Перейти к содержимому


Фото

com.android.Pet.mediaproxy (Android.DownLoader.2623)


  • Please log in to reply
25 ответов в этой теме

#21 MegaDon

MegaDon

    Newbie

  • Posters
  • 16 Сообщений:

Отправлено 12 Сентябрь 2017 - 20:25

К слову об итогах - для борьбы с фоновой загрузкой установкой приложений, засевшей в системе заразы был найден метод, который доказал свою эффективность - нужно в каталоге Android/data на внутреннем и внешнем накопители грохнуть папки com.android.callerid.search.b, com.sherlock.news, com.android.Pet.mediaproxy и com.android.systemui и создать одноимённые файлы - "заглушки", тогда это перекроет кислород вредоносное программное обеспечениеу и не даст загружать файлы и как следствие, устанавливать.

 

Этот метод не панацея, но зато позволяет не использовать дополнительный софт, хотя как по мне, отказываться от NoRoot Firewall было бы неразумно ибо у заразы остаются активными backdoor и чёрт ещё знает какие функции . Правда при использовании NoRoot Firewall уже не воспользуешься другим софтом использующим локальный vpn для редиректа траффика, но это уже другая история.

 

В целом, это всё уже не так важно, ибо производитель таки выкатил прошивку очищенную от заразы (специально проверил /system/app и /system/priv-app - чисто) и как руки дойдут я накачу её (софта очень много и переезд будет нудным и долгим).



#22 MegaDon

MegaDon

    Newbie

  • Posters
  • 16 Сообщений:

Отправлено 07 Октябрь 2019 - 17:51

Решил всё-таки снова написать т.к. судя по всему производитель так и не долечил тогда прошивку и зараза таки осталась, ибо другие пользователи данной модели жалуются на самоустанавливающиеся приложения даже после обновления прошивки и последующего сброса. На ранее используемом смартфоне я проблем с вирусами тогда больше не наблюдал (как и не наблюдает нынешний владелец) т.к. вероятно во время мозгового штурма и комплексной борьбы с заразой я ей перекрыл подступы к интернету или квозможности ставить приложения. Т.к. доступ к гаджету у меня крайне ограничен сделать полный сброс и проверить, осталась ли вирусная активность у меня нет. Посему я решил спросить, могут ли местные специалисты провести аудит прошивки (поверхностный скан ничего не даёт к слову) на предмет заразы, если я предоставлю img контейнеры прошивки переведённые из SPARSE в RAW - формат (можно открыть 7-zip'ом под win или смонтировать под никсами) ?



#23 Sergey Bespalov

Sergey Bespalov

    Member

  • Virus Analysts
  • 344 Сообщений:

Отправлено 08 Октябрь 2019 - 18:59

MegaDon, можно посмотреть. Можно исходный файл прошивки.



#24 MegaDon

MegaDon

    Newbie

  • Posters
  • 16 Сообщений:

Отправлено 09 Октябрь 2019 - 05:19

Тут https://yadi.sk/d/K19oe0YKWJ-vrA прошивка "пролеченная" производителем после первого обращения. Тут  https://yadi.sk/d/-dRTrdZ6rtQGrw тоже самое, но в формате OTA-обновления, распространяется как официальное обновление.
 
Тут https://yadi.sk/d/zK92mp97AjhH-A прошивка выданная в прошлом году после очередного обнаружения заразы по пути /system/bin/fotabinder. Официально там удалён лишь он. Что там на деле ещё могли накуролесить, я хз.

Сообщение было изменено MegaDon: 09 Октябрь 2019 - 05:24


#25 Sergey Bespalov

Sergey Bespalov

    Member

  • Virus Analysts
  • 344 Сообщений:

Отправлено 11 Октябрь 2019 - 13:48

MegaDon, посмотрел эту: https://yadi.sk/d/K19oe0YKWJ-vrA

/system/app/AdupsFota - Android.DownLoader.4687

/system/app/com.tripics.lite - Android.RemoteCode.248.origin

/system/bin/fotabinder - Android.DownLoader.3784.origin

/system/framework/arm/boot.oat - Android.Click.326.origin

/system/priv-app/CleanProcessTool_new - Android.DownLoader.927.origin

/systen/priv-app/Settings - Android.Click.783

/system/vendor/operator/app/ru.appspress.showcase - Adware.Appspress.1.origin

 

Насчет:

/system/framework/arm/boot.oat

/systen/priv-app/Settings -

там троянец, при переходе по ссылке ведущей в Play Market может подменять адрес приложения. Тоесть при переходе по ссылкке открывается страница не того приложения которое должно (в Play Market). Это не удалить, так как без этих файлов система работать не будет.



#26 MegaDon

MegaDon

    Newbie

  • Posters
  • 16 Сообщений:

Отправлено 12 Октябрь 2019 - 10:16

Sergey Bespalov, благодарю. Значит таки зараза осталась, просто мне удалось ей перекрыть кислород (доступ в сеть через AfWall по белому списку, блоки hosts, заморозка/удаление подозрительного софта и т.д.). Для менее опытных пользователей воспроизвести всё это будет крайне проблематично, так что буду снова писать телегу производителю и сошлюсь на данную информацию.


Читают тему: 1

0 пользователей, 1 гостей, 0 скрытых