Вирус для того чтобы воровать трафик
Как понять, что в телефоне вирус
Да, вредоносные программы опасны не только для компьютера, но и для смартфона. Тем более сейчас, с развитием технологий, злоумышленники просто мечтают подкрасться поближе к устройству, на котором есть все ваши личные и платежные данные. Итак, что должно насторожить вас и заставить подумать, как удалить вирус с телефона:
-
В телефоне стало слишком много рекламы. Баннеры вылетают отовсюду, появляются на рабочем столе, уведомления всплывают даже тогда, когда вы не используете телефон.
Телефон стал быстро разряжаться, сильно нагревается, даже тогда, когда вы им не пользуетесь. Возможно, как раз в это время он участвует в DDOS атаке или майнит для кого-то биткойны.
- После установки нового приложения, пусть даже скачанного из официального магазина, стали появляться ошибки, телефон стал глючить, выключаться, греться.
На карте или в памяти телефона появились поврежденные файлы, не открываются фотографии, аудио-файлы. В телефоне появляются странные папки, которые непонятно к чему относятся.
Смартфон стал слишком самостоятельным и теперь сам устанавливает то, что хочет без вашего участия.
Есть три наиболее распространенных группы "плохих программ".
-
Первое это всплывающие баннеры, которые никак нельзя отключить. Они сильно затрудняют работу пользователя и избавиться от них сложно, чаще всего приходится возвращаться к заводским настройкам и удалять все содержимое телефона.
Второе - шпионские программы, которые записывают все, что делает пользователь телефона и отправляет злоумышленникам. Выследить такую активность легко по увеличившемуся объему передаваемого трафика. Такие вирусы могут своровать данные вашей карточки, важные пароли - и в итоге вы лишитесь денег.
Вирус на телефон Андроид попадает вместе с программами, которые вы спокойно качаете из официальных магазинов. Это могут быть полезные календари и планировщики, игры и программы, считающие, например, ваш рацион и калории. Они могут содержать вредоносный код или же быть полностью написаны для воровства данных с вашего телефона.
Вирус также можно подцепить, открывая письма от незнакомых номеров, переходя по ссылкам из них, скачивая файлы, присланные таким образом или же "левыми" пользователями соцсетей. Даже если затем удалить загрузку, программа может успеть запуститься на вашем телефоне. Также зараженной может оказаться флешка, которую вы присоединяли к компьютеру или получили от кого-то из знакомых.
Пошаговая инструкция по удалению вирусов
Если вы столкнулись с описанными выше проблемами, будьте готовы спасать свой телефон. Мы расскажем, как удалить вирус с телефона различными способами.
1. Начнем с самого простого. Если вы не сделали это раньше, поставьте на свое устройство одну из антивирусных программ и запустите проверку. Есть бесплатные и платные антивирусы, воспользуйтесь продуктами известных производителей. Следуйте указаниям антивируса и удалите те файлы, которые он укажет, как подозрительные. Удалите скачанный антивирус, скачайте еще один и снова проведите проверку.
2. К сожалению, этот вариант помогает не всегда. Если вирусы уже в телефоне, они могут запрещать антивирусу работать правильно. Постарайтесь минимизировать вред, которые причиняет вирус вашему андроид устройству и вашему кошельку: включите режим "В самолете", чтобы программы не имели доступ к интернету. Затем проверьте список приложений. Если среди них есть те, что вам неизвестны, или недавно установлены - удалите их. Также можно посмотреть в "Диспетчере приложений" телефона, какие из них работают активнее других и расходуют максимум трафика. Удалить их можно прямо из корневой папки на главном диске - при подключении к компьютеру. Найдите файл с названием программы и расширением apk, удалите его.
3Удалить вирус с телефона на базе Андроид достаточно быстро можно, если найти вредную программу в списке "администраторов" и отобрать у нее права. Для этого зайдите в меню "Настройки", выберите вкладку "Безопасность" и найдите подпункт с правами приложений. Также это меню может находиться в папке "Приложения". Проверьте, какие права у установленных у вас приложений и при необходимости ограничьте их. В любом случае, нет необходимости доверять программам от сторонних разработчиков все свои секреты.
4. Если удалить программу, которая вам кажется подозрительной, не получается, перейдите в безопасный режим. Для этого нужно выключить телефон, а включая его, зажать кнопку уменьшения громкости. В этом режиме запускаются только системные программы и у вас будет возможность удалить сторонние приложения или отключить их права.
