Перейти к содержимому


Фото

Android.DownLoader.353.origin заразил Settings.apk

Android.DownLoader.353.origin

  • Please log in to reply
7 ответов в этой теме

#1 Stamm

Stamm

    Newbie

  • Posters
  • 6 Сообщений:

Отправлено 01 Июнь 2016 - 10:59

Здравствуйте!

На смартфоне Micromax A104 Canvas 2 после неудачного посещения сайтов с вредоносной рекламой на телефон закачалось 14 вредоносного программного обеспечения.

Среди них не было вируса в Settings.apk. Dr.Web удалил 1 из них, а для остальных потребовался рут. Я его получил. После получения рута и обновления Dr.Web, при повторном сканировании нашелся Android.DownLoader.353.origin в /system/priv-app/Settings.apk и антивирус отказался его удалить с формулировкой:

Dr.Web определил системное приложение /system/priv-app/Settings.apk на вашем устройстве как угрозу, поскольку некоторые его функции характерны для вредоносных программ. Стандартные действия по обезвреживанию угроз неприменимы для системных приложений. Дополнительную информацию см. в Справке Dr.Web.

(Синяя ссылка в сообщении - не открывается).

Остальные вирусы были удалены успешно.

При просмотре папки все файлы имеют дату 12.11.2014, а один Settings.apk - дату заражения.

Попытки найти версию Settings.apk для Android 4.4.2 привели опять на левые сайты с дорвеями редиректов на вредоносы.

На смартфоне есть рут и платная версия Dr.Web.

В аналогичной теме http://forum.drweb.com/index.php?showtopic=324729пришли к выводу, что троян вшит в прошивку с завода. Но Dr.Web не находил его там в течение полугода до этого.

Так же в той теме есть ссылка на virustotal с анализом Settings.apk: https://www.virustotal.com/ru/file/65d7dc07f680660f0825bec2360fe2d4486ff55265b80371dcefbad2b4747291/analysis/1463771099

Но у меня вышли другие результаты: https://www.virustotal.com/ru/file/c46d56e9961b006e12a60677e6bf83e1e68ca970ab24dc62e0f02ae183d45f35/analysis/

Что делать, как лечить? Как вернуть оригинальный Settings.apk или выпилить вредоносное программное обеспечениеный код их имеющегося?

Сообщение было изменено Stamm: 01 Июнь 2016 - 11:00


#2 Ivan Purlats

Ivan Purlats

    Newbie

  • Virus Analysts
  • 57 Сообщений:

Отправлено 01 Июнь 2016 - 11:26

Данное приложение вшито в вашу прошивку, раньше оно не определялось, так как его не было в наших вирусных базах.

Вам следует обратиться к производителю с просьбой исправить проблему, или самостоятельно найти чистую прошивку. Мы не можем удалить данное приложени, так как это может нарушить работу вашего устрйоства



#3 Stamm

Stamm

    Newbie

  • Posters
  • 6 Сообщений:

Отправлено 01 Июнь 2016 - 11:53

Данное приложение вшито в вашу прошивку, раньше оно не определялось, так как его не было в наших вирусных базах.


Иван, правильно ли я Вас понял, что Dr.Web до этого молчал, так как только недавно был добавлен Android.DownLoader.353.origin и это совпало с заражением смартфона, а затем обновлением антивирусных баз и сканированием?

#4 Sergey Bespalov

Sergey Bespalov

    Member

  • Virus Analysts
  • 365 Сообщений:

Отправлено 01 Июнь 2016 - 12:08

 

Данное приложение вшито в вашу прошивку, раньше оно не определялось, так как его не было в наших вирусных базах.


Иван, правильно ли я Вас понял, что Dr.Web до этого молчал, так как только недавно был добавлен Android.DownLoader.353.origin и это совпало с заражением смартфона, а затем обновлением антивирусных баз и сканированием?

 

Здравствуйте. Возможно он был установлен трояном т.к.:
"При просмотре папки все файлы имеют дату 12.11.2014, а один Settings.apk - дату заражения"

Так же, возможно, пришло обновление прошивки, с этим трояном. Вы устанавливали обновления системы?
Но Dr.Web в любом случае не будет его удалять, так как это приложение отвечает за настройки вашего телефона и без него пользоваться телефоном будет проблематично, если он вообще будет работать после удаления. Рекомендуется установить чистую прошивку.


Сообщение было изменено Sergey Bespalov: 01 Июнь 2016 - 12:15


#5 Stamm

Stamm

    Newbie

  • Posters
  • 6 Сообщений:

Отправлено 01 Июнь 2016 - 12:38

Сергей, обновления для смартфона уже давно не выходили. У меня нет явного бэкапа системных файлов. Однако, возможно, есть установочный пакет, который устанавливался как раз через пункт Обновления ПО в Settings.apk.

Кстати, возможен такой сценарий, что Android.Downloader был присвоен как раз за скачку обновления ПО?

Прошивки нашёл на 4pda, но там море вариантов, over 91, есть типа "стоковые". Мне ж нужен всего один файл из неё!

#6 Sergey Bespalov

Sergey Bespalov

    Member

  • Virus Analysts
  • 365 Сообщений:

Отправлено 01 Июнь 2016 - 12:47

Кстати, возможен такой сценарий, что Android.Downloader был присвоен как раз за скачку обновления ПО?

Нет. Он скачивает и устанавливает программы без вашего ведома, либо выдает вам диалог с предложением установить приложение, если у него нет прав root.



#7 Sergey Bespalov

Sergey Bespalov

    Member

  • Virus Analysts
  • 365 Сообщений:

Отправлено 01 Июнь 2016 - 13:15

Прошивки нашёл на 4pda, но там море вариантов, over 91, есть типа "стоковые". Мне ж нужен всего один файл из неё!

Какая вам нужна прошивка лучше спросите на 4pda. Перед установкой проверьте /system/priv-app/Settings.apk на наличие трояна, что бы не поставить то же самое. Как вытащить файл из прошивки: http://4pda.ru/forum/index.php?showtopic=618031



#8 Stamm

Stamm

    Newbie

  • Posters
  • 6 Сообщений:

Отправлено 02 Июнь 2016 - 22:32

Сергей, я скачал прошивку "стоковую" в zip, распаковал его, затем из system.tar.a (просто переименовав в .tar, чтобы подцепил WinRar) вытащил Settings.apk, Settings.odex. Засунул в virustotal Settings.apk, и нате:
https://www.virustotal.com/ru/file/982179e492ddef0d7f7ee54e20805a7ccd55e8f2c170055635e00d6789bf5def/analysis/1464893918/

Файл другой, вирус тот же. Неужели на свете так мало владельцев Micromax A104 пользуются Dr.Web и 4.4.2 и не сталкиваются с проблемами?

Сообщение было изменено Stamm: 02 Июнь 2016 - 22:34



Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых