Методы обнаружения вирусов

21 апреля 2015 года

Специалисты корпорации «Доктор Веб» нашли коварного Android-троянца, какой-нибудь пробует обрести root-привилегии для неприметной загрузки, установки так словно удаления приложений по команде злоумышленников. кроме этого, заданная вредная программа коллекционирует исчерпывающие познания о зараженных мобильных устройствах так словно передает них вирусописателям, а уж уж уж тоже способна показывать назойливую рекламу.

Новая вредная программа, получившая по систематизации Dr.Web имя Android.Toorch.1.origin, скрывается в безвредном на главнейший взор приложении-фонарике так словно перемножать распространяться злодеями чрез пользующиеся популярностью веб-сайты — каталоги ПО, а уж уж уж тоже загружаться на мобильные устройства юзеров при поддержки всевозможных враждебных маркетинговых модулей, входящих в состав тех либо других приложений. дабы Android.Toorch.1.origin заразил Android-смартфон либо планшет, юзер обязан независимо осуществить инсталляцию этой вредной программы, все-таки так как-либо троянец «прячется» под маской законного приложения, возможность его установки вероятными жертвами неизмеримо возрастает. Примечательно, словно наружно Android.Toorch.1.origin ишачит как-либо настоящее приложение-фонарь, потому установившие его юзеры перестать обязаны подозревать какой-нибудь подвох.

screen virus #drweb

После пуска данный троянец соединяется с управляющим сервером так словно загружает на него надлежащую информацию о зараженном устройстве:

  • текущее время;
  • текущее местоположение;
  • IMEI-идентификатор;
  • уникальный идентификатор устройства, сгенерированный троянцем;
  • версия троянца;
  • наличие root-доступа;
  • наличие функционального включения Wi-Fi;
  • версия ОС;
  • язык системы, применяемый в данный момент;
  • производитель так словно модель устройства;
  • имя пакета троянца;
  • тип сетевого подключения.

Одновременно с тем самым Android.Toorch.1.origin пробует увеличить свои системные привилегии перед началом уровня root, для чего задействует измененный злодеями хакерский тюрик com.apkol.root. В случае успеха вредная программа устанавливает в системный каталог /system/app приложение NetworkProvider.apk (также детектируется как-либо Android.Toorch.1.origin), хранящийся в программном пакете троянца, так словно запускает соответственный ему же системный сервис. отдельный версии предоставленного ингридиента имеют баста шансы охватывать добавочный модуль GDataAdapter, какой-нибудь подобным образом монтируется в системный каталог так словно служит для того, дабы поддерживать систематическое функционирование NetworkProvider.apk, вторично запуская его в случае прекращения работы.

В свою очередь, программа NetworkProvider.apk содержит в для себя еще один-одинешенек составляющую троянца Android.Toorch.1.origin, внесенный в вирусную основание как-либо Android.Toorch.2.origin. Он загружается в оперативную память с применением класса DexClassLoader так словно дальше удачного старта в зараженной системе приобретает с управляющего сервера конфигурационный файл, в соответствии с коим воплотит в жизнь последующую вредоносную деятельность. В частности, он перемножать доложить вирусописателям о своем успешном запуске, осуществить личное обновление, завалить на удаленный узел обстоятельную информацию об инфицированном устройстве, подключая его GPS-координаты, а уж уж уж тоже передать познания об поставленных программах. все-таки первостепенная опция предоставленного модуля заключается в том, словно по команде злоумышленников он в силах загружать, становить либо вытаскивать заданные ими приложения, при данном благодаря приобретенному раньше root-доступу заданные деяния будут совершаться без вмешательства юзера зараженного устройства.

Примечательно, словно Android.Toorch.1.origin содержит в для себя встроенную маркетинговую платформу Adware.Avazu.1.origin, которая предопределена для отражения рекламы на экране зараженных механизмов любой раз, как-либо юзер выполнит инсталляцию такого либо другого приложения. данный же модуль перемножать водиться инсталлирован в систему некими модификациями троянца так словно в качестве отдельного приложения, идущего в составе троянского ингридиента GoogleSettings.apk – совершенного аналога модуля NetworkProvider.apk.

screen virus #drweb

Серьезная угроза Android.Toorch.1.origin заключается в том, словно устанавливаемые им же же вредные модули помещаются в системный каталог, какой-нибудь перестать сканируется во час исполнения резвой испытания антивирусными продуктами Dr.Web для Android. В итоге в том числе так чисто в случае удаления начального троянского приложения-фонаря инсталлированные им же же ингридиенты остаются в системе так словно продолжают тайно скорпулезно исполнять свою вредоносную деятельность, потому при первом обнаружении троянца Android.Toorch.1.origin недурно осуществить совершенную испытание мобильного устройства.

Специалисты корпорации «Доктор Веб» разработали особую утилиту, которая обязана пособить пострадавшим от троянца Android.Toorch.1.origin юзерам спровадить баста его запасные ингридиенты со своих мобильных устройств. дабы осуществить исцеление зараженных смартфонов так словно планшетов, очень недурственно загрузить эту утилиту, найти так словно пустить ее, дальше чего придерживаться инструкциям на экране. недурно отметить, словно дальше удачного удаления троянца из системы root-полномочия в ней превращаются недоступными, потому в случае если Android-устройство первоначально поддерживало эти привилегии, них нужно обрести заново.

НОВОЕ НА САЙТЕ

15 мая 2018 лета

Компания «Доктор Веб» воображает брошюру «Настрой-ка защиту от майнеров», которая сообщает юзеров о том, как-нибудь деньгами антивируса Dr.Web защититься от троянцев-майнеров — вредных программ, специализированных для скрытого заработка криптовалют либо них кражи.

Невероятно известный Теперь майнинг криптов... Антивирус Dr.Web

14 мая 2018 года

В конце марта корпорация «Доктор Веб» сообщила о распространении троянца, похищающего с зараженных механизмов файлы так будто другую секретную информацию. Наши вирусные аналитики обследовали чуть новеньких трансформаций этой вредной программы так будто выявили ее ... Горячая лента угроз и предупреждений о вирусной опасности!

14 мая 2018 года

Компания «Доктор Веб» информирует об обновлении дарового денежные средства аварийного восстановления так что исцеления ПК – Dr.Web LiveDisk 9.0.

Изменения в Dr.Web LiveDisk:

  • Dr.Web LiveDisk сейчас основывается на Ubuntu версии 16.04;
  • исправлена ошибка, при коей ОС закончить завершала работу, коли выключени... Антивирус Dr.Web

    14 мая 2018 года

    В конце марта шатия-братия «Доктор Веб» сообщила о распространении троянца, похищающего с зараженных механизмов файлы так словно другую секретную информацию. Наши вирусные аналитики изучали каплю новеньких трансформаций этой вредной программы так словно выявили ее... Вирусные новости

    10 мая 2018 года

    В ноябре минувшего годы корпорация «Доктор Веб» рассказала о сетевых мошенниках, предлагающих всем желающим приобрести несуществующие вознаграждения от страховых фондов. Этой в весеннюю пору бандюганы активировались вновь — на сей однажды они обещ... Горячая лента угроз и предупреждений о вирусной опасности!