5. Можно удалить вирус через компьютер: если на вашем десктопе установлены антивирусные программы, то они чаще всего сильнее и более продвинуты, чем мобильные версии. Так что телефон можно проверить на вирусы через ПК. Для этого нужно подключить андроид устройство к компьютеру или ноутбуку в режиме "Отладка через USB". Для этого нужно зайти в меню "Настройки", найти там подпункт "Для разработчиков" и включить эту функцию. Затем именно это нужно выбрать в появившемся меню при подключении телефона кабелем. Смартфон откроется как дополнительный диск или флешка, просканируйте его антивирусом полностью. Удалите все найденные угрозы.
6. Самый безотказный способ - откат к заводским настройки. Для того, чтобы это прошло безболезненно, возьмите за правило делать резервную копию вашего смартфона раз в неделю - две недели.
Чтобы вернуться к заводским настройкам, зайдите в меню "Настройки" телефона, выберите там пункт "Система" и зайдите в пункт "Сброс". Там уже можно выбрать пункт "Восстановление до заводских настроек". Помните, что эта процедура сотрет всю информацию с вашего телефона, удалит все контакты, фотографии, приложения. Затем восстановить их можно будет из резервной копии.
7. Если на вашем телефоне обосновался вирус, который не дает зайти в меню, сбрасывайте телефон через компьютер. Только обязательно включите свежий антивирус, присоединяя устройство Андроид к ПК. После подключения USB-кабеля, включите телефон и выберите пункт: сбросить до заводских настроек. В этом случае баннер, закрывший экран, не помешает это сделать.
- Страна, Город:
Латвия - Пол: Мужчина
Если вы проведете поиск в Google по (бессмысленной на первый взгляд) комбинации "a0b4df006e02184c60dbf503e71c87ad" или "a995d2cc661fa72452472e9554b5520c", то на первых же страницах наткнетесь на оживленное обсуждение вирусных проблем на сайтах. Эта беда (сайтовый вирус, идентифицируемый в Интернете по этим комбинациям) довольно активно обсуждается в западном секторе сети вот уже около полугода. Универсального решения я пока в этих обсуждениях не нашел.
Сам столкнулся с этой проблемой в начале лета, и с тех пор возвращаюсь к ней достаточно регулярно.
И вот, вчера, подвергнувшись очередному "нашествию", задался вопросом: почему в Рунете (то есть именно в русскоязычной части сети) нет информации об этой проблеме? Потому что нет пострадавших (кроме меня, несчастного)? Или потому что об этом просто никто не знает? А может быть потому, что проблема эта в Рунете давно решена и не представляется серьезной (но я просто по своей беспросветности этого не знаю)?
Как бы там ни было, если кто-то сталкивался с чем-то подобным на своем сайте, было бы интересно обсудить.
Кто-нибудь сталкивался?
На правах рекламы
- Страна, Город:
РУнет - Пол: Мужчина
и снова в отпуске ))
- Страна, Город:
Латвия - Пол: Мужчина
Константин, как папка называется? которая появляется и где.
- Страна, Город:
Россия, г. Ижевск - Пол: Мужчина
- Страна, Город:
Латвия - Пол: Мужчина
Неужели и обращение к хостеру не дает никаких результатов в борьбе с этой напастью.
Последний ответ хостера меня даже немного развеселил. Цитирую (усиления - мои):
"В данный момент ваш сайта работает исправно. Для предотвращения такой ситуации вам необходимо сменить пароль.
Пользователь сам несёт ответственность за свой контент, так он является владельцем этого контента, и поэтому пользователь должен самостоятельно удалить нежелательный код из своего сайта. И для того чтобы эта ситуация не повторялась в будущем, вам необходимо. "
Ну а советы, которые они дают в подобны ситуациях, достаточно банальны (снова цитирую):
". вам необходимо:
- проверить все компьютеры, через которые вы заходили на хостинг, на наличие вирусов.
- включить архивирование логов в панели управления.
- сменить пароли.
- если ваш сайт на php, то вам необходимо обновить движок сайта.
- и в будущем пароли не хранить на компьютере."
Пароль от этого сайта никогда не хранился на компьютере. Поэтому этот вариант практически отпадает. Тем более, что пароль меняется с тех пор регулярно. Вероятность того, что на моем компе вот уже два месяца сидит какой-нибудь троян-кейлогер. Ну. всякое бывает, но, честно говоря, маловероятно. Ставить сниффер на мой сайт никто не станет - игра не стоит свеч.
Так что, по всей вероятности это какая-то инъекция. Вопрос только в том - почему нет других пострадавших и почему она иногда возвращается: потому что я что-то "недочистил" с первого раза, или потому что какие-то скрипты содержат бреши, используемые время от времени вирусными ботами.
Разберемся, конечно, в итоге. Но просто интересно, как дела у остальных. Может быть кто-то тоже уже давно страдает от этой напасти, но просто не знает об этом В этом, собственно, и была основная цель данной темы: призвать сайтовладельцев проверить свои htaacess-ы в голове сайта.
- Страна, Город:
РУнет - Пол: Мужчина
и снова в отпуске ))
- Страна, Город:
Латвия - Пол: Мужчина
. изменений по дате не обнаружил, в любом случае проверять все сайты постоянно невозможно.
Интересно наблюдать за тем, как все это развивается. Вот мой ребенок, например, этим летом столкнулся с хакером-вымогателем. Теперь дает мне бесплатные уроки по безопасности Впрочем, не буду оффтопить.
- Страна, Город:
Латвия - Пол: Мужчина
Ну что ж. как говорится "Десять дней, полет нормальный"
За десять дней пристального мониторинга эта хрень себя никак больше не проявила.
Предварительные выводы:
1. С большой вероятностью можно сказать, что заражение было автоматическое, - какая-нибудь ботовая инъекция через форму регистрации старого скрипта рассылки. (Вывод: вовремя проводите апгрейд скриптов, не оставляйте старые папки на сервере).
2. Также с большой вероятностью можно сказать, что причиной возвращения вируса на сайт была не полная очистка папок от следов его деятельности. Видимо что-то упустил с первого раза.
Предлагаемые методы борьбы если у кого-то такая зараза вдруг обнаружится:
1. Уничтожение папки вируса (на него обычно указывает антивирусник, это не сложно)
2. Желательно, - если это технически возможно, - перенос скрипта из пораженной папки в другое место. Пораженная папка НЕ УНИЧТОЖАЕТСЯ, но в нее записывается .htaccess файл с единственной строчкой: Deny from all.
3. После этого производится тщательное перелистывание всех папок сайта с целью поиска пораженных .htaacess, css и js - файлов. Все они либо заменяются исходными из резервной копии, либо вычищаются вручную от следов деятельности вируса. Если хотя бы один останется - ждите "возвращения Будулая".
Подробнее опишу в блоге как-нибудь, если эта напасть снова не объявится, конечно.
Здравствуй, мой маленький любитель халявы!
Сегодня мы поговорим с тобой о воровстве
траффика. Мы обсудим один из наиболее
интересных (и, вместе с тем, муторных)
способов относительно честного отъема
траффика у провайдера, о туннелировании
через бесплатно доступные сервисы. Эта
статья будет особенно интересна
пользователям подключенным к Интернету
домовыми и корпоративными сетями, хотя,
возможо, диалап-пользователи тоже смогут
почерпнуть в ней что-то для себя
небесполезное.
Под термином "туннелирование" в данном
контексте я имею ввиду пакетную
инкапсуляцию IPv4-траффика внутрь протоколов
бесплатно доступных пользователю сервисов.
Иными словами, "упаковку" нелегального
IPv4-траффика на клиентской стороне, внутри
провайдерской инфраструктуры и "распаковку"
этого траффика обратно, на серверной
стороне, вне пределов провайдерской сети.
Приведенная принципиальная
схема наглядно иллюстрирует этот подход.
Технология весьма проста и очевидна:
1) Клиентская прокси-программа на
локалхосте злобного хакера выполняет
функции сетевого стека для
пользовательских программ. Она "схватывает"
и проксюет IPv4-траффик нужных программ, "запаковывая"
исходящий траффик и "распаковывая"
входящий (мы использовали совокупность
программ SocksCap и специально написанного для
этих целей socks-сервера).
2) Серверная прокси-программа на стороне-приёмнике
выполняет обратные описанным в [1] функции.
3) Траффик между [1] и [2] идёт по дозволенному,
вполне легальному с точки зрения политики
провайдера, туннелю. При необходимости,
связь между [1] и [2] можно прикрывать SOCKS- и HTTP-проксями,
чтобы админы насилуемого провайдера (в
случае обнаружения воровства траффика) не
смогли отыскать местонахождение серверной
прокси-программы.
По большому счёту, в этом подходе нет ничего
нового и оригинального. Туннелирование и
инкапсуляция используются весьма активно и
повсеместно: порой, это единственный способ
обойти естественные и объективные
топологические ограничения. Но, тем не
менее, я ни разу ещё не встречал людей,
использующих туннелирование с целью
воровства траффика (хотя я неоднократно
слышал об успехах таких деятелей =))
Что касается технических вопросов
реализации туннелинга, то инкапсулировать
можно практически что угодно и практически
куда угодно =)) Что-то туннелировать проще,
что-то - сложнее. Например, mirc-туннелинг мне
удался куда проще, чем DNS-туннелинг,
несмотря на то, что у меня была программа LOKI
из журнала phrack (issue 51, volume 7), которая
выполняет схожие функции. И я уверен, что
технические трудности реализации не
отпугнут тебя, друг мой, а, наоборот,
заинтересуют!
Есть ещё одна объективная трудность,
которая отпугнёт многих дельфистов:
необходимость иметь некий внешний ресурс,
который можно было бы нагрузить серверной
частью. Я вижу лишь два варианта: 1) взлом и
захват каких-нибудь бесхозных удалённых
машин (число коих -- легион =))) или 2)
приобретение в Буржандии легального
хостинга, цена которого вряд ли где-нибудь
превышает полутора-двух баксов за гигабайт.
Многие (если не все) домовые сети, о которых,
в основном, идёт речь, обладают некоторым
числом бесплатно доступных сервисов. Под
"бесплатно доступными сервисами"
можно понимать те сервисы, оплата за
использование которых либо не взимается
вовсе, либо она уже включена в оплату за
пользование локальной сетью. Это может быть
что угодно: игровые сервисы с выходом в мир,
ICMP-траффик (пинги), DNS-траффик, irc-сервер.
В сети, где проводили испытания мы, к этим
сервисам относятся email, DNS-резолвинг
произвольных имён и mirc-сервер с выходом в
мир. Именно про грамотное использование
этих сервисов я и расскажу сегодня. Я дам
тебе необходимое количество практических
советов по максимально эффективному обходу
подводных камней в этой области хакерской (хотя,
скорее хэкерской) деятельности =)))
Насколько я знаю, ещё несколько лет назад
такие бесплатные и публичные сервисы
существовали и были повсеместно
распространены: нужно было лишь отправить
на некий email список нужных URL'ов и ждать, пока
эти файлы не придут на твой адрес. В
некоторых случаях (когда локальная сеть
имела лишь email-доступ в Интернет), это была
единственная возможность получать файлы =)))
Теперь таких сервисов уже не осталось. Стал
быть, нужно организовывать собственный.
Итак, серверная часть должна уметь:
Если не заниматься хэкерством, т.е. если не
писать весь сервер с нуля на бейсике или на
ассемблере, то реализовать такую программу
можно связкой bash+sendmail+netcat+wget+whatever+you+want. Как
ты видишь, это - самый простой в реализации и
использовании способ скачивания файлов
нахаляву. Но, вместе с тем, самый легко
обнаруживаемый.
Кроме того, с этим методом весьма просто
бороться. Админу достаточно лишь ввести
квоту на количество мегабайт почты в сутки
для каждого рядового пользователя.
Этот способ намного изящнее и гибче
предыдущего: здесь уже вполне реально
туннелирование траффика в реальном времени.
Даже при связи серверного баунсера с irc-серваком
через один SOCKS-прокси, мы имели средний "пинг"
около 400 миллисекунд. Этот способ (особенно
при довольно крепкой загрузке irc-сервака)
труднее обнаружить. Кроме того, стандартный
админ вряд ли сможет с пол-пинка придумать
адекватную защиту от irс-туннелинга, разве
что беспощадно учинив своему irc-серваку
жестокий шейпинг и квотирование (вызвав,
тем самым, волны недовольства среди честных
и мирных пользователей =))).
Итак, хакерский клиентский компонент, в
данном случае, оснащён irc-клиентом, а
серверная часть обладает irc-bouncer'ом с одним
или несколькими аккаунтами к насилуемому
irc-серваку. Баунсер может выходить на связь
с irc-сервером через один или несколько
проксей.
Плюсы этого способа очевидны, и если
серверные nick'и не выводить в какие-либо irc-каналы,
можно оставаться незамеченным сколь угодно
долго. А вот минусы этого способа следует
обсудить отдельно:
1) На том серваке, где проводили
тестирования мы, при превышении скорости в 2
kb/sec, мы стабильно получали Excess Flood на
принимающей стороне. Стало быть, нужно либо
придерживаться этого ограничения, либо
вводить несколько "ников"-принимателей
и работать с ними параллельно.
2) Следует избегать устойчивых сигнатур
протокола инкапсуляции воровского
траффика. Это относится к любому из
возможных вариантов пакетного
туннелирования: любая IDS-система (даже
доморощенная вроде snort-based) может быть
настроена отлавливать либо устойчивые
последовательности байт, либо устойчивые
размеры дейтаграмм, либо и то, и другое
одновременно.
Вообще говоря, протокол инкапсуляции
следует проектировать с особой
тщательностью, не перегружая его
избыточной информацией, необходимость в
которой сомнительна. Иными словами, тебе не
следует переписывать TCPv4 под собственные
нужды. Достаточно лишь реализовать
некоторые его основные функции:
1) Если речь идёт о irc-туннелинге (либо о
туннелировании через любой другой tcp-based-сервис),
то достаточно обойтись лишь нумерацией
очередной пачки данных.
2) Если ты занимаешься протоколом пакетной
инкапсуляции (поверх, например, udp или icmp),
тебе необходимо добавить обеспечение
целостности потоков передаваемых данных
дополнительной контрольной суммой.
Протокол неплохо бы оснастить возможностью
договора между клиентом и сервером о
желаемой скорости и насыщенности траффика
друг между другом.
3) Динамическое сжатие и шифрование данных
вполне могут иметь своё законное место в
протоколе инкапсуляции. Ты можешь
использовать открытые и весьма удобные
библиотеки libbzip2 и rsaeuro, для сжатия и
шифрования потоков данных, соответственно.
Кстати, я вскоре опубликую на этом сайте
небольшие хавту по программированию с
использованием этих библиотек.
Итак, mirc-туннелинг -- штука интересная и
романтичная.
Это - самый сложный и грубый из освоенных
нами способов =)) Итак, если ты имеешь
возможность контролировать какой-нибудь name
server в Большом Интернете (в идеале - dns-сервер,
стоящий непосредственно выше dns-серверов
насилуемого тобой провайдера), то этот
способ - для тебя.
Смысл его состоит в том, что хакерский
клиентский компонент "упаковывает"
воровской IPv4-траффик в dns-запросы на
разрешение адреса по имени (или в какие-либо
другие запросы) и отправляет их dns-серверу
провайдера. Провайдерский сервак, не найдя
ответы на эти вопросы, форвардит их дальше,
вышестоящему dns-серверу. Таким образом, эти
запросы достигают серверного компонента (владельца
запрашиваемого домена). Серверная часть
отправляет осмысленные ответы (смысл
которых понятен лишь злобному хакеру =)),
которые, в конечном счёте, достигают
клиентского компонента.
Плюсы этого метода очевидны: приоритет у dns-запросов
настолько высок, что ты сможешь загрузить
весь канал провайдера по максимуму. Кроме
того, спуфинг UDP-траффика - дело крайне
простое и необременительное, и ты сможешь
легко и не напрягаясь подставлять любую
пару MAC/IP из твоего сегмента, отправляя с них
запросы и случая приходящие к ним ответы
сниффером.
К минусам можно, безусловно, отнести
трудности реализации этого метода, а также
весьма неприятные ограничения, связанные с
протоколом DNS/UDP: я не рекомендовал бы тебе
формировать запросы более чем из 8 слов
размером более чем по 25 символов каждый.
Необходимо соблюдать уникальность каждого
следующего запроса, так как велика
вероятность того, что dns-сервера будут
довольно-таки многомегабайтно кэшировать
твои запросы. Кроме того, есть вероятность
того, что один из насилуемых dns-серверов (провайдерский
или любой передающий) могут банально упасть,
если его кэш-база не сквотирована на
фиксированный размер.
Среди способов возможной борьбы с dns-туннелингом
можно выделить подушное квотирование dns-траффика.
Админ того провайдера, где мы проводили
испытания, просто обрубал dns-траффик на наш
сегмент и банил на роутерах те MAC/IP-адреса,
которые мы спуфили.
Как ты видишь, DNS-туннелинг - способ грубый,
трудноконтролируемый, и при слишком
активном использовании он может привести к
непредсказуемым последствиям. В локальных
сетях лучше использовать более щадящие и
нежные способы воровства траффика, а вот
для диалапщиков которые хотят абузить
гостевые телефонные входы это, пожалуй,
единственный вариант. Если ты, всё же,
решился изучить и реализовать этот способ,
обратись к помощи библиотеки libbind. Прочти
также седьмую статью 51-го phrack'а.
ICMP-туннелинг и разговоры о нём стары как
Интернет =) Я счёл нужным про него не забыть,
но рассказывать нём я не стану.
Я, наверное, просто не умею пользоваться
поисковиками. Но мне так и не удалось найти
ни одной публичной реализации тех видов
туннелинга траффика реального времени, о
которых я рассказывал. И это даёт мне
основания полагать, что таких реализаций
просто нет. Поэтому, многое тебе придётся
делать самому. Бери libbind, libbzip2, rsaeuro, rfc 791, 792,
793, 768, 1122, 1034, 1035, а также те, которые
регламентируют протоколы доступных тебе
бесплатных сервисов и. желаю удачи! =)))
Читайте также:
