- Android.RemoteCode.7559
- Техническая информация
- Рекомендации по лечению
- Демо бесплатно на 14 дней
- Android.RemoteCode.7529
- Техническая информация
- Рекомендации по лечению
- Демо бесплатно на 14 дней
- Android.RemoteCode.117
- Техническая информация
- Рекомендации по лечению
- Демо бесплатно на 14 дней
- Android.RemoteCode.7557
- Техническая информация
- Рекомендации по лечению
- Демо бесплатно на 14 дней
- Android.RemoteCode.197.origin постоянно восстанаыливается
- #1 Wiking007
- #2 Sergey Bespalov
- #3 Wiking007
- #4 Sergey Bespalov
- #5 Wiking007
- #6 Sergey Bespalov
- #7 Sergey Bespalov
- #8 Wiking007
- #9 Wiking007
- #10 Wiking007
- #11 Sergey Bespalov
- #12 Wiking007
- #13 Sergey Bespalov
- #14 Wiking007
- #15 Wiking007
- #16 Wiking007
- #17 Wiking007
- #18 Sergey Bespalov
- #19 Sergey Bespalov
- #20 Wiking007
Android.RemoteCode.7559
Добавлен в вирусную базу Dr.Web: 2021-11-20
Описание добавлено: 2021-11-20
Техническая информация
- UDP(DNS) 8####.8.4.4:53
- TCP(HTTP/1.1) bbq.aa####.cn:80
- TCP(TLS/1.0) 1####.251.39.110:443
- TCP(TLS/1.0) android####.go####.com:443
- TCP(TLS/1.0) safebro####.google####.com:443
- TCP(TLS/1.0) 1####.217.168.202:443
- TCP(TLS/1.0) www.gst####.com:443
- TCP(TLS/1.0) r5—sn####.g####.com:443
- TCP(TLS/1.0) and####.google####.com:443
- TCP(TLS/1.0) p####.google####.com:443
- TCP(TLS/1.0) r3—sn####.g####.com:443
- TCP(TLS/1.2) 1####.250.179.142:443
- TCP(TLS/1.2) 1####.217.168.202:443
- TCP(TLS/1.2) 1####.250.179.195:443
- UDP p####.google####.com:443
- and####.google####.com
- android####.go####.com
- bbq.aa####.cn
- p####.google####.com
- p####.google####.com.####.8
- r3—sn####.g####.com
- r3—sn####.g####.com
- r3—sn####.g####.com.####.8
- r3—sn####.g####.com.####.8
- r5—sn####.g####.com
- safebro####.google####.com
- www.gst####.com
- /data/data/####/.jg.ic
- /data/data/####/classes.dex
- /data/data/####/libjiagu.so
- /data/data/####/libjiagu_64.so
- /data/media/####/.nomedia
Рекомендации по лечению
- Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
- Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
- загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
- после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
- выключите устройство и включите его в обычном режиме.
Демо бесплатно на 14 дней
Выдаётся при установке
© «Доктор Веб»
2003 — 2021
«Доктор Веб» — российский производитель антивирусных средств защиты информации под маркой Dr.Web. Продукты Dr.Web разрабатываются с 1992 года.
125124, Россия, Москва, 3-я улица Ямского поля, д.2, корп.12А
Поздравляем! Обменяйте их на скидку до 50% на покупку Dr.Web.
Скачайте
Dr.Web для Android
- Бесплатно на 3 месяца
- Все компоненты защиты
- Продление демо через
AppGallery/Google Pay
Если Вы продолжите использование данного сайта, это означает, что Вы даете согласие на использование нами Cookie-файлов и иных технологий по сбору статистических сведений о посетителях. Подробнее
Источник
Android.RemoteCode.7529
Добавлен в вирусную базу Dr.Web: 2021-11-07
Описание добавлено: 2021-11-07
Техническая информация
- UDP(DNS) 8####.8.4.4:53
- TCP(HTTP/1.1) n####.oss-cn-####.aliy####.com:80
- TCP(HTTP/1.1) 1####.190.122.47:80
- TCP(HTTP/1.1) n####.b0.a####.com:80
- TCP(TLS/1.0) 1####.251.36.10:443
- TCP(TLS/1.0) 2####.58.214.10:443
- TCP(TLS/1.2) 1####.251.36.10:443
- TCP(TLS/1.2) 2####.58.214.14:443
- TCP(TLS/1.2) 1####.250.179.195:443
- TCP(TLS/1.2) 1####.250.179.142:443
- UDP 2####.58.208.106:443
- UDP 1####.251.36.10:443
- n####.b0.a####.com/update/plugin_sqb_1058a
- n####.oss-cn-####.aliy####.com/api.txt?-92191####
- n####.oss-cn-####.aliy####.com/api.txt?184829####
- /data/data/####/com.ffffffffFff.gaaddfaFf.xml
- /data/data/####/l2j.dex
- /data/data/####/l2j.dex.flock (deleted)
- /data/data/####/l2j.jar
- /data/data/####/proc_auxv
Рекомендации по лечению
- Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
- Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
- загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
- после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
- выключите устройство и включите его в обычном режиме.
Демо бесплатно на 14 дней
Выдаётся при установке
© «Доктор Веб»
2003 — 2021
«Доктор Веб» — российский производитель антивирусных средств защиты информации под маркой Dr.Web. Продукты Dr.Web разрабатываются с 1992 года.
125124, Россия, Москва, 3-я улица Ямского поля, д.2, корп.12А
Поздравляем! Обменяйте их на скидку до 50% на покупку Dr.Web.
Скачайте
Dr.Web для Android
- Бесплатно на 3 месяца
- Все компоненты защиты
- Продление демо через
AppGallery/Google Pay
Если Вы продолжите использование данного сайта, это означает, что Вы даете согласие на использование нами Cookie-файлов и иных технологий по сбору статистических сведений о посетителях. Подробнее
Источник
Android.RemoteCode.117
Добавлен в вирусную базу Dr.Web: 2017-12-19
Описание добавлено: 2017-12-19
Техническая информация
/shared_prefs/MYYR.xml
Рекомендации по лечению
- Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
- Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
- загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
- после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
- выключите устройство и включите его в обычном режиме.
Демо бесплатно на 14 дней
Выдаётся при установке
© «Доктор Веб»
2003 — 2021
«Доктор Веб» — российский производитель антивирусных средств защиты информации под маркой Dr.Web. Продукты Dr.Web разрабатываются с 1992 года.
125124, Россия, Москва, 3-я улица Ямского поля, д.2, корп.12А
Поздравляем! Обменяйте их на скидку до 50% на покупку Dr.Web.
Скачайте
Dr.Web для Android
- Бесплатно на 3 месяца
- Все компоненты защиты
- Продление демо через
AppGallery/Google Pay
Если Вы продолжите использование данного сайта, это означает, что Вы даете согласие на использование нами Cookie-файлов и иных технологий по сбору статистических сведений о посетителях. Подробнее
Источник
Android.RemoteCode.7557
Добавлен в вирусную базу Dr.Web: 2021-11-19
Описание добавлено: 2021-11-19
Техническая информация
- UDP(DNS) 8####.8.4.4:53
- TCP(TLS/1.0) 2####.58.214.10:443
- TCP(TLS/1.0) r5—sn####.g####.com:443
- TCP(TLS/1.0) android####.go####.com:443
- TCP(TLS/1.0) r3—sn####.g####.com:443
- TCP(TLS/1.0) 1####.250.179.206:443
- TCP(TLS/1.0) 1####.217.168.227:443
- TCP(TLS/1.0) 1####.251.39.106:443
- TCP(TLS/1.0) and####.google####.com:443
- TCP(TLS/1.2) 1####.250.179.142:443
- TCP(TLS/1.2) 2####.58.214.10:443
- TCP(TLS/1.2) 1####.250.179.195:443
- UDP r5—sn####.g####.com:443
- TCP 1####.178.89.110:7530
- UDP 1####.251.39.106:443
- and####.google####.com
- android####.go####.com
- r3—sn####.g####.com
- r5—sn####.g####.com
- r5—sn####.g####.com
- /data/data/####/0.dex
- /data/data/####/0.dex.flock (deleted)
- /data/data/####/0.obfedex
- /data/data/####/SmartProxy.xml
- /data/data/####/WebViewChromiumPrefs.xml
- /data/data/####/azsljb.qkxucy.zkoxpvt_preferences.xml
- /data/data/####/index
- /data/data/####/met.dex
- /data/data/####/met.dex.flock (deleted)
- /data/data/####/met.jar
- /data/data/####/metrics_guid
- /data/data/####/the-real-index
- /data/data/####/wsrxfa.dex
- /data/data/####/wsrxfa.dex.flock (deleted)
- /data/data/####/wsrxfa.jar
- /data/misc/####/primary.prof
- AES-CBC-PKCS5Padding
- RSA-ECB-PKCS1Padding
Рекомендации по лечению
- Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
- Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
- загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
- после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
- выключите устройство и включите его в обычном режиме.
Демо бесплатно на 14 дней
Выдаётся при установке
© «Доктор Веб»
2003 — 2021
«Доктор Веб» — российский производитель антивирусных средств защиты информации под маркой Dr.Web. Продукты Dr.Web разрабатываются с 1992 года.
125124, Россия, Москва, 3-я улица Ямского поля, д.2, корп.12А
Поздравляем! Обменяйте их на скидку до 50% на покупку Dr.Web.
Скачайте
Dr.Web для Android
- Бесплатно на 3 месяца
- Все компоненты защиты
- Продление демо через
AppGallery/Google Pay
Если Вы продолжите использование данного сайта, это означает, что Вы даете согласие на использование нами Cookie-файлов и иных технологий по сбору статистических сведений о посетителях. Подробнее
Источник
Android.RemoteCode.197.origin постоянно восстанаыливается
#1 Wiking007
Телефон Nomi I4510, андроид 6.0, прошивка стоковая V11.
Телефон достался б/у, при включении интернета начали постоянно выскакивать всякие рекламные окна, запускаться браузер, ютуб и т.д.
Установил утилиту Dr. web, нашел с десяток зараженных файлов, часть удалил, остальные нет. Установил рут и поудалял все, что нашел, повторная проверка не нашла ни одного вируса. Потом появилось приложение DAdrower, Dr. web нашел заразу Android.RemoteCode.197.origin, в папке или файле com.newspaper.comic, я нашел в телефоне 2 папки с таким названием и удалил. Но это не мешает восстанавливаться этой заразе минут через 5 после удаления.
#2 Sergey Bespalov
Wiking007, скиньте ваши файлы для анализа, например так:
В этой программе переходите на верхний уровень, и архивируете директорию /system, смотрите, что бы архив сохранялся на sd карте, это должно быть прописано в имени архива. (иначе будет ошибка). Поставьте пароль для архива «virus»
2. https://play.google.com/store/apps/details?id=mobi.usage.appbackup
В этой программе делаете бекап всех приложений и архивируете их (с паролем «virus»). Файлы приложений будут находиться примерно по такому пути /storage/sdcard0/Mobi_Usage_AppBackup
3. Загрузите оба архива на файлообменник, например яндекс диск, и киньте сюда ссылку.
#3 Wiking007
С трудом сделал. На телефоне так не привычно) Систем архивировал на нем, но не все папки прочитало, приложения уже на ПК архивировал, на телефоны поврежденный заголовок постоянно.
#4 Sergey Bespalov
Wiking007, Посмотрел прошивку, не понятно какое приложение загружает указанный вами троянец. Проверка файлов в прошивке может занять время.
Пока есть следующие варианты действий.
Не все файлы удалось скопировать. На случай если троянец в каком то из них, то можно переустановить прошивку, снова получить рут, сделать проверку и удалить троянцы (прошивки от этого производителя идут уже с троянцами). https://4pda.ru/forum/index.php?showtopic=779804
Устанавливаете предлагаемый сертификат, запускаете перехват трафика. Когда антивирус задетектит Android.RemoteCode.197.origin то зайдите в это приложение и посмотрите какое из подозрительных приложений, которое вы в этот момент не использовали, скачало примерно 300КБ(рамер троянца). Можете сделать скриншот и выложить сюда. Так же, кликните на сессию, затем кнопку сохранения, затем Save Both (сохранить обе?), и сохраните данные в файл на sd карте. Это может ускорить поиск троянца.
Сообщение было изменено Sergey Bespalov: 12 Апрель 2019 — 17:57
#5 Wiking007
Нашел какой то процесс или что то такое, называется Vich. Перехват трафика во время срабатывания антивируса, показывает только его потребившего кучу трафика, кста ти вирус уже другой качается)
В архиве скриншоты этого Vich, скриншот какого то выруса, который никак не убирается, пока не удалить сам файл и 3 данных из приложения перехвата.
#6 Sergey Bespalov
В терминале нужно ввести команду:
Терминал должен вывести путь к apk файлу с этим приложением.
Запомните путь к файлу, и пришлите этот файл пожалуйста.
Удалить приложение можно введя следующие команды:
Эту команду можно попробовать ввести, даже если apk файл троянца не удалось найти.
Если повезет то троянец должен перестать работать, но его файлы останутся, их можно удалить через файловый менеджер.
Если троянец нашелся и он находится в дирректории /data/app.. то удалить можно такой командой:
В этом случае apk файл троянца удаляется.
Напишите пожалуйста, удалось ли вам найти и удалить троянец.
#7 Sergey Bespalov
Wiking007, Обнаружил что в запросе к серверу, присутствует путь к троянцу: /system/priv-app/Vich8600018.apk . Пришлите его что бы мы могли задетектить.
Еще пришлите файл «pin» если он есть в одной из следующих директорий /system/.pin, /system/xbin/.pin, /su/etc/pin
Сообщение было изменено Sergey Bespalov: 12 Апрель 2019 — 20:26
#8 Wiking007
Файл был в system/priv-app, с терминала не удалился, удалил вручную. Файла pin не нашел, ни поиском ни вручную.
#9 Wiking007
За ночь Dr.Web не зафиксировал ни одного вируса, но файл Vich опять сидел там, где его удалил. Пару раз выскакивало предупреждение Play защиты, так же выскакивала реклама на весь экран. На ночь оставил перехват трафика, там только 2 подозрительных объекта, в одном от имени system размер примерно равен размеру вирусного файла, а второй от имени Менеджер шрифтов чего то шлет на таобао.
#10 Wiking007
Несколько раз удалял Vich, он все равно через время восстанавливается, так же постоянно появляется ярлык H5 GameBox, еще программы всякие ставятся и иногда телефон сам перезагружается. Не могу засечь программой перехвата что их качает(
#11 Sergey Bespalov
Wiking007, Именно та программа «System» указанная на скриншоте загружает троянец Vich. Он был в данных, которые вы скинули.
Но где «System» искать не понятно. Можете скинуть содерждимое нескольких запросов от «System» которые идут перед загрузкой троянца? Возможно там будут данные по которым можно найти его файл.
В содержимом /system, которое вы скинули тот же троянец Vich отсутствовал, хотя он был у вас установлен. Возможно троянец меняет права доступа к файлам, попробуйте скопировать и прислать содержимое папок /system/app, /system/priv-app, /system/bin, /system/xbin, /system/lib, /system/lib64 с помощью проводника использующего рут или полностью директорию /system
Сообщение было изменено Sergey Bespalov: 15 Апрель 2019 — 13:11
#12 Wiking007
Sergey Bespalov, Проблема в том, что не понятно когда оно грузит, постоянно Packet Capture запущенным держать это кучи логов, я уже удалил гугл акк, остановил все службы, что бы уменьшить число логов. Может есть подобная программа с более удобным управлением? Что бы хоть убрать из логов службы того же гугла.
#13 Sergey Bespalov
Wiking007, Там в приложении две кнопки для запуска захвата. Если нажать левую то можно выбрать приложение трафик от которого захватывать. Если там в списке приложений будет «System» то можно попробовать следить только за ним.
#14 Wiking007
Обычно вирусня ставилась по тихому, антивирус молчал, а этой ночью пару раз сработал. Добавил скриншоты)
#15 Wiking007
Появилось приложение com.buddyliky.copr.share, размер 4.38 МБ.
Но в траффике нет такого размера, данный вирус похоже по кусочкам скачивался. Как эти кусочки выложить, их там несколько десятков в логе?
Кстати Dr.Web опознал вирь как Android.Backdoor.719.origin.
#16 Wiking007
Собрал несколько пакетов, те которые просто с цифрами, это когда был закачан com.buddyliky.copr.share, пакеты от имени System, и там несколько пакетов от самого com.buddyliky.copr.share, который похоже закачивает рекламу, так как в некоторых пакетах были картинки. Файлы с буквой a, это закачка сегодня, тоже System, антивирус сообщил о вирусе Android.HiddenAds.415.origin, процесс com.oceans.box.
#17 Wiking007
Сообщение написал, а ссылку забыл)
#18 Sergey Bespalov
Wiking007, Из лога видно что всё плохо. В перехваченных данных загружается большое количество троянцев. И есть например такие запросы:
Похоже что троянец запрашивает данные для отправки sms сообщений. Кроме того есть запросы и скаченные файлы с троянцем который оформлял подписки. Поэтому проверьте у оператора не подписали ли вас на какие то платные подписки. (запросы к хосту *.moceanwp.com)
Вы пробовали делать полную проверку pro версией антивируса с предоставлением root прав? https://play.google.com/store/apps/details?id=com.drweb.pro
Без рута многие разделы антивирусу не доступны, light версия не может работать с root правами. Там есть демо период в 2 недели.
Можно перепрошить устройство, поставить рут и удалить предустановленные троянцы. Скорее всего это поможет.
#19 Sergey Bespalov
Пришлите еще содержимое раздела /sbin
#20 Wiking007
Телефон без симкарт, так что подписок нету. Попробую сделать про версией. Вы знаете какие трояны нужно удалять, если перепрошить? Прошивка стоковая уже с трояном, кастомных на этот аппарат нет, нормальных. Есть официальные старой версии, но там под другую ревизию, есть риск кирпича(
Источник