Перейти к содержимому


Фото

Android.RemoteCode.197.origin постоянно восстанаыливается


  • Please log in to reply
58 ответов в этой теме

#1 Wiking007

Wiking007

    Newbie

  • Posters
  • 34 Сообщений:

Отправлено 11 Апрель 2019 - 18:09

Здравствуйте.

Телефон Nomi I4510, андроид 6.0, прошивка стоковая V11.

Телефон достался б/у, при включении интернета начали постоянно выскакивать всякие рекламные окна, запускаться браузер, ютуб и т.д.

Установил утилиту Dr. web, нашел с десяток зараженных файлов, часть удалил, остальные нет. Установил рут и поудалял все, что нашел, повторная проверка не нашла ни одного вируса. Потом появилось приложение DAdrower, Dr. web нашел заразу Android.RemoteCode.197.origin, в папке или файле com.newspaper.comic, я нашел в телефоне 2 папки с таким названием и удалил. Но это не мешает восстанавливаться этой заразе минут через 5 после удаления.



#2 Sergey Bespalov

Sergey Bespalov

    Member

  • Virus Analysts
  • 344 Сообщений:

Отправлено 11 Апрель 2019 - 18:43

Wiking007, скиньте ваши файлы для анализа, например так:

 

 

1. https://play.google.com/store/apps/details?id=com.rarlab.rar

В этой программе переходите на верхний уровень, и архивируете директорию /system, смотрите, что бы архив сохранялся на sd карте, это должно быть прописано в имени архива. (иначе будет ошибка). Поставьте пароль для архива "virus"
2. https://play.google.com/store/apps/details?id=mobi.usage.appbackup

В этой программе делаете бекап всех приложений и архивируете их (с паролем "virus"). Файлы приложений будут находиться примерно по такому пути /storage/sdcard0/Mobi_Usage_AppBackup
3. Загрузите оба архива на файлообменник, например яндекс диск, и киньте сюда ссылку.



#3 Wiking007

Wiking007

    Newbie

  • Posters
  • 34 Сообщений:

Отправлено 11 Апрель 2019 - 21:16

С трудом сделал. На телефоне так не привычно) Систем архивировал на нем, но не все папки прочитало, приложения уже на ПК архивировал, на телефоны поврежденный заголовок постоянно.

 

https://drive.google.com/drive/folders/1WtYegQ0uk-_fPBwXuVVsqtUoslbYvSvL?usp=sharing



#4 Sergey Bespalov

Sergey Bespalov

    Member

  • Virus Analysts
  • 344 Сообщений:

Отправлено 12 Апрель 2019 - 17:42

Wiking007, Посмотрел прошивку, не понятно какое приложение загружает указанный вами троянец. Проверка файлов в прошивке может занять время.

Пока есть следующие варианты действий.

Не все файлы удалось скопировать. На случай если троянец в каком то из них, то можно переустановить прошивку, снова получить рут, сделать проверку и удалить троянцы (прошивки от этого производителя идут уже с троянцами). https://4pda.ru/forum/index.php?showtopic=779804

Можете поставить приложение для перехвата трафика: https://play.google.com/store/apps/details?id=app.greyshirts.sslcapture&showAllReviews=true

Устанавливаете предлагаемый сертификат, запускаете перехват трафика. Когда антивирус задетектит Android.RemoteCode.197.origin то зайдите в это приложение и посмотрите какое из подозрительных приложений, которое вы в этот момент не использовали, скачало примерно 300КБ(рамер троянца). Можете сделать скриншот и выложить сюда. Так же, кликните на сессию, затем кнопку сохранения, затем Save Both (сохранить обе?), и сохраните данные в файл на sd карте. Это может ускорить поиск троянца.


Сообщение было изменено Sergey Bespalov: 12 Апрель 2019 - 17:57


#5 Wiking007

Wiking007

    Newbie

  • Posters
  • 34 Сообщений:

Отправлено 12 Апрель 2019 - 19:16

Нашел какой то процесс или что то такое, называется Vich. Перехват трафика во время срабатывания антивируса, показывает только его потребившего кучу трафика, кста ти вирус уже другой качается)

В архиве скриншоты этого Vich, скриншот какого то выруса, который никак не убирается, пока не удалить сам файл и 3 данных из приложения перехвата.

https://drive.google.com/file/d/11On5EFI4IvpctLMjDiofSehJoWMdgIdh/view



#6 Sergey Bespalov

Sergey Bespalov

    Member

  • Virus Analysts
  • 344 Сообщений:

Отправлено 12 Апрель 2019 - 20:00

Wiking007,

Терминал:

https://play.google.com/store/apps/details?id=jackpal.androidterm

В терминале нужно ввести команду:
 

pm list packages -f | grep cnn.flush.vichs.dms.acty

Терминал должен вывести путь к apk файлу с этим приложением.

Запомните путь к файлу, и пришлите этот файл пожалуйста.

Удалить приложение можно введя следующие команды:

su  //будет запрос на предоставление рут прав
pm uninstall -k --user 0 cnn.flush.vichs.dms.acty

Эту команду можно попробовать ввести, даже если apk файл троянца не удалось найти.

Если повезет то троянец должен перестать работать, но его файлы останутся, их можно удалить через файловый менеджер.

Если троянец нашелся и он находится в дирректории /data/app.. то удалить можно такой командой:

su  //будет запрос на предоставление рут прав
pm uninstall cnn.flush.vichs.dms.acty

В этом случае apk файл троянца удаляется.

 

Напишите пожалуйста, удалось ли вам найти и удалить троянец.



#7 Sergey Bespalov

Sergey Bespalov

    Member

  • Virus Analysts
  • 344 Сообщений:

Отправлено 12 Апрель 2019 - 20:21

Wiking007, Обнаружил что в запросе к серверу, присутствует путь к троянцу: /system/priv-app/Vich8600018.apk . Пришлите его что бы мы могли задетектить.

 

Еще пришлите файл "pin" если он есть в одной из следующих директорий /system/.pin, /system/xbin/.pin, /su/etc/pin


Сообщение было изменено Sergey Bespalov: 12 Апрель 2019 - 20:26


#8 Wiking007

Wiking007

    Newbie

  • Posters
  • 34 Сообщений:

Отправлено 12 Апрель 2019 - 23:23

https://drive.google.com/open?id=1kJKwPQ10zqa90fuNJRuE_U2RnVdHDjSz

 

Файл был в system/priv-app, с терминала не удалился, удалил вручную. Файла pin не нашел, ни поиском ни вручную.



#9 Wiking007

Wiking007

    Newbie

  • Posters
  • 34 Сообщений:

Отправлено 13 Апрель 2019 - 12:07

За ночь Dr.Web не зафиксировал ни одного вируса, но файл Vich опять сидел там, где его удалил. Пару раз выскакивало предупреждение Play защиты, так же выскакивала реклама на весь экран. На ночь оставил перехват трафика, там только 2 подозрительных объекта, в одном от имени system размер примерно равен размеру вирусного файла, а второй от имени Менеджер шрифтов чего то шлет на таобао.

https://drive.google.com/open?id=1huESPFIDRYBIJHZaq0RanfUuBj1_pscN



#10 Wiking007

Wiking007

    Newbie

  • Posters
  • 34 Сообщений:

Отправлено 15 Апрель 2019 - 12:55

Несколько раз удалял Vich, он все равно через время восстанавливается, так же постоянно появляется ярлык H5 GameBox, еще программы всякие ставятся и иногда телефон сам перезагружается. Не могу засечь программой перехвата что их качает(



#11 Sergey Bespalov

Sergey Bespalov

    Member

  • Virus Analysts
  • 344 Сообщений:

Отправлено 15 Апрель 2019 - 13:11

Wiking007, Именно та программа "System" указанная на скриншоте загружает троянец Vich. Он был в данных, которые вы скинули.

Но где "System" искать не понятно. Можете скинуть содерждимое нескольких запросов от "System" которые идут перед загрузкой троянца? Возможно там будут данные по которым можно найти его файл.

 

В содержимом /system, которое вы скинули тот же троянец Vich отсутствовал, хотя он был у вас установлен. Возможно троянец меняет права доступа к файлам, попробуйте скопировать и прислать содержимое папок /system/app, /system/priv-app, /system/bin, /system/xbin, /system/lib, /system/lib64 с помощью проводника использующего рут или полностью директорию /system


Сообщение было изменено Sergey Bespalov: 15 Апрель 2019 - 13:11


#12 Wiking007

Wiking007

    Newbie

  • Posters
  • 34 Сообщений:

Отправлено 15 Апрель 2019 - 13:26

Sergey Bespalov, Проблема в том, что не понятно когда оно грузит, постоянно  Packet Capture запущенным держать это кучи логов, я уже удалил гугл акк, остановил все службы, что бы уменьшить число логов. Может есть подобная программа  с более удобным управлением? Что бы хоть убрать из логов службы того же гугла.



#13 Sergey Bespalov

Sergey Bespalov

    Member

  • Virus Analysts
  • 344 Сообщений:

Отправлено 15 Апрель 2019 - 13:42

Wiking007, Там в приложении две кнопки для запуска захвата. Если нажать левую то можно выбрать приложение трафик от которого захватывать. Если там в списке приложений будет "System" то можно попробовать следить только за ним.



#14 Wiking007

Wiking007

    Newbie

  • Posters
  • 34 Сообщений:

Отправлено 15 Апрель 2019 - 13:47

Обычно вирусня ставилась по тихому, антивирус молчал, а этой ночью пару раз сработал. Добавил скриншоты)

 

https://drive.google.com/open?id=1Db9Jg6aVLill5LHFhDN5hu91tW25pasw



#15 Wiking007

Wiking007

    Newbie

  • Posters
  • 34 Сообщений:

Отправлено 15 Апрель 2019 - 21:39

Появилось приложение com.buddyliky.copr.share, размер 4.38 МБ.

Но в траффике нет такого размера, данный вирус похоже по кусочкам скачивался. Как эти кусочки выложить, их там несколько десятков в логе?

Кстати Dr.Web опознал вирь как Android.Backdoor.719.origin.



#16 Wiking007

Wiking007

    Newbie

  • Posters
  • 34 Сообщений:

Отправлено 16 Апрель 2019 - 11:12

Собрал несколько пакетов, те которые просто с цифрами, это когда был закачан com.buddyliky.copr.share, пакеты от имени System, и там несколько пакетов от самого com.buddyliky.copr.share, который похоже закачивает рекламу, так как в некоторых пакетах были картинки. Файлы с буквой a, это закачка сегодня, тоже  System, антивирус сообщил о вирусе Android.HiddenAds.415.origin, процесс com.oceans.box.



#17 Wiking007

Wiking007

    Newbie

  • Posters
  • 34 Сообщений:

Отправлено 16 Апрель 2019 - 11:23

Сообщение написал, а ссылку забыл)

https://drive.google.com/open?id=1f_ekZL_6oHn1DgLTnPGkXXzTUQlC2g5P



#18 Sergey Bespalov

Sergey Bespalov

    Member

  • Virus Analysts
  • 344 Сообщений:

Отправлено 16 Апрель 2019 - 15:19

Wiking007, Из лога видно что всё плохо. В перехваченных данных  загружается большое количество троянцев. И есть например такие запросы:

POST /sms/searchMess HTTP/1.1
Connection: close
Accept: */*
Content-Length: 263
Content-Type: application/x-www-form-urlencoded
User-Agent: Dalvik/2.1.0 (Linux; U; Android 6.0; Nomi_i4510 Build/MRA58K)
Host: 52.221.7.34:8087
Accept-Encoding: gzip

{"params":"7B442F2BBFE51104F58A1D1C1C51E49F0D72B66D4EE0E9B5DDBFF2D8C3A1D9BC9D52590B7D033187E72D0692FA23C71310EA00F9CF45639B60363C8171540002D9E3D3700EC80D41A2C44A193EDC50DD46DEDAB70010EA
Content-Type: application/json;charset=UTF-8
Transfer-Encoding: chunked
Date: Mon, 15 Apr 2019 15:56:09 GMT
Connection: close
Server: Efun APP 1.0

51
{"state":0,"msg":"SUCCESS","data":{"phoneNum":"","send":"","ip":"xxx.xxx.xxx.xxx"}}
0

Похоже что троянец запрашивает данные для отправки sms сообщений. Кроме того есть запросы и скаченные файлы с троянцем который оформлял подписки. Поэтому проверьте у оператора не подписали ли вас на какие то платные подписки.  (запросы к хосту *.moceanwp.com)

Вы пробовали делать полную проверку pro версией антивируса с предоставлением root прав? https://play.google.com/store/apps/details?id=com.drweb.pro
Без рута многие разделы антивирусу не доступны, light версия не может работать с root правами. Там есть демо период в 2 недели.

Можно перепрошить устройство, поставить рут и удалить предустановленные троянцы. Скорее всего это поможет.



#19 Sergey Bespalov

Sergey Bespalov

    Member

  • Virus Analysts
  • 344 Сообщений:

Отправлено 16 Апрель 2019 - 17:13

Пришлите еще содержимое раздела /sbin



#20 Wiking007

Wiking007

    Newbie

  • Posters
  • 34 Сообщений:

Отправлено 16 Апрель 2019 - 17:20

Sergey Bespalov,

 

Телефон без симкарт, так что подписок нету. Попробую сделать про версией. Вы знаете какие трояны нужно удалять, если перепрошить? Прошивка стоковая уже с трояном, кастомных на этот аппарат нет, нормальных. Есть официальные старой версии, но там под другую ревизию, есть риск кирпича(




Читают тему: 1

0 пользователей, 1 гостей, 0 скрытых