Как избавиться от вируса libcheckperlib so
Похоже, что вы подхватили вирус на ваш браузер. Он очень навязчивый и сильно усложняет все взаимодействие с браузерами. Очень странно, что вы подхватили его на телефоне, а не на компьютере. И в интернете не особо получается найти информацию, как избавиться от него в телефоне. Могу только посоветовать просканировать систему антивирусными утилитами, и уже с их помощью удалить вирус. Также должен помочь сброс до заводских настроек.
Все зависит от того, какой браузер Вы используете и где - на мобильном устройстве или компьютере? Если рассматривать ситуацию в целом, то:
Хороший ответ 1 6
Идеологическим антиподом либерализму являются авторитарные идеи и концепции – те, которые отрицают свободу и права человека, демократическое устройство власти и которые вместо этого утверждают вождизм, приоритет государства над человеком и неизбежность силового принуждения человека. Без вождя нет страны, без страны нет вождя – вот примитивный конструкт авторитаризма, исключающий человека и оперирующий абстрактными понятиями народа, власти, государства. Авторитаризм – это та почва, на которой прорастают диктатуры и тоталитарные режимы, расцветают ядовитые плоды национализма, расизма и ксенофобии.
Ничего интеллектуального в этой позиции нет. Наоборот, отсутствие интеллектуального начала как раз и обусловливает появление авторитаризма. Для того, чтобы увидеть на практике проявления антиинтеллектуальной природы авторитаризма, достаточно посмотреть хотя бы на политический ландшафт современной России – пустынный, мрачный, безжизненный, где смерчи ненависти не дают прижиться и вырасти ничему здравомысленному.
Отличительная черта приверженцев антилиберальной позиции – это искажение фактов, непонимание общественных процессов, в т.ч. непонимание сути либерализма, который прежде всего защищает жизнь и свободу человека от власти, гарантирует уважение его достоинства, открывает возможности для благополучия и процветания. В мире мы видим множество примеров того, как живут люди в либеральных условиях и как всё больше стран выбирает либеральный путь. Антилиберализм же – это слепая вера во власть.
А ведь не случайно, что либерализм появился как раз на волне Просвещения.
Хороший ответ 1 5
Итак, 7 проверенно рабочих способов удалить отзыв с отзовика.
Прежде всего хочу сказать, что удалить отзыв с отзовика можно практически в 100% случаев, хотя это бывает и не просто. Вот какие есть способы:
Свяжитесь с автором отзыва и попробуйте договориться. Если у вас был такой клиент и он недоволен, предложите ему компенсацию, возврат денег, переделку или подарок - и попросите удалить отзыв. Часто этот способ оказывается самым эффективным и наименее затратным.
Зарегистрируйтесь на отзовике как официальный представитель. Для этого сначала зарегистрируйте аккаунт, выбрав при регистрации, что вы представитель компании. Потом подайте на странице компании заявку на официального представителя. Через пару дней ее одобрят и вы сможете комментировать отзывы на своей странице. Напишите автору отзыва и попросите его предоставить подтверждающие данные, такие как номер договора, дату его заключения, ФИО и другие данные. Если автор отзыва не ответит, составьте претензию о том, что автор не является вашим клиентом и прикрепите ее копию к отзыву (под каждым отзывом есть кнопка для добавления претензии). Администрация рассмотрит ваше обращение и может удалить отзыв.
Если предыдущие способы не помогли - напишите в администрацию обращение, в котором изложите свою позицию и попросите удалить отзыв. Возможно, придется писать несколько раз, так как нередко администрация игнорирует такие обращения.
Если администрация так и не ответит, придется переводить вопрос в правовую плоскость. Проверьте, не содержит ли отзыв ФИО сотрудников или каких-либо других персональных данных - вас или третьих лиц. Если содержит - пишите обращение в Роскомнадзор.
Если в отзыве персональных данных нет - ищите хорошего юриста. Пусть он составит юридически обоснованную претензию для сайта, а также подготовит жалобу частного обвинения. Это может растянутся на несколько недель и даже месяцев, но все еще может дать результат с минимальными вложениями.
Если вы уже все перепробовали все, что описано выше, остается еще одно - иск в суд. Тут вам снова понадобится помощь грамотного юриста, нужно тщательно продумать иск, и кто-то должен вести дело, если вы не хотите делать это самостоятельно. Из затрат кроме юриста придется раскошелится на пошлину (около 4 000 рублей), а также нотариальный протокол осмотра сайта (около 15 000 рублей). Шансы что суд признает отзыв клеветой достаточно хорошие, особенно если отзыв необоснован или содержит оскорбления. После того как вы выиграете суд - отправьте иск через соответствующую форму (кнопка внизу каждого отзыва), либо через сообщение техподдержки. Такие письма отзовик не игнорирует и удаляет отзывы в течение недели.
Если остались вопросы - пишите, постараюсь ответить.
— 1 , Светлана
| Плюсы: | Мог бы получить хороший бюджетный смартфон. |
| Минусы: | Вирусы в прошивке устройства, прямо от производителя. |
| Отзыв: | Пишу отзыв с целью предупредить пользователей о наличии вирусов в системной прошивке девайса. Все началось через год использования, с появление рекламного банера после разблокировки экрана. root на телефоне никогда не получали, приложения только из плей маркета. после установки Dr.Web и Eset Smart security выяснилось, что системные файлы прошивки заражены вирусами, а именно: Самое интересное что файлы системные, и удалить вы их не сможете. Для чистоты эксперимента скачайте дефолтные прошивки данного телефона с форума 4pda, чтобы подтвердить свои опасения. Да действительно в чистой прошивке все теже вирусы. На запрос к производителю, мне ответили в течении нескольких часов: Погуглив сразу найдете аналогичные проблемы с девайсами s307 в 2016г. Похоже такая проблема у филипс не редкость. Будтье осторожней и подумайте дважды перед покупкой устройств этого производителя. В качестве подтверждения могу предоставить, чеки покупки, фото, да все что угодно. |
— 1 , данные скрыты
| Плюсы: | — |
| Минусы: | возможно наличие вирусного по |
| Отзыв: | Антивирусное ПО находят в телефоне трояны прямо из коробки. ФАйлы: libcheckperlib.so - android.downloader.4076 (Dr.Web) zh269_cf8_philips_TpvTransfer.apk - trojan Android shedun (eset, McAfee) Самое интересное что файлы системные, и удалить вы их не сможете. Вирусы вшиты от производителя. Не получится ли как с моделью s307 - где пользователи тоже нашли вирусы прямо в прошивке устройства, (судя по статьям в интернете). |
| Плюсы: | 1)LTE 2) раздача интернета 3) 2 симкарты и отдельный слот для карты памяти |
| Минусы: | 1) Быстро разряжается батарея, сидя в интернете на глазах уходят проценты - к примеру сидел в интернете 3 часа и с 95% упало до 47% это очень быстро 2) если на первой симке стоит для интернета и позвонили на вторую - очень редко интернет появляется после разговора - помогает перезагрузка аппарата полностью 3) когда вам звонят то мелодия играет через ж**у и отрезками и очень хрепит мелодия (даже стандартная) 4) при разговоре бывает что вас не слышал либо слышат очень тихо или хрепучи - помогает перезагрузка аппарата полностью но не надолго 5) последнее время с гарнитурой теряет связь даже при разговоре 6) про батарею еще дополню, что ехал по трассе и телефон просто лежал - ИТОГ - разрядка на почти 55% - фигня |
| Отзыв: | Телефон не понравился вообще - буду избавляться от аппарата |
| Плюсы: | lte |
| Минусы: | раз в месяц скидывает настройки, дачки приближения не всегда срабатывает (тогда то громкая связь, то микрофон отключен, короче как-то надо попасть точно к уху) |
| Отзыв: | — |
| Плюсы: | наличие LTE |
| Минусы: | ужасно тихий разговорный динамик, плохая основная камера |
| Отзыв: | Указанные недостатки перекрывают все возможные плюсы |
| Плюсы: | — |
| Минусы: | А со звуком что? Динамик тихий и убогий,плеер тоже не сильно хорош,звук плоский,филипс уже не брэнд. |
| Отзыв: | — |
| Плюсы: | приятный дизайн и на ощупь., небольшие габариты (умещается в любом кармане)! |
| Минусы: | батарею бы более емкую хотя бы 3 а*ч., невозможно подключиться к пк через провод., качество звука и его громкость слабенькое! |
| Отзыв: | Невозможно подключиться к ПК! Это нонсенс в наше время! |
Смартфон Philips S257 отзывы:
Перед тем как купить Смартфон Philips S257 прочитайте плохие отзывы о неудачных покупках. Мы публикуем только отрицательные отзывы покупателей Смартфон Philips S257 и не допускаем заказные.
Каждый год количество вредоносных приложений (вирусов) для устройств работающих на платформе Андроид удваивается, поэтому практически каждый пользователь телефона, планшета или телевизора под управлением Андроид ОС сталкивался с негативными последствиями деятельности вредоносного ПО. Чаще всего, конечно, это навязчивая реклама, которая может появляется в любой момент, выскакивать при разблокировке устройства или даже заменить фон рабочего стола. Более того, вирусы могут подменять рекламу, которая появляется в разных бесплатных Андроид приложениях, а так же перенаправлять браузер пользователя на разные вводящие в заблуждение и вредоносные сайты.
Навязчивая реклама — это только видимая сторона активности вирусов и вредоносных программ на Андроид устройствах. Очень часто эти паразиты себя практически не проявляют, но при этом могут воровать конфиденциальную информацию, пароли, логины, а так же активно следить за всей деятельностью пользователя, включая места которые он посещает (используя спутниковую навигацию).
Мой Андроид телефон или планшет заражён ?
Конечно не нужно впадать в панику и срочно нести свой Андроид телефон в сервисную компанию, чтобы точно убедиться что на нём нет вируса. В первую очередь обратите внимание на симптомы наличия вирусов, которые были перечислены выше, ниже мы их повторим и дополним:
- всплывающая реклама при разблокировке Андроид устройства
- реклама вместо фона рабочего стола
- навязчивая реклама в играх и браузере
- всплывающие окна плей маркета
- выскакивающие сообщения, сообщающие что батарея заражена
- само устанавливающиеся программы
- само загружающиеся файлы
- часто приходящие смски с предложением подтвердить платные подписки
- списания денег по счету, за услуги, которые вы сами не подключали
Если вы столкнулись даже с одной из выше перечисленных проблем, то есть вероятность, что ваш Андроид телефон или планшет заражён и просто игнорировать это нельзя. Но и отсутствие выше перечисленных симптомов не говорит о том, что на вашем устройстве нет вирусов, просто ворующих вашу личную информацию. Причина этому проста, как уже было сказано, существует очень много вредоносных программ для телефонов на Андроид, которые глубоко скрыты в операционной системе и практически ничем себя не выдают.
Как вирус проникает на Андроид телефон или планшет
Часто бывает, что после появления популярного приложения, например игры, как грибы после дождя появляются множество Андроид программ, которые предлагают установить новые карты, ознакомится с разными инструкциями, установить читы и так далее. Конечно, большинство этих программ не содержат в себе вредоносного кода, но некоторые из них могут выполнять не только то, о чём сообщают авторы. Поэтому устанавливая такие программы, нужно быть дважды осторожным, внимательно читать описание программы, смотреть рейтинг программы, а так же комментарии, которые оставляют пользователи. При малейшем подозрении стоит воздержаться от установки такого приложения. Так же необходимо обращать внимание на то, какие разрешения приложение просит при своей установке. Согласитесь странно, если приложение, устанавливающее новую карту игры просит разрешить отправлять и читать смс сообщения.
Как удалить вирус с телефона Андроид
Без всяких сомнений, навязчивая реклама и вирусы — опасны для вашего телефона, планшета или другого Андроид устройства. Поэтому вам необходимо как можно быстрее и главное полностью выполнить инструкцию, которая приведена ниже. Она позволит вам найти и удалить вирус, который перенаправляет браузер на рекламные сайты, меняет фон рабочего стола, прописывается в Администраторы устройства или выполняет другие опасные действия. Чтобы удалить вирус с Андроид устройства, вам необходимо выполнить несколько ручных шагов, после чего проверить телефон (планшет) с помощью специальных утилит, которые специально разработаны для поиска и удаления разнообразного вредоносного и рекламного ПО. В процессе удаления Андроид вируса, вам может быть понадобиться закрыть браузер или перезагрузить телефон, поэтому чтобы не искать эту инструкцию снова, сделайте закладку на неё или распечатайте её на принтере.
Лучший способ начать удаление вируса с телефона Андроид — это удалить все неизвестные и подозрительные программы. Используя стандартные возможности операционной системы Андроид, вы можете сделать это легко и быстро. Этот шаг, не смотря на его простоту, не должен быть пропущен, так как удалив ненужные и вызывающие подозрение программы, можно очистить телефон от вирусов, рекламы, автоматической загрузки и установки новых программ и так далее.
Первым делом удостоверьтесь, что на телефоне нет запущенных программ, для этого откройте список запущенных приложений и удалите из него все программы. Другой вариант, просто перезапустите телефон, после чего уже ничего не запускайте.
Теперь вы можете приступить к удалению ненужных программ. Откройте Настройки телефона, здесь выберите пункт Приложения. Вам будет показан список установленных приложений, подобно приведённому на нижеследующем примере.
Несколько раз, очень внимательно просмотрите этот список, вероятнее всего одна из программ представленных в списке является вирусом или тем зловредом, который показывает рекламу или скачивает и устанавливает мусорные приложения на ваш телефон. Чтобы удалить программу, просто нажмите на её имя и в открывшемся окне выберите Удалить, как показано на рисунке ниже.
Если не можете определится с тем, что удалить, а что оставить, то используйте следующие критерии определения вредоносных программ и вирусов. Приложение является подозрительным если: потребляет много памяти (например, называется калькулятор, а потребляет сотни мегабайт памяти), имя программы совершенно вам незнакомо (проверьте имя программы через Гугл или Яндекс поиск), программа требует совершенно не свойственных ей разрешений (например, калькулятор требует разрешение отправлять смс и доступ к адресной книге). На этом этапе, нужно быть даже чуточку подозрительнее чем обычно.
Следующим шагом по удалению вируса с вашего телефона является проверка программ, которые обладают правами Администратора устройства. Эти программы, в отличии от обычных, могут принести гораздо больший вред.
Откройте Настройки телефона. Здесь выберите пункт Безопасность. Прокрутите вниз, после чего нажмите на Администраторы устройства. Вам будет продемонстрирован список программ, которые запрашивают права Администратора, те из них, кому эти права даны, выделяются галочкой. Пример списка Администраторов устройства вы можете увидеть на картинке ниже.
Если в списке вы обнаружили программу, которой такие права не давали, или просто имя приложения, которое является Администратором устройства, вам не знакомо, то вам необходимо удалить его из Администраторов. Для этого нажмите на имя приложения и в открывшемся окне выберите Отключить. Смотрите пример приведённый ниже.
После того как вы удалили программу из списка активированных Администраторов устройства вам нужно вернуться на предыдущий шаг и полностью удалить это подозрительное приложение с вашего телефона. Например, если вы удалили из администраторов программу калькулятор, то очевидно, что эту программу нужно как можно быстрее удалить с телефона. Так как ей, для своей работы, права администратора совершенно не нужны.
Мы рекомендуем использовать Zemana Antivirus. Это небольшая программа, которая поможет вам очистить свой телефон на Андроиде от вирусов, рекламного ПО и других типов вредоносных программ. Вы можете использовать её абсолютно бесплатно как для поиска, так и для удаления зловредов. Zemana Antivirus для Андроид использует облачные технологии, и часто находит вредоносные программы, которые другие антивирусы даже не замечали.
Удалить вирусы с телефона с помощью Zemana Antivirus очень просто. В первую очередь вы должны скачать и установить программу на свой телефон, для этого используйте следующую ссылку.
Когда процесс установки завершится, нажмите кнопку Открыть. Zemana Antivirus запуститься и перед вами откроется главное окно программы, как показано на рисунке ниже.
Нажмите кнопку Полная проверка. Процедура сканирования телефона на наличие вирусов не займет много времени, но может затянутся, если на вашем телефоне много фотографий, игр и других персональных файлов. В процессе сканирования программа сообщает сколько файлов было уже проверено.
Если Zemana Antivirus обнаружит вирус, потенциально ненужную программу или другую угрозу безопасности вашего телефона, то вам будет предложено выполнить очистку и удалить вирус.
Malwarebytes для Андроид — это бесплатная программа для телефонов работающих под управлением операционной системы Андроид. Она может легко найти и быстро удалить вирусы, потенциально ненужные приложения (PUP), рекламное ПО, трояны и другое вредоносное ПО.
Скачайте Malwarebytes, используя следующую ссылку, и установите на свой телефон. После того как приложение будет установлено, запустите его. Перед вами откроется окно аналогичное приведенному на примере ниже.
Последовательно ознакомьтесь с информацией о программе, после чего нажмите Понятно.
Перед вами откроется главное окно программы. Malwarebytes попытается автоматически обновить базу данных вирусов, после чего автоматически запустит процедуру полного сканирования.
В процессе сканирования Malwarebytes для Андроид проверит ваш телефон на наличие троянов, вирусов и других вредоносных программ. Вы всегда можете узнать на каком этапе процесса проверки находитесь, для этого просто нажмите кнопку Посмотреть прогресс сканирования.
Когда сканирование будет завершено, программа сообщит о найденных вирусах и в случаи обнаружения вредоносных программ, предложит их удалить. Следуйте указаниям программы.
Для использования Malwarebytes для Андроид покупать премиум (платную) версию программы не нужно. Первые 30 дней вы можете использовать все возможности этого антивируса совершенно бесплатно, а после 30 дней, отключится автозащита устройства, но вы можете продолжать использовать Malwarebytes для Андроид, чтобы проверять свой телефон на наличие вредоносных программ и удалять их в случае обнаружения.
Если MalwareBytes и Zemana Anti-Malware не смогли найти или удалить вирус с телефона, тогда мы рекомендуем использовать антивирус Касперского для мобильных устройств. Это приложение может выполнить полную проверку вашего Андроид телефона, найти вирус и быстро его удалить. Антивирус Касперского может удалять практически все виды вирусов, которые поражают мобильные телефоны, включая такие как рекламное ПО, трояны, вымогатели и так далее.
Откройте следующую ссылку, которая ведёт на страницу Антивируса Касперского для мобильных устройств в Гугл Плей Маркете. Нажмите кнопку Установить. Когда установка программы завершиться, нажмите кнопку Открыть и вы увидите следующее окно.
Просто следуйте указаниям программы. Когда Антивирус Касперского для Андроид телефонов закончит свою настройку, вы увидите главное окно программы. После чего запустится автоматическая процедура обновления базы вирусных сигнатур.
Когда обновление будет завершено, Kaspersky Internet Security для Андроид приступит к проверке вашего устройства.
Если в процессе сканирования будут найдены вирусы, рекламное ПО, трояны или другие вредоносные программы, то программа предложит вам удалить их.
Вирусы, рекламное ПО и другие вредоносные программы могут изменять настройки браузера вашего телефона, что приводит к тому, что вместо домашней страницы или поисковой системы будут использованы совсем не те сайты, что вы выбирали ранее. Поэтому очень важно, после удаления вируса с помощью антивируса, так же проверить настройки Хрома и восстановить их нормальное значение.
Откройте настройки браузера, кликнув по иконке в виде трех точек, которая расположена в правом углу вашего телефона. В открывшемся окне найдите пункт Поисковая система и кликните по нему. В открывшемся окне выберите Гугл, Яндекс или Маил.ру.
Кроме описанного выше, так же рекомендуется очистить данные, которые были сохранены браузером в то время, пока телефон был заражен вирусом. Для этого в списке настроек найдите пункт Личные данные и нажмите его. Пролистайте страницу в самый низ, пока не найдете пункт Очистить историю, нажмите его. Вы увидите окно как показано на рисунке ниже.
В пункте временной диапазон выберите период времени, который охватывает период, когда ваш телефон был заражен вирусом. После чего нажмите кнопку Удалить данные. Хочу подчеркнуть, что ваш Гугл аккаунт не будет удален, сохраняться пароли, закладки и другая личная информация.
Очень важно защитить свой телефон от вредоносных и вводящих в заблуждение веб сайтов, используя специальный блокировщик, например AdGuard. Большинство экспертов в области компьютерной безопасности подчеркивают, что такой блокировщик — существенно увеличивает защиту телефона на Андроиде и снижает риск его заражения вредоносными программами. AdGuard позволит вам сохранить свои личные данные в безопасности. Более того, эта программа может блокировать надоедливую рекламу в Интернете и Андроид играх.
Используйте эту ссылку, чтобы скачать AdGuard с официального сайта компании разработчика. После того как загрузка завершится, запустите скачанный файл.
Когда установка программы завершится, вы увидите окно, как показано на рисунке ниже.
У вас есть возможность ознакомится с основными возможностями и настройками программы, внести в них изменения, в случае необходимости. Можете просто нажать кнопку Пропустить, чтобы сразу перейти к главному окну.
Чтобы включить защиту от вредоносных сайтов и убрать рекламу с телефона, вам достаточно включить защиту, нажав круглую серую кнопку в центре. Программа попросит вас подтвердить свои действия, следуйте её указаниям.
Если ничего из описанного выше вам не помогло, удалить вирус с телефона не удалось ни вручную, ни с помощью антивирусных программ, а так же в случае когда антивирусные программы находят вирус, но сообщают что он находится в системном разделе и удалить его нет возможности, то у вас есть два варианта: сбросить настройки телефона или получить рут доступ, после чего снова выполнить выше приведенную инструкцию.
Чтобы сбросить настройки, и таким образом удалить вирус с телефона на Андроиде, сделайте следующее. Откройте Настройки телефона, пролистайте их вниз до пункта Общий сброс. Нажмите его. Вы увидите окно аналогичное приведённому на картинки ниже.
Здесь нажмите кнопку Сбросить настройки телефона. ВНИМАНИЕ! Все ваши личные данные из внутренней памяти телефона будут удалены, все настройки телефона будут восстановлены в первоначальное состояние. Внутренняя память телефона будет ПОЛНОСТЬЮ очищена.
Моё имя Валерий. Я сертифицированный специалист в области компьютерной безопасности, выявления источников угроз в ИТ инфраструктуре и анализе рисков с опытом работы более 15 лет. Рад поделиться с вами своими знаниями и опытом.
В конце прошлого года с помощью функции обнаружения изменений в системной области у некоторых наших пользователей было зафиксировано изменение системного файла /system/lib/libc.so. Это одна из главных библиотек операционных систем на базе Linux, которая отвечает за системные вызовы и основные функции. Подробное рассмотрение этого случая позволило выявить новые образцы из семейства троянцев Android.Xiny, известного нам с 2015 года.
В этой статье мы рассмотрим еще один интересный метод самозащиты, применяемый новыми версиями Android.Xiny.
Начиная с самых ранних версий, главная функция троянца Android.Xiny — установка на устройство произвольных приложений без разрешения пользователя. Таким образом злоумышленники могут зарабатывать, участвуя в партнёрских программах, которые платят за установку. Насколько можно судить, это один из основных источников дохода для создателей данного семейства. После запуска некоторых его представителей можно за несколько минут получить практически неработоспособное устройство, на котором будет установлено и запущено множество безвредных, но ненужных пользователю приложений. Кроме того, данные троянцы могут устанавливать и вредоносное ПО — всё зависит от команды, полученной с управляющего сервера.
Самое интересное, что выделяет новые версии троянца Android.Xiny — это защита от удаления. За неё отвечают два компонента. Рассмотрим их подробнее.
sha1: f9f87a2d2f4d91cd450aa9734e09534929170c6c
детект: Android.Xiny.5261
Данный компонент запускается после получения прав root. Он подменяет собой системные файлы /system/bin/debuggerd и /system/bin/ddexe, чтобы обеспечить свой автоматический запуск, а оригиналы сохраняет под именами с суффиксом _server, действуя как классический вирус-компаньон. Также он копирует в системный раздел ещё несколько исполняемых файлов из папки, переданной в параметрах командной строки. Кроме того, троянец может обновлять компоненты, которые установил в системный раздел, если его запустить с особыми параметрами и указать папку, где лежат новые версии.
Android.Xiny.5261 содержит внушительный список файлов для удаления. В него входят пути, характерные для более старых представителей семейства, а также для конкурирующих семейств троянцев, устанавливающихся в системный раздел. Таких как, например, Triada.
Кроме того, Android.Xiny.5261 удаляет некоторые предустановленные приложения — возможно, чтобы освободить место. Наконец, он удаляет известные приложения для управления правами root – такие как SuperSU, KingRoot и другие. Таким образом, он лишает пользователя возможности использовать root-права, а значит, и удалить троянские компоненты, установленные в системный раздел.
sha1: 171dba383d562bec235156f101879223bf7b32c7
детект: Android.Xiny.5260
Этот файл заинтересовал нас больше всего, и с него началось это исследование. При беглом взгляде на него в hiew можно заметить наличие исполняемого кода ближе к концу в секции .data, что подозрительно.
Открываем файл в IDA и смотрим, что это за код.
Выясняется, что в данной библиотеке были изменены следующие функции: mount, execve, execv, execvp, execle, execl, execlp.
Код изменённой функции mount:
int __fastcall mount ( const char * source , const char * target , const char * filesystemtype , unsigned int mountflags , const void * data )
<
unsigned __int8 systemPath [ 19 ] ; // [sp+18h] [bp-1Ch]
bool receivedMagicFlags ; // [sp+2Bh] [bp-9h]
int v13 ; // [sp+2Ch] [bp-8h]
v13 = MAGIC_MOUNTFLAGS ; // 0x7A3DC594
receivedMagicFlags = mountflags == MAGIC_MOUNTFLAGS ;
if ( mountflags == MAGIC_MOUNTFLAGS )
mountflags = 0x20 ; // MS_REMOUNT
if ( receivedMagicFlags )
return call_real_mount ( source , target , filesystemtype , mountflags , data ) ;
if ( mountflags & 1 ) // MS_RDONLY
return call_real_mount ( source , target , filesystemtype , mountflags , data ) ;
if ( getuid_ ( ) ) // not root
return call_real_mount ( source , target , filesystemtype , mountflags , data ) ;
memCopy ( systemPath , ( unsigned __int8 * ) off_73210 + 471424 , 8 ) ; // /system
decrypt ( systemPath , 8 ) ;
if ( memCompare ( ( unsigned __int8 * ) target , systemPath , 8 ) || ! isBootCompete ( ) )
return call_real_mount ( source , target , filesystemtype , mountflags , data ) ;
* ( _DWORD * ) errno_ ( ) = 13 ;
return - 1 ;
>
Код изменённой функции execve (в остальных exec*-функциях всё аналогично):
int __fastcall execve ( const char * filename , char * const argv [ ] , char * const envp [ ] )
<
int v3 ; // r3
if ( targetInDataOrSdcard ( filename ) >= 0 ) // returns -1 if true
<
sub_7383C ( ) ;
v3 = call_real_execve ( filename , argv , envp ) ;
>
else
<
* ( _DWORD * ) errno_ ( ) = 13 ;
v3 = - 1 ;
>
return v3 ;
>
int __fastcall targetInDataOrSdcard ( const char * path )
<
char buf [ 516 ] ; // [sp+8h] [bp-204h]
if ( isDataOrSdcard ( path ) )
return - 1 ;
if ( * path == '.' && getcwd_ ( buf , 0x200u ) && isDataOrSdcard ( buf ) )
return - 1 ;
return 0 ;
>
Здесь проверяется, начинается ли путь к запускаемому файлу с "/data/" и содержит ли "/sdcard". Если одно из условий выполняется, запуск блокируется. Напомним, что по пути /data/data/ находятся директории приложений. Таким образом блокируется запуск исполняемых файлов из всех директорий, в которых обычное приложение может создать файл.
Изменения, внесённые в системную библиотеку libc.so, нарушают работу приложений, предназначенных для получения прав root. Из-за изменений в функциях exec* такое приложение не сможет запустить эксплойты для повышения привилегий в системе, поскольку обычно эксплойты представляют собой исполняемые файлы, которые скачиваются из сети в директорию приложения и запускаются. Если же повысить привилегии всё-таки удалось, изменённая функция mount не даст перемонтировать системный раздел на запись, а значит, и произвести в нём какие-либо изменения.
Реализовывать я это, конечно, не буду.
Если ваше устройство подхватит такого троянца, мы рекомендуем использовать официальный образ операционной системы для его перепрошивки. Однако не забывайте, что при этом удалятся все пользовательские файлы и программы, поэтому заранее позаботьтесь о создании резервных копий.
Читайте также:
