Home » Steg För Att Reparera Skadlig Programvara

Steg För Att Reparera Skadlig Programvara

September 4, 2021 By Gary Lamb Off

Rekommenderas: Fortect

  • 1. Ladda ner och installera Fortect
  • 2. Öppna programmet och klicka på "Skanna"
  • 3. Klicka på "Reparera" för att starta reparationsprocessen
    • Ladda ner den här programvaran och fixa din dator på några minuter.

    Om du stöter på yapta -skadlig kod kan guiden nedan verkligen hjälpa.

    Vi har nyligen gjort en granskning av fotavtrycket för Android-skadliga program så vi tror att det kan vara relaterat till StrongPity APT-gruppen som publicerats med hjälp av den syriska e-government-webbplatsen. Så mycket som du vet är det hela de första timmarna som samlingen är under full övervakning eftersom konsumenter använder skadliga Android -appar i den här delen av sina attacker.

    Vi hörde först om ett exempelinlägg som postades på Twitter av MalwareHunterTeam. Baserat på tråden fann vi vilket i sin tur det presenterade exemplet är en trojansk version av den syriska e-gov-mobilappen för Android, som stjäl kontakter tillsammans och samlar filer med önskade plug-ins från offrets enhet.

    Som svar på den här tråden påpekades det faktiskt att den skadliga APK-filen sannolikt var relaterad till övervägandet av “vattenbrunn” -metoden: den faktiska angriparen påstods ha äventyrat den officiella syriska webbplatsen E-Gov och den underliggande Android-appen på varje trojan, ersatt vem som har en filversion av det banbrytande … uttalandet. På grund av den tveksamma karaktären av denna aktivitet, kom vi fram till att få ytterligare information.

    Det här blogginlägget diskuterarHär är några om taktik, knep och lösningar för en grupp attacker relaterade när du behöver Android eller spionprogram, och förklarar huvudorsaken till att dessa åtgärder kan betraktas som ditt hot mot den här spelaren. I valet av detta kommer vi också att skanna utvecklingen för dessa angripare för att identifiera flera flera smaker av Android -malware -rutten som genereras av StrongPity. Slutligen bör vi kort kunna diskutera relaterade skadliga varianter, precis som Android -versionen av trojanen, som verkar växa och innehåller en del testfunktioner.

    Det första vi lärde oss är URL: en där den skadliga APK -filen organiserades (https: // egov [.] sy / mobile egov [.] apk). Den version av detta färdighetsregister som kan laddas ner från webbplatsen vid tidpunkten för skrivande är en ren version tillsammans med den syriska e-förvaltningen av Android, vilken typ av skiljer sig från den skadliga program som nämndes tidigare på Twitter. Detta syftar på att vid den tidpunkt då sorteringen skapades, togs den skadliga versionen av programmet bort från hela webbplatsen.

    Minst sex olika exempel med samma viktiga metodnamn (“بÙИابتي”) Och spegelväxeln (comnamn.egov.app. *) finns på VirusTotal. Vi lägger alla denna typ av prover tillsammans och kom fram till den exakta slutsatsen att de alla är med låg risk. Denna typ av ansökan var avsiktlig för perioden från februari 2020 till mars 2021. Vi tror att alla dessa är nästan officiella ansökningar som avser den syriska E-Gov-webbplatsen .

    Angriparen som nämns i Twitter -stimulans är för närvarande tillgänglig på VirusTotal och dessutom har det, vid tidpunkten för denna komponering, varit uppmuntrande flera uppmuntrande resultat. Medan vissa antivirusorganisationer är medvetna om det identifierade malwareprovet för Bahamut ifrågasatte vi den associerade noggrannheten inom attributionen till Bahamut APT -gruppen. Ytterligare forskning avslöjade flera punkter som potentiellt kan ansluta hatare som hjälper StrongPity APT -gruppen.

    Den skadliga versionen av sorten (fd1aac87399ad22234c503d8adb2ae9f0d950b6edf4456b1515a30100b5656a7) skapades i maj 2021 (de enda tidsstämplarna i filen informerade dig om datumet för framgångsrik födelse 03-05-2121, och hela virusfilen laddades faktiskt upp till 24 maj-filen till faktiskt den 24 maj-filen laddades upp faktiskt till tjugofyra. Denna ansökan är helt enkelt signerad på ett annat certifikat och skapades potentiellt genom att ompaketera den syriska regeringens revolutionära uppgift. Varje originalförfrågan undertecknas dock med ett enda ytterligare certifikat.

    yapta malware

    Den skadliga applikationen ändrade AndroidManifest.xml -instigationen för att innehålla referenser till ytterligare formulär och begär dessutom ytterligare behörigheter för några av dem (se metoden i figur 3).

    Tillagd kodvy

    Angriparen lade till observationsprogrammen i den här applikationen; några för dessa klasser (com.egov.app.NetworkStatusService, com.egov.app.Receiver) refererar till den modifierade AndroidManifest.xml.

    mot.

    Figuren visar att de speciella namnen på många klasser och förslag som är associerade med andra klasser specificeras slumpmässigt. Detta anropsmönster skapades med stor sannolikhet av Major Softwares stora obfuscation -verktyg

    yapta malware

    Två ytterligare resurser har lagts till om du vill ha den skadliga applikationen: en tjänst i kombination med en mottagare. Enheten startar en skadlig tjänst. Den farliga tjänsten förklaras faktiskt som en fantastisk Android-tjänst, som är en installationskomponent, som utför långsiktiga bakgrundsuppgifter kopplade en person. Skadligt

    Detta företag deklareras med segmentet “com.egov.app.NetworkStatusService” i klassnamnet och startas verkligen av mottagaren av själva klassen.

    Under analys av typen av mottagarens konfiguration och kod hittades flera operationer som körde mot den onda NetworkStatusService. Service

    • vilket är när enhetsanslutningen ändras. Djdeeu registrerar en klass A -radio relaterad till CONNECTIVITY_CHANGE.Service
    • De kan byggas utifrån åtgärderna från huvudstartaren eller andra abonnerade mottagare.
    • Banktjänsten kan startas genom att prova “larm” -mekanismen.

    När den skadliga NetworkStatusService startas, utför den denna skadliga funktion genom ett paket som genereras av meddelandehanterare och är därför ansvariga för att bearbeta specifika meddelandekampanjer.

    Exemplet använder en helt egen “hanterings” -mekanism för att skicka meddelanden som orsakar skadligt beteende. En agentuppräkningsstruktur används för att definiera informationstyper.

    Allt som rör meddelanden påverkar beteendet genom hanteraren. Här är en användbar beskrivning av personens avsikter men beteende för varje uppriktigt meddelande:

    När det här meddelandet har blivit klart är det klart att en underbar periodisk uppgift har lagts över hjärtslagsmeddelandet.

    När du skickar det här meddelandet måste du förstå en vanlig uppgift för anslutningsmeddelandet.

    Detta meddelande är ett hjärtslag som skickar alla förfrågningar till C & C -servern för att ta emot ditt krypterade svar.

    Den krypterade nyttolasten sparas först i katalogen

    /.android/water.zip, sedan dekrypteras filen water.zip och all ytterligare dekrypterad nyttolast skrivs som /.android / e.zip.

    Den skickade e.zip -filen dekomprimeras sedan i hela

    /.android så att en historik med namnet config.properties oftast är tillgänglig.

    Rekommenderas: Fortect

    Är du trött på att din dator går långsamt? Är det full av virus och skadlig kod? Var inte rädd, min vän, för Fortect är här för att rädda dagen! Detta kraftfulla verktyg är utformat för att diagnostisera och reparera alla slags Windows-problem, samtidigt som det ökar prestanda, optimerar minnet och håller din dator igång som ny. Så vänta inte längre - ladda ner Fortect idag!

  • 1. Ladda ner och installera Fortect
  • 2. Öppna programmet och klicka på "Skanna"
  • 3. Klicka på "Reparera" för att starta reparationsprocessen

    • Slutligen har filen visat sig granskas och analyseras. Dessa egenskaper hämtas och skrivs faktiskt som lokala nämnda inställningar för inställningskonfiguration så att datorn kan ändra sitt beteende baserat på din konfiguration.

    Synkronisering -det är alltid en repetitiv inställning. Den laddar ner programvara som skapats på infekterade enheter var 4000: e sekund.

    Först listar det alla personliga filer i

    /.android/.lib2. Det resulterar sedan i en zip -bild med .zip -detaljer (notera att mycket av det unika ID: t inte är något av det verkliga enhets -ID: t, skadlig programvara beräknar ett unikt unikt ID som utformats på artikel -ID förutom värde), skriver dokumenten till en pressad fil.

    Slutligen ladda upp zip -filen till C&C -servern och ta helt enkelt bort alla filer i

    /.android/.lib2 och komprimera också alla personliga .zip -filer.

    Säljaren av denna annons samlar in data om offrets musikaliska fiol. Först samlar den in kontaktinformation, som faktiskt är hämtad från information om sociala nätverk som är tillgängliga via Wi-Fi.

    Den söker därefter i enhetskatalogerna och registrerar alla filer som konkurrerar med dessa fördefinierade filtillägg:

    • .asc
    • .dgs
    • .doc
    • .docx
    • .edf
    • .gpg
    • .jpeg
    • .jpg
    • .nyckel
    • .m2r
    • .meo
    • .pdf
    • .pgp
    • .pir
    • .pkr
    • .pub
    • .rjv
    • .rms
    • .sem
    • .sit
    • .skr
    • .sys
    • .xls
    • . xlsx

    När detta meddelande ska tas emot, får ägaren av någon slags “meddelandeinsamling” en massiv periodisk uppgift.

    Denna illustration av använder mycket modulära komponenter integrerade i en hanterad arkitektur för att ladda redskap förutom att lossa dem. OnCreate- och onDestroy -funktionerna är några vanliga procedurer för laddning i liga med lossning av en komponent.

    Direktör):

    CategorySwedish