом кол-ве вкладки с этим самым adserver.kima, которые я спокойно закрыл и больше они не появляются. Вопрос остался к производителю Арк - зачем они дали доступ к системному приложению из источников отличных от сервера обновлений? Именно поэтому происходит подмена адреса обновления

[Alexhhh]

Изначально устройство не бегало по этому адресу каждые несколько минут. Это начало происходить с моим арком где-то через месяц использования.

[Alexhhh]

360 security и malwarebyte тоже нашлищверюгу. 360 секюрити тоже как и Каспер выдал меню к очистке данных беспроводного обновления. Похоже без рута основательно защититься от этой гадости на этом китайфоне не удастся.

Прикрепленные файлы:

•  Screenshot_2016-04-25-01-35-22.png   177,92К   0 Скачано раз
•  Screenshot_2016-04-25-01-37-31.png   251,16К   0 Скачано раз
•  Screenshot_2016-04-25-01-37-56.png   190,52К   0 Скачано раз

[Ivan Purlats]

360 security и malwarebyte тоже нашлищверюгу. 360 секюрити тоже как и Каспер выдал меню к очистке данных беспроводного обновления. Похоже без рута основательно защититься от этой гадости на этом китайфоне не удастся.

 

Дело в том, что, возможно, это приложение было изначально встроено в прошивку вашего телефона. Антивирус без предоставления рут доступа не может ничего удалить из директории /system, в виду ограничений андроида. Соответственно, если вы сделаете рут и предоставите доступ антивирусу, то сможете спокойно удалить данную угрозу. Либо запросите чистую прошивку у производителя вашего телефона.

 

Также не могли бы лучше сообщить детект Доктор Веба, а не других вендоров

[Ivan Purlats]

Соответственно, если вы сделаете рут и предоставите доступ антивирусу, то сможете спокойно удалить данную угрозу.

 

Единственное, если данный вирус помечен, как прошивочный, то антивирус не будет его удалять, чтобы не нанести вред вашей системе, в таком случае вам остаётся обратиться к производтелю телефона.

[Alexhhh]

Дело в том, что, возможно, это приложение было изначально встроено в прошивку вашего телефона. Антивирус без предоставления рут доступа не может ничего удалить из директории /system, в виду ограничений андроида. Соответственно, если вы сделаете рут и предоставите доступ антивирусу, то сможете спокойно удалить данную угрозу. Либо запросите чистую прошивку у производителя вашего телефона.
 
Также не могли бы лучше сообщить детект Доктор Веба, а не других вендоров

 

Может изначально было встроено, но как то уж мудрено оно появляется). Я бороздил интернет примерно месяц без  видимости работы этого вируса. Если только разработчик специально прописал команду запуска вируса через какой то срок после активации телефона. Причем после удаления данных приложения "беспроводное обновление", какое то время вирус не беспокоит.

 

Детект доктора веба к сожалению собщить не могу, т.к. он не обнаружил этот вирус. Я бы с радостью сам телефон передал в лабораторию на исследование)

[Alexhhh]

Единственное, если данный вирус помечен, как прошивочный, то антивирус не будет его удалять, чтобы не нанести вред вашей системе, в таком случае вам остаётся обратиться к производтелю телефона.

 

Про прошивочный нельзя сказать точно не посмотрев исходники самого приложения где он обитает. Дыра в безопасности телефона, например доступ на запись хотя бы для одного файла из приложения может дать вирусу порезвиться. Может конечно и специально разработчик засунул туда этот вирус))   (что лично для меня менее логично выглядит) 

Сообщение было изменено Alexhhh: 25 Апрель 2016 - 13:39

[Ivan Purlats]

 

Единственное, если данный вирус помечен, как прошивочный, то антивирус не будет его удалять, чтобы не нанести вред вашей системе, в таком случае вам остаётся обратиться к производтелю телефона.

 

Про прошивочный нельзя сказать точно не посмотрев исходники самого приложения где он обитает. Дыра в безопасности телефона, например доступ на запись хотя бы для одного файла из приложения может дать вирусу порезвиться. Может конечно и специально разработчик засунул туда этот вирус))   (что лично для меня менее логично выглядит) 

 

 

Инкубационный период вирусов, на сегодняшний момент, это норма. Схожая проблема была с другими телефонами, когда вирус активировался примерно через месяц после покупки.

Если Доктор Веб не детектирует данный файл - не могли бы вы прислать нам его на проверку через сайт или приложение (раз вы знаете по детектам других вендоров, что это за файл).

Тогда мы, скорее всего, сможем вам более конструктивно помочь.

Также пришли тогда мне в личку или напишите здесь номер вашего обращения.

[Krage56]

Периодически возникает такая история: Dr Web Light фиксирует угрозу not a virus Adware.Cosiloon.1(Рекламные программы), удаляет её. Но вскоре всё повторяется. Я искал в Сети, но ни одного упоминания про такого рода угрозы. Собственно, как ни одного упоминания, что делать, если такое случилось. Уже ставил полную проверку - "Угроз не обнаружено", но всё равно картина повторяется. Что делать? Подскажите, люди добрые! 

[maxic]

Krage56, адварь (рекламное приложение). Вы даете слишком мало данных. Непонятно, где и как вы ее фиксируете. Вдруг вы руками что-то закачиваете, и в загрузках это дело ловится? Совсем другое дело, если это установленная программа. Ход мысли понятен, я думаю? И. Правильнее все же будет завести свою тему, а не превращать текущую в кашу.

[Alexhhh]

Инкубационный период вирусов, на сегодняшний момент, это норма. Схожая проблема была с другими телефонами, когда вирус активировался примерно через месяц после покупки.
Если Доктор Веб не детектирует данный файл - не могли бы вы прислать нам его на проверку через сайт или приложение (раз вы знаете по детектам других вендоров, что это за файл).
Тогда мы, скорее всего, сможем вам более конструктивно помочь.
Также пришли тогда мне в личку или напишите здесь номер вашего обращения.

 

Извините что долго не отвечал. Вытащил я этот файл. Касперский на ноутбуке его тоже как вирус распознал. Точнее как рекламное приложение)). Архив с файлом прикреплен. Пароль к архиву: 1234

Если это приложение изначально было с вирусом как Вы предполагаете, то скорее всего аналогичное (без вируса) у компании Арк не получить.

 

//Про номер обращения.. Я просто в этой теме участвовал, но официально своего обращения не создавал. 

Прикрепленные файлы:

•  apk.jpg   87,28К   0 Скачано раз

Сообщение было изменено maxic: 27 Апрель 2016 - 21:15

[maxic]

Alexhhh, на форум нельзя прикреплять вирусы! Устное предупреждение пока.

[maxic]

Результат проверки: https://www.virustotal.com/ru/file/6acd9db791d35425a6669759e81bb0fe8db27de6337f2ff04868e43ed8952105/analysis/1461780969/

 

Номер тикета: [drweb.com #6902466]

[Alexhhh]

maxic,  Меня ведь просили прислать через сайт))

 

https://www.virustotal.com/ru/file/6acd9db791d35425a6669759e81bb0fe8db27de6337f2ff04868e43ed8952105/analysis/1461780969/

 

Это все хорошо, только как это поможет?)