记一次清理Android设备里病毒(Ghost Push)的过程

最新推荐文章于 2019-03-05 13:02:05 发布
最新推荐文章于 2019-03-05 13:02:05 发布
阅读量6.1k 收藏 1
点赞数 1
分类专栏: Android 文章标签: android 病毒 查杀
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/feiniao8651/article/details/52915805
版权

设备:迈乐M9 

OS:Android 4.2.2

固件版本:V3.4.5


20161103更新:

盒子今天又中毒了,症状和之前的一样,应该是上次没清理干净。

杀毒工具在/system/bin/下扫描出了病毒,名字是.install-recovery-no.sh和.install-recovery.sh-nu.bak的病毒文件,采用adb shell 下rm的方式,提示rm failed ,Operation not permitted,经过查找资料,应该是病毒通过chattr给病毒加了禁止删除的权限(即使是root用户)。网上有推荐装busybox后用chattr命令来改权限的方式。

在找busybox时,忽然想到了另外一种方式。既然机器已经root了,那我可以给这些杀毒工具root权限,让杀毒工具来做删除操作,这样不就更容易操作了。

分析当前的环境,从adb shell进入,默认就是root用户,但是系统安装的应用却提示没有root。在android终端应用里,尝试通过su命令切换到root用户,提示su不存在。

网上下载了一个su可执行文件,将文件push到/system/xbin/目录下,执行

chown root:root /system/xbin/su;
chmod 6755 /system/xbin/su
此时在终端应用里通过su切换到root用户。而且杀毒工具运行时也能弹出申请root权限的弹框,看样子应用是根据是否有su文件来判断设备是否root。

给杀毒工具root权限后,剩下的就可以交给工具了。


----------------------我是分界线---------------------------------------------------------------------------------------------------

原始文章:

android设备中了病毒,每隔几分钟自动弹色情广告,或者是自动下载安装应用。从应用管理看到奇怪的进程。

前期尝试:

使用查杀工具-顽固木马专杀(英文名应该是Stubborn Trojan Killer),可以看到中了幽灵推病毒,还有另外几个病毒,但是这个工具在未获取到root权限的情况下,并不能够清除病毒。推测病毒之间存在进程守护,在某个病毒被杀死后,可以被其他病毒唤醒。

尝试在设备上安装虚拟终端,进入/system/app/路径下,可以看到跟病毒进程同名的apk文件,apk的用户和用户组都是root,但是设备却无法用root用户进行操作,没有权限删除病毒apk。尝试多种root工具也无法root。

尝试通过adb操作设备,由于设备是android盒子,也无法用USB连接。


解决问题的转折点:

在终端执行setprop service.adb.tcp.port 5555命令

通过adb连接android设备有两种方式:
1、未root设备,通过USB线连接,或者是在执行adb tcpip 5555,切换到网络模式后,在同一局域网,通过adb connect <IP>方式连接。
2、已root设备,执行setprop service.adb.tcp.port 5555命令后,在同一局域网内通过adb connect <IP>连接

该设备在出厂时,已经开放了root权限,但是在app上操作,没办法获取到root权限。但是通过adb来连接设备,就能以root用户来访问。

因此在执行完以上操作后(可能还需要重启一下设备),通过adb就能以root用户操作了。


病毒的包名起的很有迷惑性,apk名也经常和包名不一致。(有的病毒包名非常有迷惑性,比如com.android.system.uiset,很像系统原生应用,怎么判断是否为原生,下文有提及)

查杀病毒apk的过程:

1.找包名

(1)根据应用管理中,奇怪的进程的包名

(2)有的病毒扫描程序能显示出病毒的包名

根据命令

pm list packages | grep {病毒包名中单个词}
来找到完整的包名

2.找存放的路径并删除

使用命令

dumpsys package {病毒包名}
命令返回里的codePath就是对应apk的路径,另外返回里的firstInstall时间,也能再次验证是否为病毒, 因为系统的原生应用,在出厂的时候就已经装好了,如果时间是比较新的应用,就肯定不是系统应用,可以判定为病毒。

删除方法:

