Перейти к содержимому


Фото

com.google.keyguard Android.Loki.10.origin

Android.Loki com.google.keyguard Android.Loki.10.origin

  • Please log in to reply
34 ответов в этой теме

#1 Udavf

Udavf

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 07 Декабрь 2016 - 17:44

Телефон Jiake V17 Android 4.4.2

Отчистил Xiny и кучу другого мусора

Выкачивается com.android.appkeyguard или com.google.keyguard в /data/app/com.android.appkeyguard-1.apk который веб определяет как Android.Loki.10.origin

После удаления через минуту-другую он скачивается опять

Как мне отследить, что его вытягивает

System.img и data.img по ссылке

Пароль virus

 


Сообщение было изменено maxic: 07 Декабрь 2016 - 17:59


#2 maxic

maxic

    Keep yourself alive

  • Moderators
  • 12 276 Сообщений:

Отправлено 07 Декабрь 2016 - 17:59

Ссылка удалена. Кому нужно - тот уже скачал.

#3 I.Zhilyakov

I.Zhilyakov

    Newbie

  • Virus Analysts
  • 54 Сообщений:

Отправлено 07 Декабрь 2016 - 19:29

Добрый день, в присланном вами архиве уже детектируется

/system/bin/systemprovidersserver2 как Android.BackDoor.271
/data/usr/.dn/.kap.fl - Android.Loki.10.origin

Кроме этого, были добавлены и станут детектироваться с ближайшим обновлением баз:

/system/bin/xalco - Android.Loki.31

/system/lib/libwgr.so - Android.Loki.30

Одним из компонентов трояна была модифицирована стандартная системная библиотека, в результате чего удаление /system/lib/libwgr.so приведет к окирпичиванию устройства. Так что в вашем случае правильным решением проблемы будет перепрошивка устройства.


Сообщение было изменено I.Zhilyakov: 07 Декабрь 2016 - 19:32


#4 Udavf

Udavf

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 07 Декабрь 2016 - 22:07

Одним из компонентов трояна была модифицирована стандартная системная библиотека, в результате чего удаление /system/lib/libwgr.so приведет к окирпичиванию устройства. Так что в вашем случае правильным решением проблемы будет перепрошивка устройства.

Это /system/lib/libc.so, или какая, просто прошивки нормальной нет, мне хочется с этой что-либо делать



#5 maxic

maxic

    Keep yourself alive

  • Moderators
  • 12 276 Сообщений:

Отправлено 07 Декабрь 2016 - 22:38

Вроде всё очевидно?

 

"/system/lib/libwgr.so - Android.Loki.30 Одним из компонентов трояна была модифицирована стандартная системная библиотека, в результате чего удаление /system/lib/libwgr.so приведет к окирпичиванию устройства."


Сообщение было изменено maxic: 07 Декабрь 2016 - 22:38


#6 Udavf

Udavf

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 07 Декабрь 2016 - 22:54

Вроде всё очевидно?

 

"/system/lib/libwgr.so - Android.Loki.30 Одним из компонентов трояна была модифицирована стандартная системная библиотека, в результате чего удаление /system/lib/libwgr.so приведет к окирпичиванию устройства."

Я понимаю что это значит, я спросил, какую именно он пропатчил, это оказалась liblog.so, теперь у меня вопрос, если у него есть время ответить, как он нашел, и есть ли еще какие-либо модифицированые


Сообщение было изменено Udavf: 07 Декабрь 2016 - 22:54


#7 Sergey Bespalov

Sergey Bespalov

    Member

  • Virus Analysts
  • 342 Сообщений:

Отправлено 08 Декабрь 2016 - 10:16

Udavf, Троян прописывает себя в зависимости системной либы из-за чего после его удаления начнуться проблемы и телефон не загрузится. Можете попробовать копировать какую-нибудь безвредную либу из /system/lib, назвать ее как троян "libwgr.so" и заменить троян на неё. Тогда, скорее всего, всё будет работать.

Проверьте права доступа на копированную либу, если они окажутся не правильными то телефон может не загрузится. Обычно chmod 644.


Сообщение было изменено Sergey Bespalov: 08 Декабрь 2016 - 10:27


#8 Udavf

Udavf

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 08 Декабрь 2016 - 12:04

Udavf, Троян прописывает себя в зависимости системной либы из-за чего после его удаления начнуться проблемы и телефон не загрузится. Можете попробовать копировать какую-нибудь безвредную либу из /system/lib, назвать ее как троян "libwgr.so" и заменить троян на неё. Тогда, скорее всего, всё будет работать.

Проверьте права доступа на копированную либу, если они окажутся не правильными то телефон может не загрузится. Обычно chmod 644.

Спасибо большое за помощь, возьму на заметку этот вариант, он прописал себя в зависимости к liblog.so, я удалил libwgr.so, подкинул чистую liblog.so с прошивки от jiake m8, прокатило

Телефон отстоял всю ночь с подключенным интернетом, все чисто



#9 VicheT

VicheT

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 08 Декабрь 2016 - 21:51

У меня примерно такая же проблема. Телефон Lenovo P70-A, Android 4.4.4, очистил от кучи вирусов, однако постоянно устанавливается приложение com.google.keyguard (Android.Loki.10.origin) и начинает скачивать мусор. Путь к апк: /data/app/com.android.appkeyguard-1.apk. Как мне избавиться от этого?



#10 Udavf

Udavf

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 08 Декабрь 2016 - 22:24

 

У меня примерно такая же проблема. Телефон Lenovo P70-A, Android 4.4.4, очистил от кучи вирусов, однако постоянно устанавливается приложение com.google.keyguard (Android.Loki.10.origin) и начинает скачивать мусор. Путь к апк: /data/app/com.android.appkeyguard-1.apk. Как мне избавиться от этого?

Самый простой вариант - прошить

Второй - получить рут, поставить DrWeb, и почистить



#11 VicheT

VicheT

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 08 Декабрь 2016 - 22:53

Второй - получить рут, поставить DrWeb, и почистить

Получил рут, поставил веб, почистил - не помогло. Поэтому я здесь



#12 I.Zhilyakov

I.Zhilyakov

    Newbie

  • Virus Analysts
  • 54 Сообщений:

Отправлено 09 Декабрь 2016 - 08:50

VicheT, нужен бекап /system

#13 VicheT

VicheT

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 09 Декабрь 2016 - 21:46

Вот бэкап: http://dropmefiles.com/0wU9Q



#14 I.Zhilyakov

I.Zhilyakov

    Newbie

  • Virus Analysts
  • 54 Сообщений:

Отправлено 12 Декабрь 2016 - 16:28

VicheT, если есть возможность, то также советую перепрошить устройство.
Были добавлены и станут детектироваться с ближайшим обновлением баз:
/system/bin/helperd_server - Android.Rootkit.53
/system/xbin/.hulu - Android.Rootkit.52
Так же эти файлы могут дублироваться в /sbin/

/system/lib/libblwgrb.so - Android.Loki.33,
была добавлена в зависимости к стандартной libcutils.so. Перед удалением нужно заменить libcutils.so на не инфицированную версию. Иначе удаление приведет к окирпичиванию устройства. 
Повторюсь, вернее будет перепрошить устройство.



#15 VicheT

VicheT

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 12 Декабрь 2016 - 20:57

Попробовал заменить libcutils.so (взял с другого такого же телефона) - получил кирпич. Перепрошил, теперь всё ок.

Большое спасибо за информацию!



#16 Новичокс

Новичокс

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 18 Декабрь 2016 - 14:20

Здравствуйте, обращаюсь к вам за помощью, так как столкнулся с похожей проблемой. На китайской копии samsung оказалась предустановленна прошивка со встроенным вирусом Loki, найти чистой прошивки мне так и не удалось, все доступные на просторах инета с подобной же проблемой. Установив dr.web и почистив от вирусов все что было возможно удалить, я столкнулся с такой проблемой, библиотеку зараженную вирусом я определил, но при замене ее на другую (путем удаления из бекапа прошивки и записи новой библиотеки под тем же именем, а потом прошивки уже измененного бекапа) телефон не загружает даже заставку. Подскажите мне пожалуйста как и с помощью каких инструментариев мне можно отследить зависимости данной зараженной lib, дабы попробовать найти непатченную библиотеку и заменить ее, а вирус благополучно удалить как описал выше Udavf



#17 Новичокс

Новичокс

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 18 Декабрь 2016 - 17:51

Немного дополню, возможно вам будет удобнее ответить на мой вопрос имея образ системы, вот ссылка https://yadi.sk/d/Z5ln1C-j33xHhk

Файл определенный антивирусом как зараженный liblvg.so, при попытке замены его другой библиотекой, телефон не загружается вовсе.



#18 I.Zhilyakov

I.Zhilyakov

    Newbie

  • Virus Analysts
  • 54 Сообщений:

Отправлено 18 Декабрь 2016 - 18:36

Добрый день, для начала попробуйте вычистить все уже детектируемые файлы:
/system/app/com.andriod.google.view0114.apk - Android.DownLoader.688

/system/app/FlashLight.apk - Android.Triada.42.origin

/system/app/GoogleSearchWidgetCryptPlug_04.apk - Android.DownLoader.464.origin

/system/app/GoogleSearchWidgetCryptPlug_06.apk - Android.HiddenAds.31.origin

/system/app/mopoui.locker.s5_v1.018_20150402_android4.2_circle_1610--xinsheng.apk - Android.Xiny.79

Модифицирована у вас была так же liblog.so, после замены не забудьте дать ей права: 

chmod 644 liblog.so



#19 Новичокс

Новичокс

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 18 Декабрь 2016 - 19:15

Спасибо за столь быстрый ответ, но вышеописанные действия я уже произвел и всё, что не касалось lib файлов, в системе почистил. На данный момент у меня проблема именно  с невозможностью удаления зараженной библиотеки liblvg.so. Хотелось бы уточнить еще вот какой момент, замена модифицированной библиотеки liblog.so возможна из любой прошивки версии андроид КК, либо же необходимо так же учитывать процессор и что-то другое при выборе прошивки донора, т.к. все родные прошивки уже заражены данным вирусом и подбирать мне придется в любом случае, вот и хотелось бы немного сузить область поиска.



#20 Новичокс

Новичокс

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 18 Декабрь 2016 - 19:18

И еще хотел уточнить, каким образом мне выставлять права на новую библиотеку, если я собираюсь сначало разобрать system.img на компе, внести изменения, а потом опять запаковав прошить образ через flashtool. Вот я и не могу пока уяснить каким инструментарием мне на винде можно установить права на новой библиотеке.




Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых