Androidデバイスのウイルス(Ghost Push)をクリーンアップする過程を覚えています.

3455 ワード

設備:マイラーM 9
OS:Android 4.2.2
ファームウェアバージョン:V 3.4.5
20161103更新:
箱は今日また中毒して、症状は前と同じで、前回きれいに片付けなかったはずです.
ウイルス対策ツールは/system/bin/でウイルスをスキャンした.名前は.义齿install-recovery.sh-nu.bakのウイルスファイルは、adb shell下rmの方式を採用し、rm failed、Operation not permittedを提示し、資料を検索すると、ウイルスがchattrを通じてウイルスに削除禁止の権限を加えたはずだ(rootユーザーであっても).ネット上ではbusyboxをインストールしてchattrコマンドで権限を変更する方法が推奨されています.
busyboxを探していると、ふと別の方法を思いついた.機械がrootになった以上、私はこれらのウイルス対策ツールrootに権限を与えて、ウイルス対策ツールに削除操作をさせて、このように操作しやすくなりません.
現在の環境を分析するとadb shellから入り、デフォルトはrootユーザーですが、システムインストールのアプリケーションにはrootがないことが示されます.Android端末アプリケーションでは、suコマンドでrootユーザーに切り替えてみて、suが存在しないことをヒントにします.
ネット上からsu実行可能ファイルをダウンロードし、ファイルpushを/system/xbin/ディレクトリの下で実行します.
chown root:root /system/xbin/su;
chmod 6755 /system/xbin/su
は、端末アプリケーションでsuによってrootユーザに切り替えられる.また、ウイルス対策ツールの実行時にもroot権限を申請する弾枠がポップアップされ、アプリケーションはsuファイルがあるかどうかによってデバイスがrootであるかどうかを判断するように見えます.
ウイルス対策ツールrootに権限を与えたら、残りはツールに渡すことができます.
---------------------------------------------------------------------------------------------------------------------------------
元の記事:
Androidデバイスにウイルスが入っていて、数分おきに自動的にポルノ広告を弾いたり、インストールアプリケーションを自動的にダウンロードしたりします.アプリケーション管理から奇妙なプロセスが見えます.
前期試行:
検索ツール-頑固な木馬専殺(英語名はStubborn Trojan Killer)を使用すると、幽霊プッシュウイルス、他にもいくつかのウイルスが見られますが、このツールはroot権限を取得していない場合、ウイルスをクリアすることはできません.ウイルス間にはプロセスガードが存在し,あるウイルスが殺された後,他のウイルスに呼び覚まされると推測される.
デバイスに仮想端末をインストールして/system/app/パスに入ると、ウイルスプロセスと同じ名前のapkファイルが表示されます.apkのユーザーとユーザーグループはrootですが、デバイスはrootユーザーで操作できず、ウイルスapkを削除する権限がありません.複数のrootツールを試してもrootはできません.
デバイスをadbで操作してみます.デバイスはandroidボックスなので、USB接続もできません.
問題解決の転換点:
端末でsetpropサービスを実行する.adb.tcp.port 5555コマンド
  adb  android       :
1、 root  ,  USB   ,      adb tcpip 5555,        ,      ,  adb connect     。
2、 root  ,  setprop service.adb.tcp.port 5555   ,         adb connect   

この装置は工場出荷時にroot権限を開放したが,app上で操作してroot権限を取得することはできなかった.しかしadbでデバイスを接続するとrootユーザーでアクセスできます.
したがって、以上の操作を実行した後(デバイスを再起動する必要があるかもしれません)、adbを介してrootユーザーで操作できます.
ウイルスのパケット名には迷いがあり、apk名もパケット名と一致しないことが多い.(com.android.system.uisetなど、システムのオリジナルアプリケーションに似ていて、オリジナルかどうかをどう判断するかは、後述する)
ウイルスapkを検出する過程:
1.パッケージ名を探す
(1)アプリケーション管理における,奇妙なプロセスのパケット名による.
(2)ウイルススキャンプログラムによってはウイルスのパッケージ名が表示される場合がある
命令に従う
pm list packages | grep {        }
完全なパッケージ名を検索
2.保存されたパスを探して削除
コマンドの使用
dumpsys package {    }
コマンド返却中のcodePathはapkに対応するパスであり、また返却中のfirstInstall時間もウイルスであるかどうかを再検証することができます.
システムのオリジナルアプリケーションは、出荷時にすでにインストールされているので、時間が比較的新しいアプリケーションであれば、システムアプリケーションではなく、ウイルスと判定することができます.
削除方法:
/system/app/パスの下で、apkを削除すればいいです./data/data/パスの下のファイルの場合は、pm uninstallのコマンドを使用してアンインストールできます.
3.残留物の清掃
その後360などのツールを使って、全体のスキャンをして、sdcardに保存されているウイルスapkファイルを整理することができます.
このウイルスはシステムの脆弱性を利用して、システムに対してrootを行って、それから自分を権利を持って、ユーザーに簡単に削除させることができなくて、同時にプロセスの保護があって、プロセスがユーザーに殺されることを避けます.最終的に問題を解決するには,現在ではシステムに対してrootを行うしかない.
参照先:
Get Infected with Ghost Push? Don’t worry, here’s the fix!
adbコマンドapk情報を表示し、adbはapkを起動します.
https://play.google.com/store/apps/details?id=com.cleanmaster.security.stubborntrjkiller&hl=en
suダウンロードアドレス
なぜandriod 4.2.2でroot権限でsystem/binディレクトリのファイルを削除できなかったのですか?
How does su work on android?
chattrを知りたい人はこれを見ることができます.
chattr/lsattrについて
Ghost Pushの分析も添付されていますが、今日発見されたウイルスファイルは基本的に文章に記載されています.
世界を席巻したゴーストプッシュ(Ghost Push)ウイルス分析報告