/system/app/路径下的,把apk删掉就可以了。如果是/data/data/路径下的文件,可以使用pm uninstall <package>的命令来卸载。

3.清理残留

之后使用360之类的工具,做一个全盘的扫描,可以清理掉一些存储在sdcard里的病毒apk文件。


该病毒应该是利用了系统漏洞,对系统进行了root,之后把自身提权,不能让用户轻易删除,同时有进程守护,避免进程被用户杀死。最终想要解决问题,目前来看只能是对系统进行root。



参考:

Get Infected with Ghost Push? Don’t worry, here’s the fix!

adb命令查看apk信息, adb启动你的apk

https://play.google.com/store/apps/details?id=com.cleanmaster.security.stubborntrjkiller&hl=en

su下载地址

为什么andriod 4.2.2中root权限删除system/bin目录中文件失败?

How does su work on android?

想了解chattr的可以看这个:

说说chattr / lsattr

另附一篇Ghost Push 的分析,今天发现的病毒文件基本上符合文章所述:

席卷全球的幽灵推(Ghost Push)病毒分析报告

feiniao8651
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Ghost_Push揭秘.pdf
08-07
它都干了些什么?1、自带Root模块,无法卸载;...邹义鹏最后总结道Ghost Push可能只是冰山一角,利益的驱使催生了灰色产业;而对于安全从业者而言,移动端安全问题仍是一个挑战,保护用户设备及信息,任重而道远。
android 开源病毒库,ClamAV+ClamTK,开源杀毒软件
weixin_35128928的博客
05-30 1547
1.安装clamavsudo apt-get install clamav clamav-daemon clamav-freshclam2.安装图形化的ClamTksudo apt-get install clamtk3.升级病毒库:sudo freshclam4.扫描文件:sudo clamscan /以上命令会扫描所有目录,需要比较长的时间,也可以指定目录进行扫描,另外,以上命令只会给出扫描结...
新型安卓病毒GhostPush来袭:自动下载安装应用
weixin_33862188的博客
09-01 307
国家计算机病毒应急处理中心通过对互联网的监测发现,近期一种感染安卓手机的病毒a.expense.GhostPush.a出现,广大安卓手机用户应小心谨防。 该病毒是一款推送应用类病毒,开机自启动,自动下载其他应用,并静默安装成系统应用;在用户未知情的情况下,连接远程服务器获取推广应用信息,然后自动下载静默安装,消耗用户手机流量,同时用户无法正常卸载...
Android木马病毒com.schemedroid的分析报告
Fly20141201. 的专栏
08-03 6246
某安全公司移动病毒分析报告的面试题目,该病毒样本的代码量比较大,最大的分析障碍是该病毒样本的类名称和类方法名称以及类成员变量的名称被混淆为无法辨认的特殊字符,每个被分析的类中所有的字符串都被加密处理了并且每个类的加密算法还不是一样的,人肉还原出被加密的字符串是很不现实的,该样本大约有100多个类,需要处理的加密字符串的解密高达几千个之多,有兴趣和能拿到样本的同学可以挑战一下自己,暂不提供样本。经...
Trojan/Android.GDownload.jw[exp,gen] 病毒报警解决方案
believer123的专栏
03-05 2万+
去年12月份开始,我的个人app忆空间就被华为应用市场报病毒了,而且非常突然,之前都是好好的,突然报毒打得我猝不及防。 华为市场提供的信息如下: 你好,你的应用审核复测 应用经手机管家检测为风险软件,存在中等风险;无法上架; 是不是很坑,在使用华为手机进行验证才得知是病毒Trojan/Android.GDownload.jw[exp,gen], 看得我一脸懵逼,因为对病毒处理这块没有太多的...
GHOST系统病毒清理免疫程序
05-23
GHOST,系统,病毒清理,免疫程序,很好用的东东!!!!!!!!!!!!!
Ghost-Android::robot_face:AndroidGhost
02-04
官方的Ghost Android应用程序。 获取它。 产品特点 基于“原理的简单,直观的界面(以及一些...-一个简单的UI,可帮助您决定一次从两个位置编辑帖子时下一步要做什么 错误报告? 功能要求? 帮助翻译Ghost Android
ghost:Ghost Framework是一个Android开发后框架,可利用Android Debug Bridge远程访问Android设备
04-28
