Android backdoor 303 origin как удалить

Android Backdoor Origin — как удалить и чем опасен вирус?

В прошлом году был обнаружен новый вирус под названием Android Backdoor Origin, который установлен по умолчанию в операционной системе Android некоторых смартфонов.

Сотрудники антивирусного программного обеспечения Dr. Web поделились подробностями о новом трояне, а также информацией о том, что необходимо сделать, чтобы удалить Android Backdoor Origin.

Что такое Android Backdoor Origin?

Вирус, который получил полное название Android.Backdoor.114.origin, был обнаружен в середине сентября прошлого года. Сотрудники Dr.Web связались с производителями смартфонов, чтобы они приняли меры по удалению трояна в официальной прошивке. Тем не менее, некоторые устройства все еще заражены.

По словам сотрудников Dr.Web, вредоносная программа была обнаружена внутри планшета Oysters T104 HVi 3G под видом приложения GoogleQuickSearchBox.apk. Должны отметить, что данное приложение поставляется с предварительно установленной версией Android.

Чем опасен Android Backdoor Origin?

Android Backdoor Origin является довольно опасным вирусом, который имеет права суперпользователя. В частности, главная задача трояна заключается в передачи данных об устройстве, а также самом владельце смартфона.

Android Backdoor Origin может получить практически любую информацию, например, MAC адрес устройства, номер модели, список приложений, установленных на устройстве, версию операционной системы и многое другое.

После того, как злоумышленник получил необходимые данные от вируса, он может отправить дополнительные команды, чтобы получить какую-либо выгоду или навредить владельцу устройства.

Как удалить Android Backdoor Origin?

В большинстве случаев, вирус на Android распространяется под видом поддельного приложения, которое пользователь может загрузить с Google Play Store. Вы можете прочитать, как определить поддельное приложение.

Однако, Android Backdoor Origin находится в системе Android еще до того, как пользователь включил его. Иными словами, если вы обнаружили вирус Android Backdoor Origin на своем устройстве, это не ваша вина. Обратитесь к производителю смартфона, чтобы решить проблему.

Если вы хотите удалить Android Backdoor Origin самостоятельно, тогда поищите в интернете, как переустановить прошивку. Используйте только проверенную прошивку, которая получила много положительных отзывов от других пользователей.

Если вы не знаете, как переустанавливать прошивку, тогда обратитесь к специалистам, которые помогут вам сделать это, тем самым удалить Android Backdoor Origin.

Источник

Android.Backdoor.114.origin

Добавлен в вирусную базу Dr.Web: 2015-09-19

Описание добавлено: 2015-09-18

SHA1: 0fa5de0dab4d140d2aaec74279ffbae89ab90429
de52bed8e2c5e0198f379098d4fd3ce433a8d81d

Троянец-бэкдор, работающий на мобильных устройствах под управлением ОС Android. Может распространяться в модифицированных вирусописателями безобидных приложениях, а также быть предустановленным злоумышленниками непосредственно на смартфоны и планшеты, приобретаемые пользователями. Некоторые версии Android.Backdoor.114.origin могут распространяться другими вредоносными программами, в частности, троянцем Android.Backdoor.213.origin, который вначале пытается удалить из системного каталога одно из оригинальных приложений, после чего устанавливает вместо него троянскую версию, содержащую одну из модификаций Android.Backdoor.114.origin.

Читайте также:  Аналоги pcradio для андроид

В зависимости от типа зараженного устройства, а также своей модификации, Android.Backdoor.114.origin собирает и отправляет злоумышленникам следующие данные:

  • («andorid_id», MyUtils.getAndroidId(ctx))) – уникальный идентификатор устройства;
  • («bt_mac», MyUtils.getBluetoothMac())) – MAC-адрес Bluetooth-передатчика;
  • («is_pad», «y» )) – тип зараженного устройства (флаг «y» для планшета и флаг «n» для смартфона);
  • («seq», cf.seq)), («from», cf.from)) – параметры из конфигурационного файла троянца;
  • («mac», MyUtils.getMacAddress(ctx))) – MAC-адрес устройства;
  • («imsi», pad.getIMSI())) – IMSI-идентификатор;
  • («version», «v20140806»)) – версия вредоносного приложения;
  • («android_ver», pad.getSysVersion())) – версия операционной системы;
  • («api_level», String.valueOf(MyUtils.getApiLevel()) – версия API операционной системы;
  • («wifi», «1») – тип сетевого подключения (флаг «1», если подключение произведено по Wi-Fi, в ином случае используется флаг «0»);
  • («apk_name», ApkUtils.getAppName(ctx)) – название программного пакета троянца;
  • («sim_country», pad.getCountry()) – идентификатор страны;
  • («resolution», pad.getResolution())) – разрешение экрана;
  • («brand», pad.getManufacturerName())) – производитель устройства;
  • («model», pad.getModelName())) – название устройства;
  • («sdcard_count_spare», String.valueOf(pad.getSDCardCountSpare()))) – объем занятого места на SD-карте;
  • («sdcard_available_spare», String.valueOf(pad.getSDCardAvailableSpare()))) – доступный объем памяти на SD-карте;
  • («system_count_spare», String.valueOf(pad.getSystemCountSpare()))) – объем занятого места во внутренней памяти устройства;
  • («system_available_spare», String.valueOf(pad.getSystemAvailableSpare()))) – доступный объем встроенной памяти устройства;
  • («sys_apps», MyUtils.getAppListToJson(ctx, MyUtils. getSystemAppList(ctx)))) – список установленных приложений в системном каталоге;
  • («user_apps», MyUtils.getAppListToJson(ctx, MyUtils.getUserAppList(ctx)))) – список приложений, установленных пользователем.

Сбор дополнительных данных для Android-смартфонов:

  • («imei», infos.getIMEI())) – IMEI-идентификатор;
  • («mcc», infos.getMCC())) – специальный код мобильного оператора (Mobile Country Code);
  • («mnc», infos.getMNC())) – специальный код мобильного оператора (Mobile Network Code);
  • («operator_name», infos.getNetWorkOperatorName())) – название мобильного оператора.

По команде управляющего сервера троянец способен активировать отключенную опцию установки приложений из непроверенных источников, а также может скачивать, инсталлировать и удалять программы без ведома пользователя.

Источник

Не могу удалить android.backdoor.348.origin

#1 Pust

  • Posters
  • 4 Сообщений:
  • Root права на устройстве DrWeb`у предоставил, он удалил рассадник из 20 вредоносов, а с одним не справился, который после herd reset, снова начинает подгружать своих друзей. Понимаю, что в помощь мне перезаливка прошивки, но хочется решения в рамках антивирусной программы. Спасибо.

    #2 maxic

    Keep yourself alive

  • Moderators
  • 12 598 Сообщений:
  • Pust, то есть определяет, но не удаляет?

    #3 Sergey Bespalov

  • Virus Analysts
  • 396 Сообщений:
  • Pust, что пишет антивирус? Это единственный троян который не удаляется?

    #4 Pust

  • Posters
  • 4 Сообщений:
  • Определяет, пишет, что обнаружен, судя по всему пытается удалить ( появляется сообщение что DrWeb`у даны права рута), но файл остается. Пробовал через es проводник с рут правами, файл удалить не получается. Да, это единственный троян который не поддаётся удалению, но и который подгружает остальные трояны и бэкдоры.

    Читайте также:  Андроид печать по сети

    Путь к файлу таков: /system/app/CertificateInstallerProviders.apk

    #5 Pust

  • Posters
  • 4 Сообщений:
  • Как понимаю из совета из соседного топика http://forum.drweb.com/index.php?showtopic=320969&p=800915, антивирус необходимо научить выполнять подобного рода операции удаления

    #6 Sergey Bespalov

  • Virus Analysts
  • 396 Сообщений:
  • Как понимаю из совета из соседного топика http://forum.drweb.com/index.php?showtopic=320969&p=800915, антивирус необходимо научить выполнять подобного рода операции удаления

    Нет. Security Space это делать умеет.
    Скорее всего у вас вот эта проблема: http://forum.drweb.com/index.php?showtopic=323895&p=796831

    Если у вас есть файл / sbin / e2fsck_guard, то скорее всего это оно.

    #7 Pust

  • Posters
  • 4 Сообщений:
  • Файла такого нет, но технология такая же, откуда-то восстанавливается

    #8 Xbl4

  • Posters
  • 4 Сообщений:
  • Прошу прощения, что вмешиваюсь, но у меня та же проблема.

    /system/app/CertificateinstallerProviders.apk восстанавливается после удаления. Как можно вычислить откуда?

    Посмотрел список запущенных процессов через терминал. процессов очень много. так что какие из них левые не разобрал. очень нужна помощ

    #9 Sergey Bespalov

  • Virus Analysts
  • 396 Сообщений:
  • Xbl4, посмотрите наличие процесса «e2fsck_guard»

    в терминале команда: «ps | grep e2fsck_guard «

    #10 Xbl4

  • Posters
  • 4 Сообщений:
  • Xbl4, посмотрите наличие процесса «e2fsck_guard»

    в терминале команда: «ps | grep e2fsck_guard»

    Такого процесса нет, но скорее всего был. Этот файл я удалил не помню правда где лежал. CertificateInstallerProviders.apk или com.certificateinstaller.providers удаляются антивирусом, но восстанавливаются и тянут за собой всякую дрянь. Не могу понять как вычислить откуда. Прошил бы давно но прошивки на этот апарат нет. Может содержание каких папок выложить или выводы каких команд в терминале?

    #11 Sergey Bespalov

  • Virus Analysts
  • 396 Сообщений:
  • Xbl4, Выложите содержимое папок:

    либо просто всю /system
    куданибудь на яндекс диск в архиве с паролем «virus».

    #12 Xbl4

  • Posters
  • 4 Сообщений:
  • Xbl4, Выложите содержимое папок:

    либо просто всю /system
    куданибудь на яндекс диск в архиве с паролем «virus».

    Спасибо что помогаете. Вот ссылка на system

    #13 Sergey Bespalov

  • Virus Analysts
  • 396 Сообщений:
  • должно помочь удаление следующих файлов:
    /system/bin/.luser/.hu

    Они добавлены в антивирусную базу, и после обновления антивирус должен их удалять.

    Напишите, получилось или нет.

    #14 Xbl4

  • Posters
  • 4 Сообщений:
  • Xbl4,

    должно помочь удаление следующих файлов:
    /system/bin/.luser/.hu

    Они добавлены в антивирусную базу, и после обновления антивирус должен их удалять.

    Напишите, получилось или нет.

    Спасибо огромное, вроде бы помогло. Вот же гадость. Надеюсь не вернётся

    #15 DFS46

  • Posters
  • 14 Сообщений:
  • Sergey Bespalov, Сергей можете более подробно. Почему именно эти папки. Что это за папки. По этому вирусу вообще толком ни чего не нашел. Меня еще одна вещь интересует я его почему то не вижу в списке процессов. И есть ли команда для просмотра процессов запускаемых этим вирусом. К стати эти файлы по хорошему удаляться не хотят.

    Читайте также:  Лучший муз проигрыватель для андроид

    #16 Sergey Bespalov

  • Virus Analysts
  • 396 Сообщений:
  • по хорошему удаляться не хотят.

    как вы их удаляете по хорошему? пробовали перед удалением выполнять «chattr -ia «? Какую ошибку пишет?

    Сделайте полное сканирование антивирусом, так как у вас еще трояны могут быть, и если есть рут, удалите с помощью антивируса. Если эти же файлы у вас не детектятся, то, пожалуста, отправьте на анализ. Если есть подозрение на ложное срабатывание, например никакаких других троянов у вас нет а эти файлы детектятся, то тоже отправьте на анализ.

    Что это за папки.

    Это бинарные файлы. Часть трояна android.backdoor.348.origin из которых он восстанавливается.

    Почему то не вижу в списке процессов. И есть ли команда для просмотра процессов запускаемых этим вирусом.

    ps | grep com.android.providers.certinstaller

    Сообщение было изменено Sergey Bespalov: 11 Октябрь 2016 — 17:35

    #17 DFS46

  • Posters
  • 14 Сообщений:
  • По хорошему это просто средствами Эксплоера. chattr пока не пробовал.

    Полное сканирование делал сидит только 348

    Есть процесс — com.android.providers.certinstaller но из за того что СertificateInstallerProviders.apk пишется не в том порядке слов, то я не стал его пока трогать и решил уточнить , мало ли вдруг он системный какой-нибудь.

    chattr -ia или chattr -iaA .

    Если бы вы посоветовали какой нибудь хороший мануал по командам полный качественный. А то все разбросано по сети. И папки какие от чего. Аообще не могу найти качественной информации по андройдам. Не нравится он мне очень и гугл тоже. Шпионаж сплошной.

    #18 Sergey Bespalov

  • Virus Analysts
  • 396 Сообщений:
  • Основные команды те же что на linux

    chattr в стандартный Android не входит. Должна быть установлена busybox https://play.google.com/store/apps/details?id=stericson.busybox&hl=ru

    Возможно у вас его установила программа который вы получали рута, или троян, или производитель, а может у вас ее еще нет.
    Трояны иногда тащат свою версию этой программы.

    Полное сканирование делал сидит только 348

    Выложите содержимое папки /system на яндекс диск в архиве с паролем virus. Я посмотрю какие файлы у вас восстанавливают этот троян и добавлю их в базу, потом антивирус должен будет их сам удалять.

    #19 DFS46

  • Posters
  • 14 Сообщений:
  • Sergey Bespalov, На яндес диск я выложу. Вам потом ссылку нужно как то дать? И папка систем не повредит ли конфиденциальности итд . А то у всех систем и пароль. Ни чего не стечет ни куда ?

    #20 DFS46

  • Posters
  • 14 Сообщений:
  • Sergey Bespalov, Сергей у вас ник неправильный — нет приставки Гений Спасибо вам громадное. Процесс был тот. Остановил — поменял права — удалил.

    должно помочь удаление следующих файлов:
    /system/bin/.luser/.hu снес

    /system/bin/.hulu пропал сам я его не нашел после удаления первого

    /system/xbin/.hulu снес тоже

    Перезагрузил телефон. Все просканировал Вебом, ни чего нет.

    Источник

    Оцените статью