Android remote code вирус

Android.RemoteCode.7559

Добавлен в вирусную базу Dr.Web: 2021-11-20

Описание добавлено: 2021-11-20

Техническая информация

  • UDP(DNS) 8####.8.4.4:53
  • TCP(HTTP/1.1) bbq.aa####.cn:80
  • TCP(TLS/1.0) 1####.251.39.110:443
  • TCP(TLS/1.0) android####.go####.com:443
  • TCP(TLS/1.0) safebro####.google####.com:443
  • TCP(TLS/1.0) 1####.217.168.202:443
  • TCP(TLS/1.0) www.gst####.com:443
  • TCP(TLS/1.0) r5—sn####.g####.com:443
  • TCP(TLS/1.0) and####.google####.com:443
  • TCP(TLS/1.0) p####.google####.com:443
  • TCP(TLS/1.0) r3—sn####.g####.com:443
  • TCP(TLS/1.2) 1####.250.179.142:443
  • TCP(TLS/1.2) 1####.217.168.202:443
  • TCP(TLS/1.2) 1####.250.179.195:443
  • UDP p####.google####.com:443
  • and####.google####.com
  • android####.go####.com
  • bbq.aa####.cn
  • p####.google####.com
  • p####.google####.com.####.8
  • r3—sn####.g####.com
  • r3—sn####.g####.com
  • r3—sn####.g####.com.####.8
  • r3—sn####.g####.com.####.8
  • r5—sn####.g####.com
  • safebro####.google####.com
  • www.gst####.com
  • /data/data/####/.jg.ic
  • /data/data/####/classes.dex
  • /data/data/####/libjiagu.so
  • /data/data/####/libjiagu_64.so
  • /data/media/####/.nomedia

Рекомендации по лечению

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Демо бесплатно на 14 дней

Выдаётся при установке

© «Доктор Веб»
2003 — 2021

«Доктор Веб» — российский производитель антивирусных средств защиты информации под маркой Dr.Web. Продукты Dr.Web разрабатываются с 1992 года.

125124, Россия, Москва, 3-я улица Ямского поля, д.2, корп.12А

Поздравляем! Обменяйте их на скидку до 50% на покупку Dr.Web.

Скачайте
Dr.Web для Android

  • Бесплатно на 3 месяца
  • Все компоненты защиты
  • Продление демо через
    AppGallery/Google Pay

Если Вы продолжите использование данного сайта, это означает, что Вы даете согласие на использование нами Cookie-файлов и иных технологий по сбору статистических сведений о посетителях. Подробнее

Источник

Android.RemoteCode.7529

Добавлен в вирусную базу Dr.Web: 2021-11-07

Описание добавлено: 2021-11-07

Техническая информация

  • UDP(DNS) 8####.8.4.4:53
  • TCP(HTTP/1.1) n####.oss-cn-####.aliy####.com:80
  • TCP(HTTP/1.1) 1####.190.122.47:80
  • TCP(HTTP/1.1) n####.b0.a####.com:80
  • TCP(TLS/1.0) 1####.251.36.10:443
  • TCP(TLS/1.0) 2####.58.214.10:443
  • TCP(TLS/1.2) 1####.251.36.10:443
  • TCP(TLS/1.2) 2####.58.214.14:443
  • TCP(TLS/1.2) 1####.250.179.195:443
  • TCP(TLS/1.2) 1####.250.179.142:443
  • UDP 2####.58.208.106:443
  • UDP 1####.251.36.10:443
  • n####.b0.a####.com/update/plugin_sqb_1058a
  • n####.oss-cn-####.aliy####.com/api.txt?-92191####
  • n####.oss-cn-####.aliy####.com/api.txt?184829####
  • /data/data/####/com.ffffffffFff.gaaddfaFf.xml
  • /data/data/####/l2j.dex
  • /data/data/####/l2j.dex.flock (deleted)
  • /data/data/####/l2j.jar
  • /data/data/####/proc_auxv

Рекомендации по лечению

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Демо бесплатно на 14 дней

Выдаётся при установке

© «Доктор Веб»
2003 — 2021

«Доктор Веб» — российский производитель антивирусных средств защиты информации под маркой Dr.Web. Продукты Dr.Web разрабатываются с 1992 года.

125124, Россия, Москва, 3-я улица Ямского поля, д.2, корп.12А

Читайте также:  Прошивка для андроид dns airtab

Поздравляем! Обменяйте их на скидку до 50% на покупку Dr.Web.

Скачайте
Dr.Web для Android

  • Бесплатно на 3 месяца
  • Все компоненты защиты
  • Продление демо через
    AppGallery/Google Pay

Если Вы продолжите использование данного сайта, это означает, что Вы даете согласие на использование нами Cookie-файлов и иных технологий по сбору статистических сведений о посетителях. Подробнее

Источник

Android.RemoteCode.117

Добавлен в вирусную базу Dr.Web: 2017-12-19

Описание добавлено: 2017-12-19

Техническая информация

/shared_prefs/MYYR.xml

  • /Android/####/.nomedia
  • /Android/####/journal.tmp
  • Рекомендации по лечению

    1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
    2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
      • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
      • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
      • выключите устройство и включите его в обычном режиме.

    Демо бесплатно на 14 дней

    Выдаётся при установке

    © «Доктор Веб»
    2003 — 2021

    «Доктор Веб» — российский производитель антивирусных средств защиты информации под маркой Dr.Web. Продукты Dr.Web разрабатываются с 1992 года.

    125124, Россия, Москва, 3-я улица Ямского поля, д.2, корп.12А

    Поздравляем! Обменяйте их на скидку до 50% на покупку Dr.Web.

    Скачайте
    Dr.Web для Android

    • Бесплатно на 3 месяца
    • Все компоненты защиты
    • Продление демо через
      AppGallery/Google Pay

    Если Вы продолжите использование данного сайта, это означает, что Вы даете согласие на использование нами Cookie-файлов и иных технологий по сбору статистических сведений о посетителях. Подробнее

    Источник

    Android.RemoteCode.7557

    Добавлен в вирусную базу Dr.Web: 2021-11-19

    Описание добавлено: 2021-11-19

    Техническая информация

    • UDP(DNS) 8####.8.4.4:53
    • TCP(TLS/1.0) 2####.58.214.10:443
    • TCP(TLS/1.0) r5—sn####.g####.com:443
    • TCP(TLS/1.0) android####.go####.com:443
    • TCP(TLS/1.0) r3—sn####.g####.com:443
    • TCP(TLS/1.0) 1####.250.179.206:443
    • TCP(TLS/1.0) 1####.217.168.227:443
    • TCP(TLS/1.0) 1####.251.39.106:443
    • TCP(TLS/1.0) and####.google####.com:443
    • TCP(TLS/1.2) 1####.250.179.142:443
    • TCP(TLS/1.2) 2####.58.214.10:443
    • TCP(TLS/1.2) 1####.250.179.195:443
    • UDP r5—sn####.g####.com:443
    • TCP 1####.178.89.110:7530
    • UDP 1####.251.39.106:443
    • and####.google####.com
    • android####.go####.com
    • r3—sn####.g####.com
    • r5—sn####.g####.com
    • r5—sn####.g####.com
    • /data/data/####/0.dex
    • /data/data/####/0.dex.flock (deleted)
    • /data/data/####/0.obfedex
    • /data/data/####/SmartProxy.xml
    • /data/data/####/WebViewChromiumPrefs.xml
    • /data/data/####/azsljb.qkxucy.zkoxpvt_preferences.xml
    • /data/data/####/index
    • /data/data/####/met.dex
    • /data/data/####/met.dex.flock (deleted)
    • /data/data/####/met.jar
    • /data/data/####/metrics_guid
    • /data/data/####/the-real-index
    • /data/data/####/wsrxfa.dex
    • /data/data/####/wsrxfa.dex.flock (deleted)
    • /data/data/####/wsrxfa.jar
    • /data/misc/####/primary.prof
    • AES-CBC-PKCS5Padding
    • RSA-ECB-PKCS1Padding

    Рекомендации по лечению

    1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
    2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
      • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
      • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
      • выключите устройство и включите его в обычном режиме.

    Демо бесплатно на 14 дней

    Выдаётся при установке

    © «Доктор Веб»
    2003 — 2021

    «Доктор Веб» — российский производитель антивирусных средств защиты информации под маркой Dr.Web. Продукты Dr.Web разрабатываются с 1992 года.

    125124, Россия, Москва, 3-я улица Ямского поля, д.2, корп.12А

    Поздравляем! Обменяйте их на скидку до 50% на покупку Dr.Web.

    Скачайте
    Dr.Web для Android

    • Бесплатно на 3 месяца
    • Все компоненты защиты
    • Продление демо через
      AppGallery/Google Pay

    Если Вы продолжите использование данного сайта, это означает, что Вы даете согласие на использование нами Cookie-файлов и иных технологий по сбору статистических сведений о посетителях. Подробнее

    Источник

    Android.RemoteCode.197.origin постоянно восстанаыливается

    #1 Wiking007

  • Posters
  • 42 Сообщений:
  • Читайте также:  Андроид не видит загруженные файлы

    Телефон Nomi I4510, андроид 6.0, прошивка стоковая V11.

    Телефон достался б/у, при включении интернета начали постоянно выскакивать всякие рекламные окна, запускаться браузер, ютуб и т.д.

    Установил утилиту Dr. web, нашел с десяток зараженных файлов, часть удалил, остальные нет. Установил рут и поудалял все, что нашел, повторная проверка не нашла ни одного вируса. Потом появилось приложение DAdrower, Dr. web нашел заразу Android.RemoteCode.197.origin, в папке или файле com.newspaper.comic, я нашел в телефоне 2 папки с таким названием и удалил. Но это не мешает восстанавливаться этой заразе минут через 5 после удаления.

    #2 Sergey Bespalov

  • Virus Analysts
  • 396 Сообщений:
  • Wiking007, скиньте ваши файлы для анализа, например так:

    В этой программе переходите на верхний уровень, и архивируете директорию /system, смотрите, что бы архив сохранялся на sd карте, это должно быть прописано в имени архива. (иначе будет ошибка). Поставьте пароль для архива «virus»
    2. https://play.google.com/store/apps/details?id=mobi.usage.appbackup

    В этой программе делаете бекап всех приложений и архивируете их (с паролем «virus»). Файлы приложений будут находиться примерно по такому пути /storage/sdcard0/Mobi_Usage_AppBackup
    3. Загрузите оба архива на файлообменник, например яндекс диск, и киньте сюда ссылку.

    #3 Wiking007

  • Posters
  • 42 Сообщений:
  • С трудом сделал. На телефоне так не привычно) Систем архивировал на нем, но не все папки прочитало, приложения уже на ПК архивировал, на телефоны поврежденный заголовок постоянно.

    #4 Sergey Bespalov

  • Virus Analysts
  • 396 Сообщений:
  • Wiking007, Посмотрел прошивку, не понятно какое приложение загружает указанный вами троянец. Проверка файлов в прошивке может занять время.

    Пока есть следующие варианты действий.

    Не все файлы удалось скопировать. На случай если троянец в каком то из них, то можно переустановить прошивку, снова получить рут, сделать проверку и удалить троянцы (прошивки от этого производителя идут уже с троянцами). https://4pda.ru/forum/index.php?showtopic=779804

    Устанавливаете предлагаемый сертификат, запускаете перехват трафика. Когда антивирус задетектит Android.RemoteCode.197.origin то зайдите в это приложение и посмотрите какое из подозрительных приложений, которое вы в этот момент не использовали, скачало примерно 300КБ(рамер троянца). Можете сделать скриншот и выложить сюда. Так же, кликните на сессию, затем кнопку сохранения, затем Save Both (сохранить обе?), и сохраните данные в файл на sd карте. Это может ускорить поиск троянца.

    Сообщение было изменено Sergey Bespalov: 12 Апрель 2019 — 17:57

    #5 Wiking007

  • Posters
  • 42 Сообщений:
  • Нашел какой то процесс или что то такое, называется Vich. Перехват трафика во время срабатывания антивируса, показывает только его потребившего кучу трафика, кста ти вирус уже другой качается)

    В архиве скриншоты этого Vich, скриншот какого то выруса, который никак не убирается, пока не удалить сам файл и 3 данных из приложения перехвата.

    #6 Sergey Bespalov

  • Virus Analysts
  • 396 Сообщений:
  • В терминале нужно ввести команду:

    Терминал должен вывести путь к apk файлу с этим приложением.

    Запомните путь к файлу, и пришлите этот файл пожалуйста.

    Удалить приложение можно введя следующие команды:

    Эту команду можно попробовать ввести, даже если apk файл троянца не удалось найти.

    Если повезет то троянец должен перестать работать, но его файлы останутся, их можно удалить через файловый менеджер.

    Если троянец нашелся и он находится в дирректории /data/app.. то удалить можно такой командой:

    В этом случае apk файл троянца удаляется.

    Напишите пожалуйста, удалось ли вам найти и удалить троянец.

    #7 Sergey Bespalov

  • Virus Analysts
  • 396 Сообщений:
  • Wiking007, Обнаружил что в запросе к серверу, присутствует путь к троянцу: /system/priv-app/Vich8600018.apk . Пришлите его что бы мы могли задетектить.

    Еще пришлите файл «pin» если он есть в одной из следующих директорий /system/.pin, /system/xbin/.pin, /su/etc/pin

    Сообщение было изменено Sergey Bespalov: 12 Апрель 2019 — 20:26

    #8 Wiking007

  • Posters
  • 42 Сообщений:
  • Файл был в system/priv-app, с терминала не удалился, удалил вручную. Файла pin не нашел, ни поиском ни вручную.

    #9 Wiking007

  • Posters
  • 42 Сообщений:
  • За ночь Dr.Web не зафиксировал ни одного вируса, но файл Vich опять сидел там, где его удалил. Пару раз выскакивало предупреждение Play защиты, так же выскакивала реклама на весь экран. На ночь оставил перехват трафика, там только 2 подозрительных объекта, в одном от имени system размер примерно равен размеру вирусного файла, а второй от имени Менеджер шрифтов чего то шлет на таобао.

    Читайте также:  Как пользоваться root explorer для андроид

    #10 Wiking007

  • Posters
  • 42 Сообщений:
  • Несколько раз удалял Vich, он все равно через время восстанавливается, так же постоянно появляется ярлык H5 GameBox, еще программы всякие ставятся и иногда телефон сам перезагружается. Не могу засечь программой перехвата что их качает(

    #11 Sergey Bespalov

  • Virus Analysts
  • 396 Сообщений:
  • Wiking007, Именно та программа «System» указанная на скриншоте загружает троянец Vich. Он был в данных, которые вы скинули.

    Но где «System» искать не понятно. Можете скинуть содерждимое нескольких запросов от «System» которые идут перед загрузкой троянца? Возможно там будут данные по которым можно найти его файл.

    В содержимом /system, которое вы скинули тот же троянец Vich отсутствовал, хотя он был у вас установлен. Возможно троянец меняет права доступа к файлам, попробуйте скопировать и прислать содержимое папок /system/app, /system/priv-app, /system/bin, /system/xbin, /system/lib, /system/lib64 с помощью проводника использующего рут или полностью директорию /system

    Сообщение было изменено Sergey Bespalov: 15 Апрель 2019 — 13:11

    #12 Wiking007

  • Posters
  • 42 Сообщений:
  • Sergey Bespalov, Проблема в том, что не понятно когда оно грузит, постоянно Packet Capture запущенным держать это кучи логов, я уже удалил гугл акк, остановил все службы, что бы уменьшить число логов. Может есть подобная программа с более удобным управлением? Что бы хоть убрать из логов службы того же гугла.

    #13 Sergey Bespalov

  • Virus Analysts
  • 396 Сообщений:
  • Wiking007, Там в приложении две кнопки для запуска захвата. Если нажать левую то можно выбрать приложение трафик от которого захватывать. Если там в списке приложений будет «System» то можно попробовать следить только за ним.

    #14 Wiking007

  • Posters
  • 42 Сообщений:
  • Обычно вирусня ставилась по тихому, антивирус молчал, а этой ночью пару раз сработал. Добавил скриншоты)

    #15 Wiking007

  • Posters
  • 42 Сообщений:
  • Появилось приложение com.buddyliky.copr.share, размер 4.38 МБ.

    Но в траффике нет такого размера, данный вирус похоже по кусочкам скачивался. Как эти кусочки выложить, их там несколько десятков в логе?

    Кстати Dr.Web опознал вирь как Android.Backdoor.719.origin.

    #16 Wiking007

  • Posters
  • 42 Сообщений:
  • Собрал несколько пакетов, те которые просто с цифрами, это когда был закачан com.buddyliky.copr.share, пакеты от имени System, и там несколько пакетов от самого com.buddyliky.copr.share, который похоже закачивает рекламу, так как в некоторых пакетах были картинки. Файлы с буквой a, это закачка сегодня, тоже System, антивирус сообщил о вирусе Android.HiddenAds.415.origin, процесс com.oceans.box.

    #17 Wiking007

  • Posters
  • 42 Сообщений:
  • Сообщение написал, а ссылку забыл)

    #18 Sergey Bespalov

  • Virus Analysts
  • 396 Сообщений:
  • Wiking007, Из лога видно что всё плохо. В перехваченных данных загружается большое количество троянцев. И есть например такие запросы:

    Похоже что троянец запрашивает данные для отправки sms сообщений. Кроме того есть запросы и скаченные файлы с троянцем который оформлял подписки. Поэтому проверьте у оператора не подписали ли вас на какие то платные подписки. (запросы к хосту *.moceanwp.com)

    Вы пробовали делать полную проверку pro версией антивируса с предоставлением root прав? https://play.google.com/store/apps/details?id=com.drweb.pro
    Без рута многие разделы антивирусу не доступны, light версия не может работать с root правами. Там есть демо период в 2 недели.

    Можно перепрошить устройство, поставить рут и удалить предустановленные троянцы. Скорее всего это поможет.

    #19 Sergey Bespalov

  • Virus Analysts
  • 396 Сообщений:
  • Пришлите еще содержимое раздела /sbin

    #20 Wiking007

  • Posters
  • 42 Сообщений:
  • Телефон без симкарт, так что подписок нету. Попробую сделать про версией. Вы знаете какие трояны нужно удалять, если перепрошить? Прошивка стоковая уже с трояном, кастомных на этот аппарат нет, нормальных. Есть официальные старой версии, но там под другую ревизию, есть риск кирпича(

    Источник

    Оцените статью