Ghost Framework is an Android post-exploitation framework that exploits the Android Debug Bridge to remotely access an Android device. 入门 鬼安装To install Ghost Framework you should execute the ...
Ghost:Ghost Framework 是一个 Android 后开发框架,它利用 Android Debug Bridge 远程访问 Android 设备
08-03
幽灵框架 Ghost Framework 是一个 Android 后开发框架利用 Android Debug Bridge 远程访问 Android 设备。 安装pip3 install git+https://github.com/EntySec/Ghost
一个简单的Android木马病毒的分析
Fly20141201. 的专栏
09-09 3万+
一、样本信息 文件名称: 一个安卓病毒木马.apk  文件大小:242867 byte   文件类型:application/jar   病毒名称:Android.Trojan.SMSSend.KS 样本MD5:05B009F8E6C30A1BC0A0F793049960BC   二、病毒行为分析 0x1. 静态注册Android
一个Android项目被360报毒的解决方案
ljtyzhr的专栏
11-05 1万+
前些时候开发一款产品,不知道怎么回事,就被360报毒了,提示说是木马病毒。我很kunhuo
Android逆向与病毒分析
omnispace的博客
01-19 2160
本文由同程旅游安全团队对内移动安全培训的PPT整理而来,面向对象为对移动安全感兴趣的研发同事,所以讲的有些宽泛。介绍了入门Android逆向需要掌握的一些知识点, 通过简单的几个案例讲解Android app常用的分析和破解手段, 讲解Android上常见的反调试和对抗逆向的手段,并通过修改系统源码来实现反反调试。 介绍一下常见的病毒特征和预防手段, 最后讲解一些关于Android SubSt
手机锁机病毒解锁清除教程
ASlien
06-05 9841
【STEP.1】 输入“adb shell pm list packages” 查看已安装的软件的软件包名,如果不好找可以用“APK helper”工具来查看!如图:    【STEP.2】 接着我们输入“adb uninstall com.h” 用adb命令卸载病毒,扰人的BGM咩有了,锁机软件被清除了。但是因为改了系统密码,我们还是不能用~要把改了的密码也清掉。   【STEP
Android病毒分析报告】 - Claco
移动编程
03-01 264
本文章由Jack_Jia编写,转载请注明出处。文章链接:http://blog.csdn.net/jiazhijun/article/details/8627309作者:Jack_Jia 邮箱:[email protected] 一、病毒样本基本信息 Md5:c5a2d14bc52f109a06641c1f15e90985 Package:smart.apps.droid...
Android APP报毒和排查解决
热门推荐
yangChong
06-01 4万+
APP遇到操作一些较高的用户权限,比如删除短信,定时开关机这些,在用户手机安装应用时会提示用户给用户。 但是最近一个项目出现了报毒的现象,被百度手机管家定位为木马应用,原因是添加了发送和删除短信的权限。 于是在发送短信的时候,添加了弹框,提示用户会发送一条短信,解决的问题。 安全管家或者检测中心一般会检测你的部分代码块时候匹配木马数据库,或者请求协议,用户操作权限来判断是否
Android平台各类恶意软件及病毒概览
我相信......
11-14 9011
转发地址:http://mobile.51cto.com/ahot-364267.htm 本文将Android平台上的各类恶意软件和病毒分为7大类进行概述,以帮助用户在实际使用过程中进行识别和警惕,保证平台和个人信息、经济安全。   随着移动互联网的发展,作为当今最大的移动操作系统之一,Android已经被越来越多的用户所使用。然而由于市场自身制度的不完善以及弊端,Android市场内应
android triada 病毒
lei7143的专栏
06-01 994
https://github.com/DroidPluginTeam/DroidPluginDroidPlugin 
一键ghost的快速压缩还是正常压缩
最新发布
11-23
一键ghost的快速压缩是指在进行系统备份时使用的一种较为快速的压缩算法。正常压缩则是指使用较为耗时但压缩效果更好的算法。 相对于正常压缩,快速压缩在备份过程中所花费的时间会更少,所以能够更快地完成备份...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值