Перейти к содержимому


Фото

Вирусы Android.Triada в ассортименте.


  • Please log in to reply
12 ответов в этой теме

#1 Lamme

Lamme

    Newbie

  • Posters
  • 7 Сообщений:

Отправлено 05 Февраль 2018 - 10:05

Телефон MTS SMART Surf2 4G.

Версия Андроид 6.0

Установлен Dr.Web Light.

 

После полной проверки удалены:

Android.MulDrop.1082 (com.androaid.Setvonds)

Android.Triada.428 (com.andraid.sethc)

Android.HoddenAds.167.origin (adkfaklj.buhusa)

Android.Triada.348.origin (/storage/E0FD-1813/backup/App/com.keone.push.apk)

Android.HoddenAds.167.origin (/storage/E0FD-1813/backup/App/adkfaklj.buhusa.apk)

 

 

Теперь периодически приходят сообщения об угрозе в приложении com.keone.push, вирус Android.Triada.348.origin.

Выбираю "Удалить", но через какое-то время сообщение опять приходит.

 

Можно как-то избавиться от этого радикально?



#2 Lamme

Lamme

    Newbie

  • Posters
  • 7 Сообщений:

Отправлено 05 Февраль 2018 - 16:36

Пока жду ответа появилось еще три сообщения об угрозах:

 

Android.Triada.428 (com.andraid.sethc)

Android.MulDrop.1082 (com.androaid.Setvonds)

Android.HiddenAds.167.origin (adkfaklj.buhusa)

 

Dr.Web все удалил, но, похоже, это не надолго...



#3 Saint-Petersburg

Saint-Petersburg

    Newbie

  • Posters
  • 74 Сообщений:

Отправлено 05 Февраль 2018 - 17:20

По всей видимости антивирус что-то не ловит и этот троян подгружает остальные файлы. Скорее всего аналитики запросят следующее:   

 

1. https://play.google.com/store/apps/details?id=com.rarlab.rar

В этой программе переходите на верхний уровень, и архивируете директорию /system, смотрите, что бы архив сохранялся на sd карте, это должно быть прописано в имени архива. (иначе будет ошибка). Поставьте пароль для архива "virus"
2. https://play.google.com/store/apps/details?id=mobi.usage.appbackup

В этой программе делаете бекап всех приложений и архивируете их (с паролем "virus"). Файлы приложений будут находиться примерно по такому пути /storage/sdcard0/Mobi_Usage_AppBackup
3. Загрузите оба архива на файлообменник, например яндекс диск, и киньте сюда ссылку. Либо, может создать тикет с сылкой на файлы и запостить номер тикета.
создать тикет: https://vms.drweb.ru/sendvirus/?lng=ru


ip9.gif

3fadbf9ddc56.gif

 


#4 Sergey Bespalov

Sergey Bespalov

    Member

  • Virus Analysts
  • 399 Сообщений:

Отправлено 05 Февраль 2018 - 19:38

Lamme,

Пришлите файлы на анализ как указано выше. Скорее всего троян в системном разделе.

Радикально избавиться от вирусов можно перепрошивкой.
посмотрите тему по вашему устройству: https://4pda.ru/forum/index.php?showtopic=783035 .


Сообщение было изменено Sergey Bespalov: 05 Февраль 2018 - 19:39


#5 Lamme

Lamme

    Newbie

  • Posters
  • 7 Сообщений:

Отправлено 06 Февраль 2018 - 03:14

Радикально избавиться от вирусов можно перепрошивкой.
посмотрите тему по вашему устройству

 

Это я читал. Для перепрошивки надо ставить и настраивать программы, в которых я ничего не понимаю. Да и нет никакой гарантии, что все это безобразие не повторится снова.

 

Заархивировал, сделал бекап. Ссылки:

 

system.rar

 

backup

 

Только когда архивировалась папка system, к некоторым вложенным папкам (общим числом 153) было отказано в доступе.


Сообщение было изменено Lamme: 06 Февраль 2018 - 03:16


#6 Sergey Bespalov

Sergey Bespalov

    Member

  • Virus Analysts
  • 399 Сообщений:

Отправлено 07 Февраль 2018 - 15:24

Lamme, На данный момент найден трой в настройках. /system/priv-app/Settings (Android.Lqsoft.1, Android.Lqsoft.4.origin).

