Форум программистов, компьютерный форум, киберфорум
Наши страницы
Программирование Android
Войти
Регистрация
Восстановить пароль
 
Рейтинг 4.86/35: Рейтинг темы: голосов - 35, средняя оценка - 4.86
rash26ru
0 / 0 / 0
Регистрация: 08.01.2015
Сообщений: 6
1

Вирус на андроиде - баннер, блокирующий экран

08.01.2015, 05:32. Просмотров 6308. Ответов 16
Метки нет (Все метки)

Доброго времени суток Господа!!! Сегодня столкнулся с вирусом на андроиде, представляет собой банер, блокирующий экран, не работает ни чего кроме кнопки питания, на нем естественно надпись типа "если не положите на телефон 500 деревянных ваш телефон умрет мучительной смертью", т.к. времени заморачиваться не было сделал бэкап и форматнул тел. вечером делать было нечего решил найти в бекапе причину банера, оказалась прога скаченная с ХХХ сайта так и называется ХХХ online player, но apk-шник называется по другому, но суть не в этом! Как мне теперь разобрать этот apk-шник и убрать от туда номер телефона и 500 деревынных, вообще убрать чтоб и не было там ничего кроме надписи "низя лазить де не попадя". Заранее спасибо!
P.S. файлик прикрепил, org.ogr.me-1.rar НЕ СТАВЬТЕ НА СВОЙ ТЕЛЕФОН!!!!!
0
Надоела реклама? Зарегистрируйтесь и она исчезнет полностью.
Similar
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
08.01.2015, 05:32
Ответы с готовыми решениями:

Баннер, блокирующий windows
Добрый вечер. На ноуте подхватила заразу – баннер, блокирующий систему и ...

Баннер МВД блокирующий браузеры
Люди, помогите! На ноуте у клиента баннер МВД блокирующий именно браузеры,...

Всплывающий баннер, блокирующий все яваскрипты на всех браузерах
Доброго времени суток! Столкнулась с ужасной проблемой. Поймала вирус -...

Вирус блокирующий браузера
и так, столкнулся с такой проблемой в интернете сидел без антивирусника и...

вирус блокирующий сайты
поймал вирус блокирующий некоторые сайты. вначале просил отправить смс для...

16
magirus
Почетный модератор
Эксперт по компьютерным сетямЭксперт Windows
27954 / 15675 / 959
Регистрация: 15.09.2009
Сообщений: 67,837
Записей в блоге: 78
08.01.2015, 06:52 2
видишь ли, сейчас из жертвы, ты стал тем самым "распространителем вредоносных программ"...
статьи 272 273 УК...
1
rash26ru
0 / 0 / 0
Регистрация: 08.01.2015
Сообщений: 6
08.01.2015, 07:08  [ТС] 3
Ну хорошо, а как тогда развиваться? как противостоять этой заразе если ни кто не может этот вирь "пощупать"? к тому же я предупредил что это вирус!!!
0
magirus
Почетный модератор
Эксперт по компьютерным сетямЭксперт Windows
27954 / 15675 / 959
Регистрация: 15.09.2009
Сообщений: 67,837
Записей в блоге: 78
08.01.2015, 07:25 4
то есть, ты считаешь, что ты развиваешься, если ты это Ге... выкладываешь на форум, (хотя и "честно" предупреждаешь что это Ге) и просишь изменить в этом Ге. только то чтоб оно денег не требовало?
0
rash26ru
0 / 0 / 0
Регистрация: 08.01.2015
Сообщений: 6
08.01.2015, 07:59  [ТС] 5
Я считаю что да (развиваюсь), и я не прошу изменить это Г, а прошу рассказать, объяснить как разложить апк и вытащить не нужное.
0
Leks2
2 / 2 / 1
Регистрация: 14.11.2014
Сообщений: 110
08.01.2015, 10:27 6
rash26ru, а антивирусник стоял в телефоне?
0
Kastaneda
Jesus loves me
Эксперт С++
4940 / 3016 / 346
Регистрация: 12.12.2009
Сообщений: 7,612
Записей в блоге: 2
Завершенные тесты: 1
08.01.2015, 10:40 7
Цитата Сообщение от magirus Посмотреть сообщение
видишь ли, сейчас из жертвы, ты стал тем самым "распространителем вредоносных программ"...
Не совсем. Он выложил вирус, сказав, что это вирус и что "не ставьте на свои телефоны". Это другое дело.

rash26ru, вечером может если время будет, посмотрю. Хотя наверняка там абфускатором 100 раз прошлись.
Цитата Сообщение от rash26ru Посмотреть сообщение
Как мне теперь разобрать этот apk-шник
в гугл "apk reverse engineering". Вот первое, что нашел.
0
rash26ru
0 / 0 / 0
Регистрация: 08.01.2015
Сообщений: 6
08.01.2015, 17:04  [ТС] 8
На телефоне антивирь Malwaredytes anti-Malware но он не сработал.
0
Tester64
396 / 357 / 46
Регистрация: 22.05.2013
Сообщений: 2,518
09.01.2015, 13:37 9
Взломал, начал изучать...
Вроде все просто... (не первый взгляд)

Похоже создается "плавающее окно". Или даже просто окно на весь экран(это еще проще). Оно вызывается на усыпление/пробуждение телефона.
Похоже пытается зарегистрировать себя как ланчер. Интересно (Вы ведь пробовали) - оно перехватило кнопку Хоум? По идее должна спрашивать
Запускается первом при включении питания.

Добавлено через 5 минут
Я пока смотрел лишь код запуска и вредителя. Меня интересовал режим запуска. Код частично офусцирован или примитивное кодирование идет. Механизм "вымагания/сбора денег" еще не смотрел - не интересно - либо обман, либо адаптирован под некую одну платежную систему.
0
rash26ru
0 / 0 / 0
Регистрация: 08.01.2015
Сообщений: 6
09.01.2015, 14:05  [ТС] 10
Вот!!! Меня тоже интересует запуск и невозможность убрать картинку, чтобы все поняли смысл, хочу сделать что то типо шутки но на непродолжительное время минут на пять, а потом самоуничтожение. Я тоже разодрал апк и даже нашел где лежит запись с инструкцией по оплате на лпределенный номер телефона но номера телефона и кода который надо отправить там нет, он находится в отдельной созданной вирусом папке в телефоне.

Добавлено через 1 минуту
"apk reverse engineering" попробовал но не то что нужно
0
Vladimirys
312 / 209 / 27
Регистрация: 16.01.2010
Сообщений: 610
09.01.2015, 16:40 11
Плюс ко всему зловерд добавляет себя как еще один администратор. Интересно у граждан не возникает вопросов, зачем плееру столько разрешений, да еще таких экзотичных. Если пользователь сам пихает всякую дрянь на копм ему никакой антивирус не поможет.
Запуск через сервис, благо права админа есть, получает сигнал - BOOT_COMPLETED, и стартует. Насколько я понял. Перехвата хоме вроде нет, просто отлавливаться состояние конопок, а так же состояние экрана, включен/выключен.
0
androbro
343 / 303 / 68
Регистрация: 17.10.2014
Сообщений: 898
09.01.2015, 17:10 12
да и осуществляет общение с сайтом "ebuha4a точка net"
и функционал для удаления тоже кстати имеется, опять таки посредством ответа с данного сайта.
0
Vladimirys
312 / 209 / 27
Регистрация: 16.01.2010
Сообщений: 610
09.01.2015, 18:24 13
А по данным из Whois - находим нашего кулцхакера. Судя по адресу почты субъект 1996 года рождения.
http://www.tcpiputils.com/browse/domain/ebuha4a.net
...
egistrant Name: Vyacheslav Kondratev
Registrant Organization:
Registrant Street: ul. Koshevogo 54
Registrant City: Dzerdzhinskiy
Registrant State/Province: Novosibirskaya
Registrant Postal Code: 54511
Registrant Country: RU
Registrant Phone: +7.9877458854
Registrant Phone Ext:
Registrant Fax:
Registrant Fax Ext:
Registrant Email: lock1996@inbox.ru
Гражданин, видимо хочет начать карьеру программиста с 273 УК РФ.
0
androbro
343 / 303 / 68
Регистрация: 17.10.2014
Сообщений: 898
09.01.2015, 21:17 14
Даа, инфа конечно по всей видимости фейковая, но вот возраст судя по ответу реальный)
0
Изображения
 
Kira_the_first
7 / 7 / 1
Регистрация: 23.10.2016
Сообщений: 78
Завершенные тесты: 1
30.10.2016, 17:19 15
Цитата Сообщение от rash26ru Посмотреть сообщение
вообще убрать чтоб и не было там ничего кроме надписи "низя лазить де не попадя"
используйте функцию удаление приложений(ответ на вопрос, удалить через определённое время), если инфа в .html, можно просто заменить строчки на нужные(или воспользоваться поиском), а всё остальное оставить(можна даже в коде не копаться а манифест редактировать)
0
Pablito
30.10.2016, 19:13
  #16

Не по теме:

хватит некропоститть по темам

0
Kira_the_first
7 / 7 / 1
Регистрация: 23.10.2016
Сообщений: 78
Завершенные тесты: 1
04.11.2016, 20:41 17
Цитата Сообщение от rash26ru Посмотреть сообщение
хочу сделать что то типо шутки
Я покопался в нём. Не буду спрашивать зачем вы плеер для порнухи установили Есть способ сделать "по вашему", в папке res\layout\activity_main.xml в android:text= написаны 1е 2е 5е и 6е требования(с кракозябрами, но я это списываю на неправильную декомпиляцию, на андройде декомпилил), их можно изменить, а можно и оставить(для смеху), но самое главное убрать в манифесте разрешение на загрузку вместе с системой, юзер перезагрузит телефон, и сможет удалить вредоносную прогу(но это только теория + тестировалось на эмуляторе, через adb не удаляется, только хард резет помогает, не повторять в домашних условиях!).
0
04.11.2016, 20:41
MoreAnswers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
04.11.2016, 20:41

Вирус блокирующий вход в ВК и одноклассники
Вы пытаетесь зайти под именем ..... из необычного места. Чтобы подтвердить, что...

СМС вирус блокирующий Windows
Здраствуйте , у меня проблема. Скачал реферат , после чего перезапустился...

Вирус блокирующий запуск програм
Добрый день уважаемые вирусоборцы. Закачал из интернета какую-то заразу которая...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
17
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2018, vBulletin Solutions, Inc.
Рейтинг@Mail.ru