Вирус mobi do in

Добавлен в вирусную базу Dr.Web: 2016-03-12

Описание добавлено: 2016-03-17

• 90f044607f37ccc795af8a8d87eef2fae071104f
• 45273fc93befb963015bbb99ae67bcf596412cc1 (dex)
• 9fef8711a2cce4b2e46f93f29bc4b3153d719af1 (RockClient.odex , детектируется как Android.Gmobi.3)

Троянский SDK (Software Development Kit), встраиваемый в Android-приложения и предназначенный для показа рекламы, загрузки и установки ПО, а также сбора конфиденциальной информации. Может содержаться в различных программах. В частности, был обнаружен в таких приложениях как com.rock.gota (системное ПО для обновления прошивки Micromax AQ5001), Trend Micro Dr.Safety, Dr.Booster и Asus WebStorage.

При каждой загрузке зараженного устройства (android.intent.action.BOOT_COMPLETED), а также при установке новых приложений (android.intent.action.PACKAGE_ADDED) Android.Gmobi.1 при помощи широковещательного приемника (BroadcastReceiver) ActionMonitor запускает сервис ActionService.

Далее ActionService проверяет, активны ли остальные компоненты вредоносной программы и, если это необходимо, инициализирует их работу. Затем устанавливает системному сервису AlarmManager задачу на отправку сообщений приемнику ActionMonitor каждые 60 секунд, тем самым обеспечивая его непрерывную работу.

Один из широковещательных приемников (BroadcastReceiver), зарегистрированных в ActionMonitor, отслеживает состояние экрана инфицированного устройства. После получения сообщения о том, что экран включен (android.intent.action.SCREEN_ON), проверяет собственную локальную базу данных на наличие информации о рекламе, которую нужно показать пользователю. Если эти данные имеются, происходит запуск ActionActivity, с использованием которого показывается реклама нескольких типов:

Запускается при подключении к Интернету и при включении экрана. Прекращает работу при отключении интернет-соединения или через 60 секунд после выключения экрана. Заносит в локальную базу данных список установленных на устройстве приложений.

Собирает следующую информацию:

• email-адреса пользователя;
• наличие роуминга (есть или нет);
• координаты пользователя (используется GPS или данные мобильной сети);
• техническая информация об устройстве: наименование производителя, IMEI- и IMSI-идентификаторы, MAC-адрес Bluetooth- и WI-Fi-адаптера, размеры экрана, данные о приложении, содержащем вредоносный SDK, версия SDK и некоторые другие сведения;
• страна нахождения пользователя, определяемая при помощи GPS (если GPS недоступен, используется информация сети NetworkCountryIso, SIM-карты, а также Locale);
• наличие установленного приложения Google Play,

Среди принимаемых команд могут быть следующие:

• сохранить в базу данных информацию о рекламе, которую необходимо показать пользователю;
• создать рекламный ярлык на рабочем столе (нажатие на этот ярлык запускает ActionActivity с рекламой);
• показать уведомление с рекламой (нажатие на уведомление запускает ActionActivity);
• показать уведомление, нажатие на которое приведет к запуску уже установленного приложения;
• автоматически загрузить и установить apk-файлы с помощью ReliableDownloadManager (установка не скрытая);
• скрытно установить apk-файлы с помощью ReliableDownloadManager (используется pm install).

Перечисленные команды могут содержать в себе специальные фильтры:

• по IMEI;
• по имени приложения, в которое внедрен вредоносный SDK;
• по региону проживания пользователя;
• по текущему мобильному оператору;
• по наименованию производителя мобильного устройства.

Пример данных, получаемых троянцем от управляющего сервера:

Также этот модуль используется для загрузки вспомогательных файлов, например, ярлыков или изображений для рекламных баннеров.

Полученные сведения сохраняются в SharedPreferences, а также в локальную базу данных под ключом location_send_server_data. До тех пор, пока в SharedPreferences для location_send_server_data есть данные, новые координаты не запоминаются.

• GetSalesTrackInfo
• push/disable
• push/enable
• data/
• GetSDKUsedTime

Android Gmobi 1 опасный вирус. Из нашей статьи вы узнаете где он находится, как действует и какой вред несет, а так же как бороться с этой заразой. Android.Gmobi.1 далеко не новый вирус, но многие пользователи все еще хватают его в сети из-за незащищенности версий андроида от 2.0 и вплоть до прошивок нового поколения. Это троянский конь, который ставит под угрозу программную оболочку системы, что само собой влияет на утечку информации, личных данных, переписок и любой другой конфиденциальной информации. Не будем запугивать читателя и поэтапно расскажем что это за беда.
Android.Gmobi.1 – представляет несколько модулей программного вирусного кода, которые при необходимости выкачиваются и обновляются. Может быть вшит в сторонние приложения, но так же может попасть через прошивку, скачанную из неофициальных источников.
Если ваш телефон не защищен антивирусом – троян производит попытку перехвата личных данных пользователя и постоянно показывает рекламные ссылки и баннера выскакивающие в разных местах экрана. Так же зловредный код спамит в любых местах с уведомлениями: в верхней панельке “быстрых уведомлений”, диалоговых окнах, в любых программах или играх установленных из Google Play Market.
Вирусу достаточно всего одного “живого” куска что бы продолжать жить в устройстве. При первом включении интернета все остальные части будут скачаны. К тому же если злоумышленникам не удалось перехватить данные – они собирают статистику с вашего телефона, а так же могут собирать информацию по вводу с клавиатуры, а это ваши данные и пароли. Вот основные “темные” стороны воздействия вируса. Если вы замечаете на телефоне следующие симптомы или один:

• Горит иконка “закачки”, что-то постоянно обновляется без вашего ведома и уведомлений -это может быть опасным сигналом, т.к. может качаться вредоносное ПО, другие вирусы.
• Сами запускаются приложения, в них открываются рекламные вкладки.
• Рекламные вкладки открываются в играх и приложениях где их раньше не было.
• Браузер ведет себя непонятно – сам открывает вкладки, запускаются баннера с рекламой, непроизвольный переход по ссылкам.

Значит телефон точно заражен вирусом, если не данным видом, то скорее всего другим.

Не путайте обычную рекламу от Гугла в играх и программах – такая реклама обычно располагается в небольшом окошке, не мешает работе приложения и может быть закрыта.

Как удалить Android.Gmobi.1 ?

Я надеюсь у каждого разумного пользователя телефона уже установлен антивирус, который предназначается прежде всего для защиты от попадания вредных программ и кодов на устройство.
Из бесплатных отлично зарекомендовали себя Касперский антивирус, а так же Dr.Web, их бесплатных версий хватит для базовой защиты телефона. Недавно мы писали о новом отличном антивирусе, ознакомиться с которым можно тут: Quick Heal Mobile Security для Android

Android Gmobi уже внесен во многие антивирусные базы и теперь легко определяется и удаляется.
Редко случается что вирус вшит в саму прошивку операционной системы и находится в ядре системных файлов.

Тут вариантов несколько:

• Если дело не в прошивке поможет “Сброс настроек” для этого достаточно зайти в меню “Настройки” и найти пункт “Восстановление и сброс”. Но учтите, удалять придется все приложения. Рекомендую сохранить только телефонную книгу, контакты, все остальное легко установить с нуля из Плей Маркета.
• Версии Андроида от 4 выше поддерживают загрузку в “Безопасном режиме”. Что бы перезагрузить телефон в таком режиме нажмите кнопку питания, а затем задержите палец ни иконке “Отключить питание” телефон предложит перезагрузить телефон в безопасном режиме. В таком режиме проверьте антивирусом всю память телефона, включая флеш карту.

Как войти в безопасный режим Андроид

Безопасный режим Андроид

Не пожалейте времени, пусть ваши данные и личная жизнь будут в безопасности.

Евгений Загорский

IT специалист. Автор информационных статей на тему Андроид смартфонов и IOS смартфонов. Эксперт в области решения проблем с компьютерами и программами: установка, настройка, обзоры, советы по безопасности ваших устройств. В свободное время занимается дизайном и разработкой сайтов.

Parasite may reinstall itself multiple times if you don't delete its core files. We recommend downloading ComboCleaner to scan for malicious programs installed with it. This may save you hours and cut down your time to about 15 minutes.

More information about ComboCleaner and steps to uninstall. Please review ComboCleaner's EULA and Privacy Policy. Keep in mind, only ComboCleaner’s scanner is free. If it detects a malware, you'll need to purchase its full version to remove it.

Throughout today’s article we are reviewing the symptoms of the infection caused by a form of a browser hijacker called Eastbour.mobi “Virus“. What is more, we are including some general safety tips, removal instructions and basic details about hijackers as a whole and Eastbour.mobi in particular.

Briefly speaking – Eastbour.mobi is all about advertising and it could achieve that by changing the ways your browser (Chrome, Explorer or Firefox) operates looks and works. The possible modifications you might experience are related to an increase in the number of the generated web ads you might come across online or the annoying act of your browser sending you somewhere on the Internet you do not want to go to. Hijackers are also known for putting some irritating new homepages and search engines, replacing the ones you are already used to working with. Generally , we could say that hijackers are not malicious programs and you will see exactly why in the text below.

Irritating but not malicious – the true face of the so-called page redirects:

In order to deal with an issue, you need to first understand its nature. As a typical browser hijacker, Eastbour.mobi is NOT characterized by a virus-like behaviour, but by an advertising-oriented one. Along with adware, hijackers represent online tools for conducting promotion campaigns. In fact, we could say that their presence on your computer shouldn’t typically lead to any (direct) damage to your system.

The page redirects like Eastbour.mobi could seriously interrupt your surfing experiences in the ways we have already mentioned – by showing too many annoying advertisements or by changing the direction of your search requests. However, that is how their designers make money. Hijacker are generally created by people who are interested in getting paid for advertising something online and there is actually nothing strange about that. We watch ads on the TV every evening and they are present in the radio programs from morning to dawn. As the cyber world is getting more and more populated by users, it is logical that the advertising industry wants to move there and the people want to sell their products there.

Eastbour.mobi Pop up “Virus” Removal

If you have a Windows virus, continue with the guide below.

If you have a Mac virus, please use our How to remove Ads on Mac guide.

If you have an Android virus, please use our Android Malware Removal guide.

If you have an iPhone virus, please use our iPhone Virus Removal guide

Some of the steps will likely require you to exit the page. Bookmark it for later reference.

Reboot in Safe Mode (use this guide if you don’t know how to do it) .

WARNING! READ CAREFULLY BEFORE PROCEEDING!

We get asked this a lot, so we are putting it here: Removing parasite manually may take hours and damage your system in the process. We recommend downloading ComboCleaner to see if it can detect parasite files for you.

Press CTRL + SHIFT + ESC at the same time and g o to the Processes Tab ( t he “Details” Tab on Win 8 and 10 ) . Try to determine which processes are dangerous.

Right click on each of them and select Open File Location . Then scan the files with our free online virus scanner:

File Name: File Size: Please Choose a File File Type: Detection ratio: -->

Scan Results

Virus Scanner	Result
ClamAV
AVG AV
Maldet

Scan Results

A fter you open their folder, end the processes that are infected, then delete their folders.

Note: If you are sure something is part of the infection – delete it, even if the scanner doesn’t flag it. No anti-virus program can detect all infections.

Hold together the Start Key and R . Type appwiz.cpl –> OK.

You are now in the Control Panel . Look for suspicious entries. Uninstall it/them .

Type msconfig in the search field and hit enter. A window will pop-up:

Startup —> Uncheck entries that have “Unknown” as Manufacturer or otherwise look suspicious.

Hold the Start Key and R – copy + paste the following and click OK:

notepad %windir%/system32/Drivers/etc/hosts

A new file will open. If you are hacked, there will be a bunch of other IPs connected to you at the bottom. Look at the image below:

If there are suspicious IPs below “Localhost” – write to us in the comments.

Open the start menu and search for Network Connections (On Windows 10 you just write it after clicking the Windows button), press enter.

1. Right-click on the Network Adapter you are using —>Properties —>Internet Protocol Version 4 (ICP/IP), click Properties.
2. The DNS line should be set to Obtain DNS server automatically. If it is not, set it yourself.
3. Click on Advanced —> the DNS tab. Remove everything here (if there is something) —>OK.

• After you complete this step, the threat will be gone from your browsers. Finish the next step as well or it may reappear on a system reboot.

Right click on the browser’s shortcut —> Properties.

NOTE: We are showing Google Chrome, but you can do this for Firefox and IE (or Edge).

Properties —–> Shortcut. In Target, remove everything after .exe.

Open IE , click
—–> Manage Add-ons .

Find the threat —> Disable . G o to
—–> Internet Options —> change the URL to whatever you use (if hijacked) —> Apply.

Remove Eastbour.mobi from Firefox :

Open Firefox , click
——-> Add-ons —-> Extensions .

Find the adware/malware —> Remove .
Remove Eastbour.mobi from Chrome :

Close Chrome. Navigate to:

C:/Users/ . USER NAME. /AppData/Local/Google/Chrome/User Data. There is a Folder called “Default” inside:

Rename it to Backup Default. Restart Chrome.

To remove parasite on your own, you may have to meddle with system files and registries. If you were to do this, you need to be extremely careful, because you may damage your system.

If you want to avoid the risk, we recommend downloading ComboCleaner
a professional malware removal tool.

Type Regedit in the windows search field and press Enter.

Inside, press CTRL and F together and type the threat’s Name. Right click and delete any entries you find with a similar name. If they don’t show up this way, go manually to these directories and delete/uninstall them:

If the guide doesn’t help, download the anti-virus program we recommended or try our free online virus scanner. Also, you can always ask us in the comments for help!

Installation of Eastbour.mobi “Virus”

Eastbour.mobi may not be malicious, but it is indeed really suspicious. It could get installed on the system by getting the user’s typically uninformed permission. Usually that is made possible by the biggest hijacker source – the popular free software bundles. What developers do is they less desirable software such as hijackers within the installers of free programs that users might want to install. However, if the user goes for the default installation setting, the unwanted software is likely to get installed as well.

Avoiding this is easy but you need to always make sure that you customize the setup configuration prior to launching the installation. You are NEVER supposed to disregard any installation process. On the contrary, you need to give all your attention while going through the setup wizard because that could save you from many forms of cyber infections, especially the newest sneaky ones. Spend some more time installing your free bundles or any other program to ensure that your computer will be safe from threats.

To get the freedom to customize the installation process, you should normally choose the expanded installation settings. Doing so is possible only in case you choose the right installation option. Such options are typically labeled Custom, Manual or Advanced. Also, make sure that your choice is informed and that you read all the end-user client agreements, no matter what you are getting installed. Only that way could you minimize the risks of catching page redirects.

Also, it won’t hurt to be careful while surfing the web. Choose only software sources that you completely trust if you want to download something on your computer. What is more, keep your entire OS and all the installed separate programs fully updated with their latest patches so the number of potential vulnerabilities is brought to a minimum.

Всплывающие окна с сайтом free.digiapps.mobi в Гугл Хроме, Мозилла Файрфоксе или Интернет Эксплорере, который показывает разнообразные рекламные страницы, является признаком возможного заражения вашего компьютера рекламным вирусом. Этот компьютерный паразит создан только для одного, показывать рекламу, снова показывать рекламу и ещё раз — показывать рекламу, делая это разнообразными способами, такими как текстовые объявления, всплывающие окна, рекламные ссылки в тексте сайта и так далее.

• Рекламные баннеры интегрированы в сайты на которых вы точно знаете рекламы не должно быть
• Разнообразные случайные слова и фразы вставлены в ссылки
• Браузер показывает небольшие окна, которые рекомендуют обновить флеш плеер или другое программное обеспечение
• Неизвестные вам программы сами появились на компьютере

Как бы это не казалось странным, но вероятнее всего он попал на компьютер благодаря вашим действиям. Обычно подобные вредные и ненужные программы проникают на ПК, когда пользователь инсталлирует бесплатное приложение, например, менеджер закачек, торрент клиент или редактор текста. Тут всё просто, free.digiapps.mobi паразит просто интегрированан в инсталляционный пакет таких приложений и при их инсталляции он устанавливается автоматически тоже.

Поэтому нужно всегда очень внимательны относиться к тому, что вы собираетесь загрузить с Интернета! После запуска скачанной программы, на этапе установки, внимательно читайте все сообщения. Не спешите нажимать кнопку Agree или Согласен в окне, в котором приведено пользовательское соглашение. Обязательно внимательно прочитайте его. Старайтесь при установке любых программ выбирать пункт Advanced(Custom), то есть полностью контролировать, что и куда будет инсталлировано. Таким образом вы сможете избежать проникновение на ПК потенциально ненужных и рекламных программ. И главное, никогда не устанавливаете то, чему не доверяете!

Пошаговая инструкция, как удалить рекламу free.digiapps.mobi из Хрома, Файрфокса и Интернет эксплорера

Следующая инструкция — это пошаговое руководство, которое нужно выполнять шаг за шагом. Если у вас что-либо не получается, то ОСТАНОВИТЕСЬ, запросите помощь написав комментарий к этой статье или создав новую тему на нашем форуме.

Если вы используете компьютер Apple под управлением Mac OS X, то воспользуйтесь следующей инструкцией Как удалить вирус, всплывающие окна и рекламу в Mac OS X

AdwCleaner это небольшая программа, которая не требует установки на компьютер и создана специально для того, чтобы находить и удалять рекламные и потенциально ненужные программы. Эта утилита не конфликтует с антивирусом, так что можете её смело использовать. Деинсталлировать вашу антивирусную программу не нужно.

Скачайте программу AdwCleaner кликнув по следующей ссылке.

После окончания загрузки программы, запустите её. Откроется главное окно AdwCleaner.

Кликните по кнопке Сканировать. Программа начнёт проверять ваш компьютер. Когда проверка будет завершена, перед вами откроется список найденных компонентов free.digiapps.mobi и других найденных паразитов.

Кликните по кнопке Очистка. AdwCleaner приступ к лечению вашего компьютера и удалит все найденные компоненты зловредов. По-окончании лечения, перезагрузите свой компьютер.

Malwarebytes Anti-malware это широко известная программа, созданная для борьбы с разнообразными рекламными и вредоносными программами. Она не конфликтует с антивирусом, так что можете её смело использовать. Деинсталлировать вашу антивирусную программу не нужно.

Скачайте программу Malwarebytes Anti-malware используя следующую ссылку.

Когда программа загрузится, запустите её. Перед вами откроется окно Мастера установки программы. Следуйте его указаниям.

Когда инсталляция будет завершена, вы увидите главное окно программы.

Автоматически запуститься процедура обновления программы. Когда она будет завершена, кликните по кнопке Запустить проверку. Malwarebytes Anti-malware начнёт проверку вашего компьютера.

Когда проверка компьютера закончится, Malwarebytes Anti-malware покажет вам список найденных частей вредоносных и рекламных программ.

Для продолжения лечения и удаления зловредов вам достаточно нажать кнопку Удалить выбранное. Этим вы запустите процедуру удаления рекламы free.digiapps.mobi.

Сброс настроек Хрома позволит удалить вредоносные расширения и восстановить настройки браузера к значениям принятым по-умолчанию. При этом, ваши личные данные, такие как закладки и пароли, будут сохранены.

Откройте главное меню Хрома, кликнув по кнопке в виде трёх горизонтальных полосок ( ). Появится меню как на нижеследующей картинке.

Выберите пункт Настройки. Открывшуюся страницу прокрутите вниз и найдите ссылку Показать дополнительные настройки. Кликните по ней. Ниже откроется список дополнительных настроек. Тут вам нужно найти кнопку Сброс настроек и кликнуть по ней. Гугл Хром попросит вас подтвердить свои действия.

Нажмите кнопку Сбросить. После этого, настройки браузера будут сброшены к первоначальным и всплывающие окна или перенаправление на free.digiapps.mobi будет удалено.

Сброс настроек Файрфокса позволит удалить вредоносные расширения и восстановить настройки браузера к значениям принятым по-умолчанию. При этом, ваши личные данные, такие как закладки и пароли, будут сохранены.

Откройте главное меню Хрома, кликнув по кнопке в виде трёх горизонтальных полосок ( ). В появившемся меню кликните по иконке в виде знака вопроса (
). Это вызовет меню Справка, как показано на рисунке ниже.

Здесь вам нужно найти пункт Информация для решения проблем. Кликните по нему. В открывшейся странице, в разделе Наладка Firefox нажмите кнопку Очистить Firefox. Программа попросит вас подтвердить свои действия.

Нажмите кнопку Очистить Firefox. В результате этих действий, настройки браузера будут сброшены к первоначальным. Этим вы удалите всплывающие окна с рекламой free.digiapps.mobi.

Сброс настроек Интернет Эксплорера и Эджа позволит удалить вредоносные расширения и восстановить настройки браузера к значениям принятым по-умолчанию.

Откройте главное браузера, кликнув по кнопке в виде шестерёнки ( ). В появившемся меню выберите пункт Свойства браузера.

Когда процесс сброса настроек завершиться, нажмите кнопку Закрыть. Чтобы изменения вступили в силу вам нужно перезагрузить компьютер. Таким образом вы сможете избавиться от рекламы free.digiapps.mobi.

Для очистки ярлыка браузера, кликните по нему правой клавишей и выберите пункт Свойства.

Удалив этот текст нажмите кнопку OK. Таким образом очистите ярлыки всех ваших браузеров, так как все они могут быть заражены.

Чтобы повысить защиту своего компьютера, кроме антивирусной и антиспайварной программы, нужно использовать приложение блокирующее доступ к разннобразным опасным и вводящим в заблуждение веб-сайтам. Кроме этого, такое приложение может блокировать показ навязчивой рекламы, что так же приведёт к ускорению загрузки веб-сайтов и уменьшению потребления веб траффика.

Скачайте программу AdGuard используя следующую ссылку.

После окончания загрузки запустите скачанный файл. Перед вами откроется окно Мастера установки программы.

Кликните по кнопке Я принимаю условия и и следуйте указаниям программы. После окончания установки вы увидите окно, как показано на рисунке ниже.

Вы можете нажать Пропустить, чтобы закрыть программу установки и использовать стандартные настройки, или кнопку Начать, чтобы ознакомиться с возможностями программы AdGuard и внести изменения в настройки, принятые по-умолчанию.

В большинстве случаев стандартных настроек достаточно и менять ничего не нужно. При каждом запуске компьютера AdGuard будет стартовать автоматически и блокировать всплывающую рекламу, сайты подобные free.digiapps.mobi, а так же другие вредоносные или вводящие в заблуждения веб странички. Для ознакомления со всеми возможностями программы или чтобы изменить её настройки вам достаточно дважды кликнуть по иконке AdGuard, которая находиться на вашем рабочем столе.

• При установке новых программ на свой компьютер, всегда читайте правила их использования, а так же все сообщения, которые программа будет вам показывать. Старайтесь не производить инсталляцию с настройками по-умолчанию!
• Держите антивирусные и антиспайварные программы обновлёнными до последних версий. Так же обратите внимание на то, что у вас включено автоматическое обновление Windows и все доступные обновления уже установлены. Если вы не уверены, то вам необходимо посетить сайт Windows Update, где вам подскажут как и что нужно обновить в Windows.
• Если вы используете Java, Adobe Acrobat Reader, Adobe Flash Player, то обязательно их обновляйте вовремя.

Моё имя Валерий. Я сертифицированный специалист в области компьютерной безопасности, выявления источников угроз в ИТ инфраструктуре и анализе рисков с опытом работы более 15 лет. Рад поделиться с вами своими знаниями и опытом.

Оставить комментарий Отменить ввод комментария

Добро пожаловать

На нашем сайте размещены инструкции и программы, которые помогут вам абсолютно бесплатно и самостоятельно удалить навязчивую рекламу, вирусы и трояны.