Удалять Настройки нельзя. Заблокируйте интернет для приложения "Настройки" (или "Settings")  с помощью фаервола. Он есть в про версии или  скачайте какой нибудь фаервол из маркета, например: https://play.google.com/store/apps/details?id=app.greyshirts.firewall&hl=ru
Только проверьте что он действительно блокирует доступ в сеть. Например заблокируйте интернет для приложения youtube и попробуйте в него зайти и посмотреть видео.
Пишити, если поможет с загрузками.



#7 Lamme

Lamme

    Newbie

  • Posters
  • 7 Сообщений:

Отправлено 07 Февраль 2018 - 22:22

Он есть в про версии

Собственно, я и так хотел купить Pro версию.Но, насколько я понимаю, файрвол только создаст "затычку", а лечение невозможно? Или в перспективе лечение может появиться?

Это я к тому, что мне стоит курить мануалы и готовить перепрошивку или подождать новых разработок Dr.Web?


Сообщение было изменено Lamme: 07 Февраль 2018 - 22:26


#8 pig

pig

    Бредогенератор

  • Helpers
  • 10 852 Сообщений:

Отправлено 07 Февраль 2018 - 22:36

Чистая прошивка - это самый правильный путь.
Почтовый сервер Eserv тоже работает с Dr.Web

#9 Lamme

Lamme

    Newbie

  • Posters
  • 7 Сообщений:

Отправлено 07 Февраль 2018 - 22:44

 

 

Заблокируйте интернет для приложения "Настройки" (или "Settings")

Поставил Pro версию и оплатил лицензию. Во вкладке "Приложения" ни "Настроек", ни "Settings" и вовсе нет. Было какое-то непонятное приложение "Беспроводное обновление", ему я инет запретил.

 

 

Чистая прошивка - это самый правильный путь.

Как-то каждый раз прошивать телефон - так себе идея. Эдак я только этим и буду заниматься.



#10 Sergey Bespalov

Sergey Bespalov

    Member

  • Virus Analysts
  • 399 Сообщений:

Отправлено 08 Февраль 2018 - 13:33

Lamme, Посмотрите внимательенее. Должен быть длинный список системных приложений. В нем и настройки.

Скриншот с примером:

 

Заблокировать доступ можно только сразу всем.

 

Прикрепленные файлы:


Сообщение было изменено Sergey Bespalov: 08 Февраль 2018 - 13:45


#11 Lamme

Lamme

    Newbie

  • Posters
  • 7 Сообщений:

Отправлено 09 Февраль 2018 - 08:45

Посмотрите внимательенее. Должен быть длинный список системных приложений. В нем и настройки.

Да, спасибо, нашел и заблокировал.



#12 Lamme

Lamme

    Newbie

  • Posters
  • 7 Сообщений:

Отправлено 13 Февраль 2018 - 23:38

Что-то блокировка ни хрена не помогает. Как включу "Вай-фай!, так моментом начинают устанавливаться г..оприложения с вирусами. Доктор антивирус их идентифицирует и удаляет, но только постфактум.



#13 Sergey Bespalov

Sergey Bespalov

    Member

  • Virus Analysts
  • 399 Сообщений:

Отправлено 14 Февраль 2018 - 18:35

Lamme,

Выполните пожалуйста действия указанные ниже.

1. Установите приложение: https://play.google.com/store/apps/details?id=app.greyshirts.sslcapture

2. Отключите интернет. Сделайте проверку и удалите вирусы.
3. Запустите приложение Packet Capture, установите предлагаемый сертификат.
4. Включите интернет, перейдите в Packet Capture и нажмите на кнопку в виде зеленого треугольника, что бы начать перехват трафика.
5. Как dr.web задетектит трой, выключите интернет, выключите перехват трафика.

Трояны, которые у вас детектятся весят по 200-300КБ.
6. В Packet Capture посмотрите, какие приложения загружали больше 200КБ. Запомните или заскриньте эти приложения.  Так же, кликните на сессию, затем кнопку сохранения, затем Save Both, и сохраните данные в файл на sd карте.

7. Напишите сюда, какие приложения скачвали большой объеем трафика, и скиньте сохраненные файлы с данными.
Packet Capture можно удалить
 




Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых