19 ответов в этой теме

[alepol]

Подскажите, как удалить Android.DownLoader.353.origin из папки system/priv-app/settings.apk. На смартфоне есть рут и платная версия Dr.Web

[Sergey Bespalov]

Подскажите, как удалить Android.DownLoader.353.origin из папки system/priv-app/settings.apk. На смартфоне есть рут и платная версия Dr.Web

 

Данный троян встроен в системное приложение, без котрого ваш смартфон, возможно, перестанет работать. Удалить его можно только поставив чистую прошивку, в которой его нет.
Так же можете прислать файл на анализ, возможно, это ложное срабатывание.

[alepol]

Все файлы setting.apk имеют одно время, возможно вирус был изначально вшит в прошивку или появился после обновления системы. После перезагрузки каждый раз приходится удалять автоматически устанавливающиеся приложения. 

[Sergey Bespalov]

Все файлы setting.apk имеют одно время, возможно вирус был изначально вшит в прошивку или появился после обновления системы. После перезагрузки каждый раз приходится удалять автоматически устанавливающиеся приложения. 

Скорее всего. Этот троян обычно встраивается в приложения, без которых смартфон не может нормально работать. Нужно искать чистую прошивку.

[hazet]

Подскажите, как удалить Android.DownLoader.353.origin из папки system/priv-app/settings.apk. На смартфоне есть рут и платная версия Dr.Web

Судя по всему Ваш аппарат Prestigio 5505 DUO. Так вот, имею такую же проблему. Settings.apk (+Settings.odex)  имея root удалить можно, но пропадет возможность зайти в настройки аппарата.(Пропадет из списка приложений "Настройки",ярлычек Шестеренки,) Пробовал скачивать с офсайта Prestigio нашу прошивку, распаковал ее, вытащил этот файл, проверил, таже "шляпа". Пробовал качать прошивки других версий от сего славного производителя, и там проблем нет, все чисто. Отсюда вывод: Этот косяк на чистой прошивке имеется и что с ним делать не совсем ясно. Если кто в курсе, что можно предпринять по этому вопросу, прошу отписать тута или на 4PDA. Там тоже обсуждается.

P.S. Очень интересный отчет по поводу этого файла, можно глянуть на Virustotal-е (https://www.virustotal.com/ru/file/65d7dc07f680660f0825bec2360fe2d4486ff55265b80371dcefbad2b4747291/analysis/1463771099/), офигенно интересное чтиво получается :-) Особенно в "Сведения о файле".

[hazet]

 

Все файлы setting.apk имеют одно время, возможно вирус был изначально вшит в прошивку или появился после обновления системы. После перезагрузки каждый раз приходится удалять автоматически устанавливающиеся приложения. 

Скорее всего. Этот троян обычно встраивается в приложения, без которых смартфон не может нормально работать. Нужно искать чистую прошивку.

 

Так в этом все дело, что эта гадость, в чистой прошивке с офсайта уже есть.

[hazet]

Все файлы setting.apk имеют одно время, возможно вирус был изначально вшит в прошивку или появился после обновления системы. После перезагрузки каждый раз приходится удалять автоматически устанавливающиеся приложения. 

У меня после перезагрузки никакие приложения не ставятся. Смотрите, что-то еще у Вас сидит. В любом случае отпишитесь как и что. И да, на наш аппарат уже 1.5 года обновы не выходят. Последний раз 09/01/2015 выходилО.

Сообщение было изменено hazet: 20 Май 2016 - 23:10

[Pavel Korban]

 

Подскажите, как удалить Android.DownLoader.353.origin из папки system/priv-app/settings.apk. На смартфоне есть рут и платная версия Dr.Web

Судя по всему Ваш аппарат Prestigio 5505 DUO. Так вот, имею такую же проблему. Settings.apk (+Settings.odex)  имея root удалить можно, но пропадет возможность зайти в настройки аппарата.(Пропадет из списка приложений "Настройки",ярлычек Шестеренки,) Пробовал скачивать с офсайта Prestigio нашу прошивку, распаковал ее, вытащил этот файл, проверил, таже "шляпа". Пробовал качать прошивки других версий от сего славного производителя, и там проблем нет, все чисто. Отсюда вывод: Этот косяк на чистой прошивке имеется и что с ним делать не совсем ясно. Если кто в курсе, что можно предпринять по этому вопросу, прошу отписать тута или на 4PDA. Там тоже обсуждается.

P.S. Очень интересный отчет по поводу этого файла, можно глянуть на Virustotal-е (https://www.virustotal.com/ru/file/65d7dc07f680660f0825bec2360fe2d4486ff55265b80371dcefbad2b4747291/analysis/1463771099/), офигенно интересное чтиво получается :-) Особенно в "Сведения о файле".

 

Можно попробовать обратиться к производителю, с учетом что вирус сидит в стоковой прошивке, но не факт конечно что пойдут на встречу, от компании зависит

[hazet]

Можно попробовать обратиться к производителю, с учетом что вирус сидит в стоковой прошивке, но не факт конечно что пойдут на встречу, от компании зависит

 

Написал в поддержку, ждем ответа. Хотя мне кажется, что ответ будет как обычно,(если вообще будет) типа: Ваша модель устарела еще перед тем, как Вы ее приобрели и вообЧе, отвалите нафиг и купите себе новый аппарат :-). В любом случае отпишусь. Обещают в течении 3-х рабочих дней ответить.

[hazet]

Добрый день,

Гарантировать корректность показаний сторонних антивирусных программ наша служба не может. В случае, если действительно в системный раздел попал некий вирус. Проблема решается путём полной переустановки системы.
Полный образ прошивки пользователям не предоставляется. Данные образы доступны авторизованным сервисным центрам. Для переустановки системы необходимо обратиться в любой из сервисных центров указанных на сайте http://www.prestigio.ru/support/service-centers

С уважением,
Информационная служба поддержки Prestigio.

Отписался  

Слов нет, одни мысли.

[Pavel Korban]

Добрый день,

Гарантировать корректность показаний сторонних антивирусных программ наша служба не может. В случае, если действительно в системный раздел попал некий вирус. Проблема решается путём полной переустановки системы.
Полный образ прошивки пользователям не предоставляется. Данные образы доступны авторизованным сервисным центрам. Для переустановки системы необходимо обратиться в любой из сервисных центров указанных на сайте http://www.prestigio.ru/support/service-centers

С уважением,
Информационная служба поддержки Prestigio.

Отписался  

Слов нет, одни мысли.

Печально... =)

Как вариант Вы можете попробовать перепрошить устройство самостоятельно, если гарантия не волнует, а прошивку на том же 4pda посмотреть, которая без вируса будет

[alepol]

Спасибо, Всем, кто откликнулся. Буду пользоваться смартфоном как есть, пока не надоест. Перепрошивать смысла нет, так как hazet пишет выше, что стоковая прошивка  с офсайта Prestigio не лишена вируса.

[hazet]

 

 

Печально... =)

Как вариант Вы можете попробовать перепрошить устройство самостоятельно, если гарантия не волнует, а прошивку на том же 4pda посмотреть, которая без вируса будет

Да, действительно печально, а на сайте 4pda, такая же прошивка, тоже сидит эта гадость. Но есть там Cyanogenmod 12.1 на наш аппарат, с Android 5.1.1. Она без вирусни, я проверял.

[hazet]

 

Спасибо, Всем, кто откликнулся. Буду пользоваться смартфоном как есть, пока не надоест. Перепрошивать смысла нет, так как hazet пишет выше, что стоковая прошивка  с офсайта Prestigio не лишена вируса.

 

alepo, Вы не пропадайте с форума хотя-бы еще недельку. Мы тут воюем потихоньку с поддержкой. Так как аппараты наши еще в полном ходу. Посмотрим что полуциТЦа :-). Если что, прошьемся Cyanogenmod-ом с 4pda, там вируса нету. Есть еще надежда на старую версию прошивки. Я на форумах поспрашал, может кто нить выложит. Или поддержку Prestigio доканаем и они сами поправят. ;-) Вобщем будем подождать как говорится.

[maxic]

Предлагаю перенести личную переписку в приват.

[hazet]

Предлагаю перенести личную переписку в приват.

Фи!!! Напраслина.

Договорился с фирменным сервисом из списка Prestigio. Завтра еду к ним. Слямзю прошивку, проверю, если все чисто, отпишусь или всераМно отпишусь. :-)

Сообщение было изменено hazet: 25 Май 2016 - 18:46

[Mr.Snipfold]

У меня такой же вирус в стоке на аппарате Micromax A104 Canvas Fire 2

Стоял Drweb Light 9, рута не было, на чистую прошивку поставлен Веб лайт 9, через 2 месяца приносят этот агрегат в хлам разбитый вирусами и троянами, Дрвеб постоянно сигналит "перезарядкой  ружья :)" а сделать ничего не может, более 100 вирусов и троянов прилетело - это при условии что СпайдерГуард постоянно активен.

Как такое могло произойти???

Сейчас опять перешил и поставил веба, посмотрим, на сколько его хватит, а чтобы веб мог прибивать системные вирусы и трояны, сделал рут.

[TASS]

а чтобы веб мог прибивать системные вирусы и трояны, сделал рут.

Рут - небезопасно!

А если вместо рута установить платный Dr.Web Security Space для Android?

 

P.S. В бесплатной лицензии Dr.Web для Android Light отсутствуют все компоненты, кроме Антивируса.

Сообщение было изменено TASS: 02 Июль 2016 - 16:36

[Mr.Snipfold]

Рут - небезопасно!

Сам факт того, что в стоковой прошивке сидит троян - это совсем небезопасно.

Я нашел более радикальное решение.

Для начала засунул модуль с трояном в дизассемблер и вот что обнаружил:

CODE:0016D598 .line 488
CODE:0016D598 const-string v0, aHttpT_app21_cn # "http://t.app21.cn:7010/sreg?p=%s"
CODE:0016D59C new-array v1, v5, <t: Object[]>
CODE:0016D5A0 iget-object v3, this, d_d
CODE:0016D5A4 invoke-static {v3, v2}, <ref h.a(ref, ref) h_a@LLL>
CODE:0016D5AA move-result-object v2
CODE:0016D5AC aput-object v2, v1, v6
CODE:0016D5B0 invoke-static {v0, v1}, <ref String.format(ref, ref) imp. @ _def_String_format@LLL>
CODE:0016D5B6 move-result-object v0
CODE:0016D5B8
CODE:0016D5B8 locret:
CODE:0016D5B8 return-object v0

Тоесть приложение ходит на китайский сайт через порт 7010 и оттуда
что-то тянет.

Лечение простое, я просто затираю ссылку или порчу ее, например заменив app21.cn на app21.ru

Затем пролеченный модуль запаковываю обратно в прошивку и перешиваю, это не сложно.

 

Детальный анализ зараженного модуля позволил выявить еще 2 подозрительные ссылки, их всего 3 в этом трояне, вот они:

http://hlife.cc/appsquare/rest/app/23
http://s.angelpush.com:9030/msg
http://t.app21.cn:7010/sreg?p=%s

 

Я думаю такой вариант лечения самый оптимальный.

Сейчас проблемный аппарат отдал клиенту, если будет повторное (вернее в третий раз) заражение то буду лечить вышеуказанным способом.

Цианоген ставить не хочу, в нем много аппаратных багов.

Сообщение было изменено Mr.Snipfold: 02 Июль 2016 - 18:57

[Mr.Snipfold]

Еще один вариант лечения в hosts смартфона добавить три строчки:

 

127.0.0.1 hlife.cc
127.0.0.1 s.angelpush.com
127.0.0.1 t.app21.cn