Перейти к содержимому


Фото

Android.Rootkit.3

/system/xbin/.b /system/xbin/.ext.base android.rootkit root

  • Please log in to reply
11 ответов в этой теме

#1 shrike

shrike

    Newbie

  • Members
  • 2 Сообщений:

Отправлено 02 Сентябрь 2015 - 13:43

Здравствуйте. Где-то в мае на телефоне (Samsung Galaxy xCover2 GT-S7710) установилось приложение iLocker, а также стали произвольно загружаться огромное количество приложений, которые тормозили систему, и все время появлялись рекламные баннеры то на целый экран, то внизу экрана, которые, впрочем, легко закрывались, но сильно раздражали. Был сделан хард ресет, но он не помог, т.к. iLocker остался, и левые приложения продолжали загружаться. Поэтому на лето телефон был благополучно забыт, но сейчас появилась необходимость очистить его от вирусов.

Итак, при первом сканировании Dr.Web Light выдало довольно много вирусов, например, Toorch, Downloader, Backdoor. Был сделан повторный хард ресет, но, естественно, безуспешно. Так как антивирус не очищал и не удалял приложения, и вручную их тоже нельзя было удалить, было решено получить root-права, благо, гарантия на телефон уже просрочена. Через рут была удалена львиная доля всех вирусов, но остались два Android.Rootkit.3 в файлах /system/xbin/.b и /system/xbin/.ext.base (антивирус предлагал либо пропустить, либо отметить, как ложное срабатывание). Пытались удалить файлы через Root Explorer и Root Browser, но безуспешно - все время говорило "сбой при удалении". Все это делалось при выключенном интернете. Когда же включили интернет, то сразу же загрузилось нечто, маскирующееся под CleanMaster. Приложение CleanMaster удалили, но бар в выпадающем меню остался. При нажатии на него и узнавании сведений отсылало не к CleanMaster, а к приложению под названием Sync. Все еще периодически появляются рекламные баннеры.

Что это за вирус и как с ним быть? Заранее спасибо за ответ.



#2 Edward Moskalchuk

Edward Moskalchuk

    Member

  • Virus Analysts
  • 142 Сообщений:

Отправлено 02 Сентябрь 2015 - 14:26

Здравствуйте.

В соседней теме уже обсуждали эту проблему: http://forum.drweb.com/index.php?showtopic=320969#entry780089

Причина сбоя при удалении - особые атрибуты файлов, которые можно снять с помощью утилиты chattr.



#3 shrike

shrike

    Newbie

  • Members
  • 2 Сообщений:

Отправлено 02 Сентябрь 2015 - 18:22

Спасибо за оперативный ответ. Установили Terminal Emulator for Android и добавили туда BusyBox. Через lsattr узнали, что у файлов Флаги iaA. Запустили 

chattr -iaA /system/xbin/.b

но терминал говорит "chattr: setting flags on /system/xbin/.b: Permission denied". То же самое для .ext.base, и файлы все еще неудаляемы. В чем может быть причина? 



#4 l.e.e.

l.e.e.

    Guru

  • Posters
  • 4 789 Сообщений:

Отправлено 02 Сентябрь 2015 - 21:59

Был сделан повторный хард ресет, но, естественно, безуспешно.

Раз уж есть root, то можно в Recovery mode сделать вайпы - wipe cache, wipe dalvik cache.

В TWRP так же доступно меню Fix Permissions – исправить права доступа к файлам и разделам.


Сообщение было изменено l.e.e.: 02 Сентябрь 2015 - 22:02

Сиюминутное Ригпа бессущностно и ясно.

drweb.png


#5 Edward Moskalchuk

Edward Moskalchuk

    Member

  • Virus Analysts
  • 142 Сообщений:

Отправлено 03 Сентябрь 2015 - 13:45

Спасибо за оперативный ответ. Установили Terminal Emulator for Android и добавили туда BusyBox. Через lsattr узнали, что у файлов Флаги iaA. Запустили 

chattr -iaA /system/xbin/.b

но терминал говорит "chattr: setting flags on /system/xbin/.b: Permission denied". То же самое для .ext.base, и файлы все еще неудаляемы. В чем может быть причина? 

 

Перед вызовом chattr нужно ввести команду su, чтобы повысить привилегии до уровня root.



#6 udalov

udalov

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 02 Октябрь 2015 - 07:42

Здравствуйте. Делал всё по пунктам, но атрибуты у файлов не меняются, файлы не получается удалить. Что делал:

1. Получил root;

2. установил эмулятор терминала. При вводе su выводит #, значит, есть root;

3. установил BusyBox;

4. через 

lsattr /system/xbin/.b

 узнал, что у файла атрибуты iaA;

5. снимаю эти атрибуты 

chattr -iaA /system/xbin/.b

6. получаю в ответ: 

chattr : setting flags on /system/xbin/.b: Read-only file system

7. соответственно, удалить тоже не получается, ответ тот же, Read-only file system

rm /system/xbin/.b/

Что я пропускаю или что делаю не так? В Линуксе я почти ноль, так что прошу поподробнее...



#7 I.Zhilyakov

I.Zhilyakov

    Newbie

  • Virus Analysts
  • 54 Сообщений:

Отправлено 02 Октябрь 2015 - 11:02

Попробуйте вначале команды:

su
mount -o remount,rw -t rfs /system

затем то, что вы делали


Сообщение было изменено zhilyakov: 02 Октябрь 2015 - 11:04


#8 udalov

udalov

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 02 Октябрь 2015 - 14:29

Попробуйте вначале команды:

su
mount -o remount,rw -t rfs /system

затем то, что вы делали

 Не помогло... Скорее всего, я упускаю какую то мелочь. Вот из посты выше это  - это как сделать? В смысле - как добавить в терминал BusyBox? 

 

 

Установили Terminal Emulator for Android и добавили туда BusyBox


#9 Edward Moskalchuk

Edward Moskalchuk

    Member

  • Virus Analysts
  • 142 Сообщений:

Отправлено 02 Октябрь 2015 - 17:16

Не помогло... Скорее всего, я упускаю какую то мелочь. 

 

Что выдаёт команда "mount -o remount,rw /system"?


Сообщение было изменено Edward Moskalchuk: 02 Октябрь 2015 - 17:16


#10 udalov

udalov

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 02 Октябрь 2015 - 19:06

 

Не помогло... Скорее всего, я упускаю какую то мелочь. 

 

Что выдаёт команда "mount -o remount,rw /system"?

 

Ничего не выдаёт  :(



#11 Edward Moskalchuk

Edward Moskalchuk

    Member

  • Virus Analysts
  • 142 Сообщений:

Отправлено 02 Октябрь 2015 - 21:23

Ничего не выдаёт  :(

 

Это значит, что она сработала, иначе выдала бы ошибку. Дальше "chattr -ia /system/xbin/.b" и "rm /system/xbin/.b".



#12 udalov

udalov

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 04 Октябрь 2015 - 08:15

 

Ничего не выдаёт  :(

 

Это значит, что она сработала, иначе выдала бы ошибку. Дальше "chattr -ia /system/xbin/.b" и "rm /system/xbin/.b".

 

Ура, всё получилось. Файлы, которые DrWeb определял как вирусы и не мог удалить, удалил через терминал.

Но оказалось, что планшет зачищен не до конца... Всё поудалял, просканировал антивирусом - всё чисто. Включил Wi-Fi - и опять полезли программы, на которые DrWeb начал ругаться...





Читают тему: 1

0 пользователей, 1 гостей, 0 скрытых