Odvirování PC, zrychlení počítače, vzdálená pomoc prostřednictvím služby neslape.cz
Trojan na Android TV
Moderátor: Moderátoři
Pravidla fóra
Pokud chcete pomoc, vložte log z FRST [návod zde] nebo RSIT [návod zde]
Jednotlivé thready budou po vyřešení uzamčeny. Stejně tak ty, které budou nečinné déle než 14 dní. Vizte Pravidlo o zamykání témat. Děkujeme za pochopení.
!NOVINKA!
Nově lze využívat služby vzdálené pomoci, kdy se k vašemu počítači připojí odborník a bližší informace o problému si od vás získá telefonicky! Více na www.neslape.cz
Pokud chcete pomoc, vložte log z FRST [návod zde] nebo RSIT [návod zde]
Jednotlivé thready budou po vyřešení uzamčeny. Stejně tak ty, které budou nečinné déle než 14 dní. Vizte Pravidlo o zamykání témat. Děkujeme za pochopení.
!NOVINKA!
Nově lze využívat služby vzdálené pomoci, kdy se k vašemu počítači připojí odborník a bližší informace o problému si od vás získá telefonicky! Více na www.neslape.cz
-
- Návštěvník
- Příspěvky: 61
- Registrován: 04 lis 2005 22:38
Trojan na Android TV
Dobry den,
Predne bych chtel poprat vsem adminum a moderatorum dobre zdravi v techto podivnych casech.
Dnes ponekud nestandardni prispevek a rovnou se omlouvam, ze nemohu vlozit FRST log. Infikovane je totiz moje Android TV zarizeni, nikdy bych neveril, ze se to muze stat... Priznaky presne odpovidaji tomuto clanku, jde o bitcoin miner com.ufo.miner
https://news.sophos.com/en-us/2019/02/2 ... er-trojan/
Google Play Protection ho ihned hlasi (tvari se jako aplikace 'Test'), da se nastesti snadno odinstalovat. The pitfall: behem par min se nainstaluje sam znovu a nenasel jsem zpusob, jak tomu zabranit (vyzkousen real-time stit od Kasperski i Sophos).
Podle clanku by pomohlo zablokovat celou domenu conihive.com (prip. port 5555). Na Win 10 bych vedel, co delat, ale toto bude vyzadovat blokaci na HW firewallu. Pripojil jsem se tedy na svuj TP-Link Archer C6 a s hruzou zjistil, ze tento wifi router neumi blokaci domen .
-> Mam jinou moznost, nez napsat UPC, aby se pokusili domenu zablokvoat na FW oni jakozto ISP?
Dekuji vam predem (i za veskerou pomoc v minulosti).
Predne bych chtel poprat vsem adminum a moderatorum dobre zdravi v techto podivnych casech.
Dnes ponekud nestandardni prispevek a rovnou se omlouvam, ze nemohu vlozit FRST log. Infikovane je totiz moje Android TV zarizeni, nikdy bych neveril, ze se to muze stat... Priznaky presne odpovidaji tomuto clanku, jde o bitcoin miner com.ufo.miner
https://news.sophos.com/en-us/2019/02/2 ... er-trojan/
Google Play Protection ho ihned hlasi (tvari se jako aplikace 'Test'), da se nastesti snadno odinstalovat. The pitfall: behem par min se nainstaluje sam znovu a nenasel jsem zpusob, jak tomu zabranit (vyzkousen real-time stit od Kasperski i Sophos).
Podle clanku by pomohlo zablokovat celou domenu conihive.com (prip. port 5555). Na Win 10 bych vedel, co delat, ale toto bude vyzadovat blokaci na HW firewallu. Pripojil jsem se tedy na svuj TP-Link Archer C6 a s hruzou zjistil, ze tento wifi router neumi blokaci domen .
-> Mam jinou moznost, nez napsat UPC, aby se pokusili domenu zablokvoat na FW oni jakozto ISP?
Dekuji vam predem (i za veskerou pomoc v minulosti).
Re: Trojan na Android TV
Ahoj
Vies tuto aplikaciu najst aj zozname nainstalovanych aplikacii (v nastaveniach)? Ak ano, skus najprv vynutit zastavenie aplikacie (force stop) a nasledne ju odinstalovat.
Skusal si aj factory reset (obnova tovarenskych nastaveni) zariadenia?
Vies tuto aplikaciu najst aj zozname nainstalovanych aplikacii (v nastaveniach)? Ak ano, skus najprv vynutit zastavenie aplikacie (force stop) a nasledne ju odinstalovat.
Skusal si aj factory reset (obnova tovarenskych nastaveni) zariadenia?
Absolvent skoly pre novacikov
E-mail: conder (zavinac) forum.viry.cz
Ak nieco nie je jasne, pytaj sa. Odporucam mat vzdy zalohovat dolezite data (dokumenty, fotky a ine).
Fixlisty a ine scripty su pisane len pre konkretny PC. Nepouzivajte ich na inych zariadeniach, inak hrozi poskodenie systemu alebo strata dat.
Ak mate podobny problem ako iny uzivatel, prosim, zalozte si vlastnu temu.
V pripade spokojnosti je mozne podporit forum. Dakujeme!
E-mail: conder (zavinac) forum.viry.cz
Ak nieco nie je jasne, pytaj sa. Odporucam mat vzdy zalohovat dolezite data (dokumenty, fotky a ine).
Fixlisty a ine scripty su pisane len pre konkretny PC. Nepouzivajte ich na inych zariadeniach, inak hrozi poskodenie systemu alebo strata dat.
Ak mate podobny problem ako iny uzivatel, prosim, zalozte si vlastnu temu.
V pripade spokojnosti je mozne podporit forum. Dakujeme!
-
- Návštěvník
- Příspěvky: 61
- Registrován: 04 lis 2005 22:38
Re: Trojan na Android TV
Ano, odinstalovat lze, normalne se zobrazuje jako aplikace 'Test' (how cunning). Issue je v tom, ze za 10-15 min se nainstaluje sama znovu . Nepodarilo se mi prijit na to, jak tomu zabranit, vyzkousel jsem ruzne firewall appky pro Android.
Factory reset vidim jako last resort. Napadlo by vas jeste neco, nez se k tomu uchylim? Dekuji.
Factory reset vidim jako last resort. Napadlo by vas jeste neco, nez se k tomu uchylim? Dekuji.
Re: Trojan na Android TV
Je zariadenie (Android TV) aktualizovane na poslednu dostupnu verziu OS Android? Akym sposobom je pripojene k internetu?
Dalej skus otestovat, ci sa aplikacia nainstaluje sama aj v pripade, ak pred odinstalaciou aplikacie zariadenie odpojis od internetu.
Dalej skus otestovat, ci sa aplikacia nainstaluje sama aj v pripade, ak pred odinstalaciou aplikacie zariadenie odpojis od internetu.
Absolvent skoly pre novacikov
E-mail: conder (zavinac) forum.viry.cz
Ak nieco nie je jasne, pytaj sa. Odporucam mat vzdy zalohovat dolezite data (dokumenty, fotky a ine).
Fixlisty a ine scripty su pisane len pre konkretny PC. Nepouzivajte ich na inych zariadeniach, inak hrozi poskodenie systemu alebo strata dat.
Ak mate podobny problem ako iny uzivatel, prosim, zalozte si vlastnu temu.
V pripade spokojnosti je mozne podporit forum. Dakujeme!
E-mail: conder (zavinac) forum.viry.cz
Ak nieco nie je jasne, pytaj sa. Odporucam mat vzdy zalohovat dolezite data (dokumenty, fotky a ine).
Fixlisty a ine scripty su pisane len pre konkretny PC. Nepouzivajte ich na inych zariadeniach, inak hrozi poskodenie systemu alebo strata dat.
Ak mate podobny problem ako iny uzivatel, prosim, zalozte si vlastnu temu.
V pripade spokojnosti je mozne podporit forum. Dakujeme!
-
- Návštěvník
- Příspěvky: 61
- Registrován: 04 lis 2005 22:38
Re: Trojan na Android TV
1) Ano, v sekci System -> Settings jsem udelal check a rika to 'Your system is up to date'. Zarizeni je pripojeno pomoci ethernetu do wifi routeru TP Link Archer C6
2) Vyzkouseno, dobry napad. Frightening result : vir se znovu sam nainstaluje . To je prusvih, celou dobu jsem kalkuloval s tim, ze potrebuje interent. Firewally tedy byly k nicemu. Znamena to, ze uz se trojan zazral hluboko do Android OS & factory reset it is?
Dekuji
2) Vyzkouseno, dobry napad. Frightening result : vir se znovu sam nainstaluje . To je prusvih, celou dobu jsem kalkuloval s tim, ze potrebuje interent. Firewally tedy byly k nicemu. Znamena to, ze uz se trojan zazral hluboko do Android OS & factory reset it is?
Dekuji
Re: Trojan na Android TV
zaujimava tema
skusal si ? https://www.eset.com/sk/internetova-och ... -security/
skusal si ? https://www.eset.com/sk/internetova-och ... -security/
FRST |ADWCleaner |MBAM |CCleaner |AVPTool
V prípade spokojnosti je možné podporiť fórum https://platba.viry.cz/payment/
V prípade spokojnosti je možné podporiť fórum https://platba.viry.cz/payment/
-
- Návštěvník
- Příspěvky: 61
- Registrován: 04 lis 2005 22:38
Re: Trojan na Android TV
Jeste ne. Zkousel jsem Sophos , Kasperski, z fw pak Netguard a AFwall+...
No harm in trying Esset. I will revert with feedback in due course.
No harm in trying Esset. I will revert with feedback in due course.
-
- Návštěvník
- Příspěvky: 61
- Registrován: 04 lis 2005 22:38
Re: Trojan na Android TV
Tak primo Smart TV Security moje Google Play neumi, ale nainstaloval jsem Eset Mobile Security (neplacena verze, nevim, jestli umi real-time protection).
Same result . Vir je korektne identifkovan a lze ho odstranit, nelze ale predejit opetovnemu zavirovani Android OS.
See screenshot : https://imgur.com/zrQEmPn
Same result . Vir je korektne identifkovan a lze ho odstranit, nelze ale predejit opetovnemu zavirovani Android OS.
See screenshot : https://imgur.com/zrQEmPn
Re: Trojan na Android TV
mam dve otazky:
1. po odinstalovani sa virus opatovne vrati aj bez spustenia prehliadaca Chrome alebo s nim ?
2. mas nejaky pristup k suborom z obrazku Sophos napr. ufo.apk
1. po odinstalovani sa virus opatovne vrati aj bez spustenia prehliadaca Chrome alebo s nim ?
2. mas nejaky pristup k suborom z obrazku Sophos napr. ufo.apk
FRST |ADWCleaner |MBAM |CCleaner |AVPTool
V prípade spokojnosti je možné podporiť fórum https://platba.viry.cz/payment/
V prípade spokojnosti je možné podporiť fórum https://platba.viry.cz/payment/
-
- Návštěvník
- Příspěvky: 61
- Registrován: 04 lis 2005 22:38
Re: Trojan na Android TV
1) Ano. Vzdycky to testuji tak, ze e.g. nainstaluji novy antivir a restartuji Android TV. Po restartu cekam na home screen, na nic nesaham... po 10-15 min se vir vrati sam, aniz bych cokoliv delal (Chrome a veskere ostatni aplikace jsou killnute, na pozadi nebezi nic 'nesystemoveho')
2) Zkousel jsem ten *.apk soubor hledat v Android system folders, ale v Linuxu jsem malo kovany. Mozna jsem nehledal na spravnem miste, napada vas, ve ktere subfloder by mohl byt uhnizden?
Btw jeho obsah be mel byt toto. Jednoducha javascript utilitka, ktera se pripojuje na bitcoin mining server. Vyuziva to exploitu pro 'USB debugging' na android zarizenich (otevreny port 5555). Coz uz jsem preventivne vypnul primo v Android settings.
https://news.sophos.com/wp-content/uplo ... ript-1.png
2) Zkousel jsem ten *.apk soubor hledat v Android system folders, ale v Linuxu jsem malo kovany. Mozna jsem nehledal na spravnem miste, napada vas, ve ktere subfloder by mohl byt uhnizden?
Btw jeho obsah be mel byt toto. Jednoducha javascript utilitka, ktera se pripojuje na bitcoin mining server. Vyuziva to exploitu pro 'USB debugging' na android zarizenich (otevreny port 5555). Coz uz jsem preventivne vypnul primo v Android settings.
https://news.sophos.com/wp-content/uplo ... ript-1.png
Re: Trojan na Android TV
Mal by byt v /data/local/temp
Zial nemam Android TV, nemam to ako pozriet
Zial nemam Android TV, nemam to ako pozriet
FRST |ADWCleaner |MBAM |CCleaner |AVPTool
V prípade spokojnosti je možné podporiť fórum https://platba.viry.cz/payment/
V prípade spokojnosti je možné podporiť fórum https://platba.viry.cz/payment/
-
- Návštěvník
- Příspěvky: 61
- Registrován: 04 lis 2005 22:38
Re: Trojan na Android TV
Nainstaloval jsem TCMD pro Android, abych ziskal pristup k systemovemu fs. UFO miner jsem nalezl mezi applikacemi, no surprises there.
https://imgur.com/XDLb38G
Potom jsem prosel systemove slozky a podle timestamp, kdy jsem TV zapnul a pripojil k internetu, objevil 'touch' ve
etc / bus / usb
etc / usb
na nekolika souborech. Neumim se do nich ale podivat (Android TCMD nema 'klavesu F3'). Coz potvrzuje zname chovani toho viru (ze vyuziva jakehosi exploitu okolo USB portu).
Moc me nenapada, co dal. Vas ano?
Naposledy upravil(a) Ronnie Basic dne 25 lis 2020 19:34, celkem upraveno 1 x.
Re: Trojan na Android TV
Ma ten TV aktualny firmware?
Pouzit TCMD bol dobry napad
Pouzit TCMD bol dobry napad
FRST |ADWCleaner |MBAM |CCleaner |AVPTool
V prípade spokojnosti je možné podporiť fórum https://platba.viry.cz/payment/
V prípade spokojnosti je možné podporiť fórum https://platba.viry.cz/payment/
-
- Návštěvník
- Příspěvky: 61
- Registrován: 04 lis 2005 22:38
Re: Trojan na Android TV
Mhm... mirite spravnym smerem:
https://imgur.com/a/kph8Jea
Android i kernel z r. 2018? That doesn't look right. Ackoliv kdyz dam System Update (button uplne nahore), rekne to, ze system je aktualni. Toto uz me znepokojovalo driv.
Jak flashovat firmware takoveho zarizeni, se bojim si predstavovat
Re: Trojan na Android TV
Moc som nepochopil, co je divne na tom datume s rokom 2018. To je len datum, kedy bola zostavena/skompilovana ta konkretna verzia OS Android pre dane zariadenie. Totizto aktualizacie Android OS musi pre kazde zariadenie vydat vyrobca zariadenia. Pri Android zariadeniach sa pritom casto stava, ze niektori vyrobcovia sa na podporu a vydavanie aktualizacii jednoducho vykaslu. To ma za nasledok, ze na zariadeniach bezia stare verzie s nezaplatovanymi dierami, ktore sa potom daju zneuzit. V tomto pripade
Malware sa teda nainstaluje sam aj pri vypnutom USB debuggingu (a odpojenom internete)? Je mozne pripojit zariadenie k PC cez USB kabel?
Malware sa teda nainstaluje sam aj pri vypnutom USB debuggingu (a odpojenom internete)? Je mozne pripojit zariadenie k PC cez USB kabel?
Absolvent skoly pre novacikov
E-mail: conder (zavinac) forum.viry.cz
Ak nieco nie je jasne, pytaj sa. Odporucam mat vzdy zalohovat dolezite data (dokumenty, fotky a ine).
Fixlisty a ine scripty su pisane len pre konkretny PC. Nepouzivajte ich na inych zariadeniach, inak hrozi poskodenie systemu alebo strata dat.
Ak mate podobny problem ako iny uzivatel, prosim, zalozte si vlastnu temu.
V pripade spokojnosti je mozne podporit forum. Dakujeme!
E-mail: conder (zavinac) forum.viry.cz
Ak nieco nie je jasne, pytaj sa. Odporucam mat vzdy zalohovat dolezite data (dokumenty, fotky a ine).
Fixlisty a ine scripty su pisane len pre konkretny PC. Nepouzivajte ich na inych zariadeniach, inak hrozi poskodenie systemu alebo strata dat.
Ak mate podobny problem ako iny uzivatel, prosim, zalozte si vlastnu temu.
V pripade spokojnosti je mozne podporit forum. Dakujeme!