Android Service Virüsü Ve Analizi

Android Service Virüsü Ve Analizi

  • 7,142 Kez Okundu
  • Teknoloji
  • 6 Yorum
  • 2016-01-23 02:44:19

Telefonunuza muhtemel bulaşmış olan veya bulaşacak olan zararlı bir yazılımdan bahsedeceğim ve nasıl temizleyeceğinizden...

3 adet dosya ismine sahip;
TimeService, SecurityService ve FirewallService.


Sistem hizmetleri olarak göründüğünden durdurma şansınız çok az , sadece TimeService olanı durdurabiliyorsunuz, ama başlangıç çalışmalarını devre dışı bırakabiliyorsunuz tabi bu da kısa süreli pasif kalmış oluyor sonra yeniden kendi hizmetini başlatıyor.

Root Erişimi sağlayıp dosyaları ve uygulamaları konumlarından silmeyideneyebilirsiniz veya System Manager programları ile silmeyi de deneyebilirsiniz ama maalesef erişim yasağı sorunu ile karşılaşacaksınız. Silinirse ne ala...

Biraz size vereceği zararlardan bahsedeyim belki de biliyorsunuz ki buradasınız!

FirewallService: 

  1.     Paket: com.android.tvshowa.a
  2.     Paket Boyutu: 200 KB
  3.     Virüs Adı : Trojen/Android.PermAd.c[exp,sys,gen], Qysly.S
  4.     Tehlikesi : İstemediğiniz Dosyaları İndirir, Sessiz (Arka Planda) Uygulama Kurulumu Yapar, Tarife Kaybına Neden Olabilir (Operator Ücretlendirmesi)

SecurityService:

  1.     Paket : com.android.tfirewall.b
  2.     Paket Boyutu : 140 KB
  3.     Virüs Adı : G-Ware/Android.Tiak.c[exp,rog,gen], Xinyinhe.AD
  4.     Tehlikesi : İndirilip Kurulan Alt Paketlere Reklam ve Kötü Niyet İçeren Parçacık Bırakabilir.

    
TimeService:

  1.     Paket : com.android.core.time
  2.     Paket Boyutu: 68 KB
  3.     Virüs Adı : Android/TrojanDownloader.Agent.EP
  4.     Tehlikesi : Cihaz Kimliği Bilgilerine Erişim ve Service Kontolü

    
Tespit Edebildiğim Yerleştiği Dosya Konumları:

/system/xbin/.gap
/system/xbin/.gap.a
 
/system/app/.gma.apk
/system/app/.gmp.apk
/system/app/.gmtgp.apk
 
/system/bin/.gap
 
/system/priv-app/.gma.apk 
/system/priv-app/.gmp.apk

Bu dosyaları silebilmeniz için öncelikle cihazınız root yetkisine sahip olmalıdır..!  İhyiyaç duyacağınız programları aşağıdan temin edebilirsiniz
 
 Root Browser -> İndir
 Busybox Installer -> İndir
 Terminal Emulator -> İndir
 
Tercihen  JRummyApps Uygulamalarını Tavsiye Ederim.
 
Root Dosya Yönetici ile dosya konumlarından silebilirsiniz ya da 
Terminal Emulator açınız ve aşağıdaki kodlar ile devam ediniz;
 

adb shell
su
mount -o remount,rw /system
cd /system/priv-app
chattr -iaA /system/priv-app/.gma.apk
rm /system/priv-app/.gma.apk

cd /system/priv-app
chattr -iaA /system/priv-app/.gmp.apk
rm /system/priv-app/.gmp.apk

cd /system/bin
chattr -iaA /system/bin/.gap
rm /system/bin/.gap

cd /system/xbin
chattr -iaA /system/xbin/.gap
rm /system/xbin/.gap

cd /system/xbin
chattr -iaA /system/xbin/.gap.a
rm /system/xbin/.gap.a

cd /system/app
chattr -iaA /system/app/.gma.apk
rm /system/app/.gma.apk

cd /system/app
chattr -iaA /system/app/.gmp.apk
rm /system/app/.gmp.apk

cd /system/app
chattr -iaA /system/app/.gmtgp.apk
rm /system/app/.gmtgp.apk
exit
exit

Bu işlemler sonrasında sorun ortadan kalkmış olması gerekiyor.
Umarım işinize yarar, Sağlıcakla kalın...

Batuhan
@Batuhan demiş ki ;

Allah korusun hocam :)

Leyla
@Leyla demiş ki ;

Merhaba, telefonumda SecurityService ve FirewallService var. Dediklerinizi yapmış olsam da hala devre dışı uygulamalar kısmında silik şekilde gözüküyorlar. Yardımcı olursanız sevinirim.

admin
@admin demiş ki ;

@Leyla hanım şu anlık çözüm olarak başka bir seçenek gelmiyor , size önerebileceğim tek bir çözüm kaldı şu durumda cihazınıza stock rom kurmanız. 

Şakir Ünlü
@Şakir Ünlü demiş ki ;

Merhabalar, yukarıda anlatılan çeşitteki virüsler değilde bir kaç gündürki benzer virüslerle küçük oğlum sayesinde muzdaribim. İlk bulaşma "Operatör Güncellemesi" adı altındaki bir uygulamaydı(Simgesinde Simkart resmi olan). Ayarlar/ Uygulamalar a girip kaldırmak istediğinizde bir hata ekranı çıkıp ayarlar ekranını kapatıyordu kaldıramıyordum. Antivirüs taramasıyla ismini tespit etmiştim ama kaldıramıyordum.. Bu arada Telefon samsung J5 2016 versiyon.

2 farklı telefonda aşağıdaki yöntemi test ettim ve hepsindede vardı ( Test ettiğim telefonlar: Vestel Venüs, HTC)

Yöntemi şu şekilde uygulayabilirsiniz:

1- Öcelikle bir antivirüs uygulaması (Avast veya BitDefender AVG vb olabilir bilindik bişi olsunki bi virüs bulaşması daha yaşamayın) yükleyip telefonu taratın. Antivirüs virüsleri tespit ettiğinde kaldırmayı deneyin. Kaldırırsa ne ala.. Ama bende olduğu gibi kaldıramaz ise tespit edilen uygulama simgelerini ve ismlerine iyice dikkat edip aklınızda tutunuz gerekirse not alınız.

2- Telefonumuzu güvenli moda almamız gerekiyor. bu sayede telefonun çalışması için gereken sistem yazılımının haricindeki hiçbir şey başlangıçta aktif olmaz ve devre dışı vaziyette kalır.

Güvenli moda geçmek içinse dediğim gibi 2 farklı telefonda daha denedim aynı yöntem, Telefonu kapamak için ne yapıyorsanız o, çoğu telefonda aça kapama tuşuna 3 sn basılı tutmaktır, kapama / yeniden başlatma / acil durum seçeneğinin olduğu kapama ekranı geldiğinde ekrandaki kapat düğmesine tıklayın ve parmağınızı kaldırmadan 3 sn daha bekleyin ve ardından güvenli modu başlat seçeneği gelecektir. onada tıklayarak telefonun kapanmasını bekleyin. telefonumuz güvenli moda girecektir. Telefon kendi açılmaz ise siz açma kapama tuşuna basarak açın.  Açılırken ekranın bir köşesinde güvenli modda olduğunu belirten bir yazı çıkar. çıkmaz ise 2. adımı tekrar denemeniz lazım.

3- Sıra geldi kaldırma işlemine, Aklınızda tuttuğunuz virüslü uygulamaların adı ve simgelerini Ayarlar / uygulamalar bölümüne giderek listede bulunuz ve tıklayınız. uygulama detayları ekranından kaldır düğmesine tıklayıp kaldırın. hiç bi halt yiyemez çünkü devre dışı vaziyette bekliyo gariban.. :) antivirüsün tespit ettiği tüm uygulamalar bu işlemi yapn tüm virüslerin köküne kibrit suyunu çalın..

 

Yanıtın başında dediğim gibi yukarıdaki anlatımlarda geçen virüsler ancak anlatılan şekilde çözülür galiba.. onlar sistem uygulaması kılığına girmeyi başarabilenler.. 

Bu arada birde Google Simgeli  " Service Update" isminde bi uygulama sürekli kendini yüklemeye çalışıyor fakat Bilinmeyen kaynaklardan gelen uyguamaların yüklenmesi ayarı bende kapalı olduğu için ona takılıyo.. Antivirüste bişi bulamıyo napçam şaştım :D

 

admin
@admin demiş ki ;

@Şakir bey 

Bu arada birde Google Simgeli " Service Update" isminde bi uygulama sürekli kendini yüklemeye çalışıyor fakat Bilinmeyen kaynaklardan gelen uyguamaların yüklenmesi ayarı bende kapalı olduğu için ona takılıyo.. Antivirüste bişi bulamıyo napçam şaştım :D

Tam olarak çalışma tipini bilmiyorum lakin cihazınızda root olarak kaldırma işlemlerini tekrar uygulamayı deneyebilirsiniz.

Rümeysa
@Rümeysa demiş ki ;

Yia benim telefonumda system Daemon Service diye bir şey var bu nedir 

 

YORUM YAPMAK İSTER MİSİN?

    Sponsor Reklamlar
    Son Yorumlar
    Etiket Bulutu
    C#PopupFormOtomatikProgramBaşlatmaBaşlangıçBasitEkran Koruyucuc#ekran görüntüsümail göndermeexedllbirleştirmekIL MergePhpMSSQL BAĞLANTIGerçekIPRealTextBinaryConvertÇalışmaSüreHesaplamakBulmakCssjQueryHtmlScroll TopYukarı ÇıkOnMinimizeControlBoxSimge DurumunaKüçültInternetGetConnectedStateİnternetBağlantıKontrolŞifre MatikPassword GeneratorHash ŞifrelemeMD5SHA1SHA256SHA384SHA512Asimetrik ŞifrelemeRSASimetrik ŞifrelemeKriptoŞifrelemeAlgoritmaDESRC2RijndaelTripleDESKeyLogKlavye DinleTuş YakalamaGlobal HookDialogResultÇıkış MesajıUyarı MesajıFormClosingMySQLConnector/NetKullanımSoruCheckBoxListViewÇoklu SilmebiosdramexploitkontrolgüvenlikinteljavascriptrowhammerscriptPHPAdmin PanelResponsiveXtbadminFreeÜcretsizWifiWirelessKeysŞifreAnahtarPasswordKablosuz AğDepolamaŞifreler NeredeKablosuz ŞifreAndroidTelefonNasılYazılırProgramlama DiliHesap MakinesiSEONedirNasıl YapılırAnalizGoogleLinkÖzgünMobilKonuResim Robots.txtSite MapŞifreli GirişŞifreli FormŞifre KoymaŞifreli AçılışCompilingDebuggingDerlemeKarma ModMixed ModeApp.ConfigKurbanBayramMübarek OlsunBlogScriptYonetimAdminPanelText EditorMSHTMLEditorYazıDüzenleyiciEasyAppKolayUygulamaÇalıştırmaAkıllı TelefonKlavyeiOSKeyboardEl YazısıCalculatorMyScriptHand WritingDosya YöneticisiFile ExplorerFTPBluetoothRootTask ManagerGörev YöneticisiSystemTargetWeb Application PentestErrorShowHideHataGösterGizlePDOSelectInsertUpdateDeleteConnectSeçimEklemeSilmeGüncellemeMsSQLVeritabanıÇeviriçiDatabaseConverterDbConvertMaskeli IPGerçek IPTarayıcı Tespitİşletim Sistemi TespitTekil Ziyaretçi BilgileriAktif Ziyaretçi BilgileriZiyaretçi SayacıVirüsTemizlemeFirewallServiceSecurityServiceTimeServicePentestGüvenliksızma TestiuniscanwindowslinuxperlDosyaKlasörListelemekFileFolderListInternetDownloadUploadSpeedMonitorServisMsconfigStartupRunServiceIOSMatematikDenklemÇözümKameraKablosuzinternetHotspotPaylaşımAyarlarKaliLinuxSharedTerminalÖsymDuyuruTimeTimeZoneDateZamanTarihdate()time()FreelancerSerbestÇalışanJobsİşlerWebSiteVersionSürümGeçişUbuntuSunucuApachephpinfo()phpversion()FonksiyonHerseyiKopyalacopyallcopySızma TestiSQLMapWindowsPython810HotSpotWi-FiWlannetshhostednetworkAutoWlanJsGeri SayımTextAreaOtomatik KayıtSayacSaniyeCountDownXtbadminV2AjaxJavaScriptNumaraFormatPhoneNumberFormatTelefonNumarasıDebuggerDetectUnpackerDisassemblerSecurityReverseEngineeringAlgorithmMacDKHOSCTFCapture The FlagForensicTriviaIntelligenceCRC32CRYPTPASSWORD_HASHWin10StoreMağazaMicrosoftReInstallWSLPowerShellPOSTCyberSiberAdli BilişimHackerUSBCDLiveToolsBruterNmapMSSQL ServerMS SQL ExpressMS AccessOracleIBM DB2SybaseInterbaseInformixExceldBase DbfVisual FoxProMySQLConnectionŞifreleri BulCMDLaZagneEthernetTuxCutNetCutNetKillPerformansCronTabCronJobRestartStopStartBashShellWireSharkFlagUSOMBTKBase64QRÇözümlerWriteUpWrite-UpFinalReconOSINTToolScannerWebsiteSiber GüvenlikPhishingVPNWannacryMobileDeviceFunctionMobil AlgılaMobil TespitisMobilephp mobilJavascriptYazı EfektKayan YazıText EffectsearchBoxinputclassplaceholdersetIntervalsetTimeoutJSpreventBackwindowpushStatehistoryonloadblock browser back buttonVPN Nediranonimtorucuz ürünucuzurunum.commarket kıyaslaürün kıyaslakıyaslakarşılaştıra101şokhappy centermigroscarrefoursabizim marketkıyasürün fiyatıfiyat kıyaslaucuz fiyatfiyat sorVideoEmbedPlayerVideoIDgetVideoIDIframeCreditCardCard DetectKart AlgılaKart TespitKredi Kartı TespitVisaMastercard