Aller au contenu

virus adware gotoamazing


pitibonom

Recommended Posts

Bonjour.

je viens ici car je n'ai trouvé aucune solution viable pour me débarrasser d'une saleté que j'ai attrappé

dans un hotel ( oui, j'en vois certains sourire.... )

Ma tablette est une TM1007 et le virus en question est un adware qui hacke le browser android pour

l'ouvrir systématiquement sur la page gotoamazing.com/uhome.htm

Et ceci est la partie visible du truc. je me demande dans quelle mesure ce virus n'est pas aussi un

keylogger ou un grabber de password, etc.....

 

bien sur j'ai tenté les applis de base antivirus et autres adwcleaner. Les premiers me disent que tout baignent

et adwcleaner détecte un trojan dans un apk. apres avoir obtenu l'acces root, il supprime le package d'install....

la belle affaire. quand le virus est installé dans le systeme supprimer l'apk n'a pas vraiment d'intéret...

 

bref.

 

comme en plus il y a tres peu d'infos sur le web concernant ce 'gotoamazing', j'ai décidé d'aller gratter un peu plus bas qu'au

niveau utilisateur.....

 

J'ai installé ce qu'il faut pour obtenir l'accès root, puis j'ai installé une console ( ouiiiii le meilleur jeu au monde des systèmes linux 8-D )

et j'ai simplement fait un grep recursif de gotoamazing sur la racine.

et là.... wow !!!

 

yen a plein le browser. dans les caches bien sur, mais aussi dans les fichiers de conf, dans les bases, etc......

 

alors la question:

- yen a-t'il parmi vous qui se sont déja coltiné ce virus ? et si oui quelle solution/piste est la bonne ?

 

merci d'avance pour vos réponses et très bonne journée à vous !!!

 

Lien vers le commentaire
Partager sur d’autres sites

Activer le root quand on vient de se faire véroler était la chose à ne pas faire.

 

Un simple reset du phone aurait pu suffire pour s'en débarrasser mais là je te conseil le reset + flash de la rom constructeur.

Lien vers le commentaire
Partager sur d’autres sites

lol avoir un OS qui autorise le spread d'un virus en user n'est pas la preuve que le root est tres sûr ;)

J'ai ete un utilisateur linux pendant plus de 10 ans et je suis vert de voir ce que les dev d'android on fait de linux.

bref ca n'est pas le sujet....

tout d'abord ce n'est pas un phone mais une tablette comme je l'ai deja précisé et....

non sérieux !!!! un reset ? genre.... je réinstalle mon OS ????????

vous ne plaisantez pas ???????

comme avec windows ??????

BWAAAAAAAHAHAHAHAHAHAHAHAHAHA !!!!!

 

enfin non en fait ca ne me fait pas marrer du tout !!!!

On est sous un linux les gars !!! mis a part sur un kernel panic ou une explosion du disque systeme, on ne REINSTALLE JAMAIS !!!!!

enfin pas dans le monde informatique.....

Je vais peut-etre passer pour un troll même si ce n'est pas mon intention mais avant de reinstaller mon OS j'aimerais trouver ou

au moins chercher des solution un peu plus techniques...

Yaurait pas un connaisseur du système android ici ?

déja ne serait-ce qu'au niveau des process et des threads qu'on devrait avoir sur un systeme 4.4.2 de base quand on fait un 

ps sur la console ?

 

merci d'avance :-)

Lien vers le commentaire
Partager sur d’autres sites

bien....

 

double post car malgré le mutisme des dieux de la techno j'ai ka même avancé un peu.

 

très résumé: n'achetez surtout pas les tablettes 10 pouces it works TM1007 chez darty ! elles contiennent un virus de série claqué en dur dans le firmware

pas le constructeur.

oui ca peut paraitre débile mais sachant que ces tablettes viennent de chez les ping-pong qui sont intouchables au niveau juridique, ils se gavent avec du traffic

artificiel produit par leurs tablettes vérollées, relayé par alibaba et autres joyeusetés du web genre rstep.xbkptek.com

je peux même vous filer les DNS qui sont pétés en dur dans les librairies.....

 

mais pourquoi est-il aussi méchOnt allez vous me dire ?

eh bien parce que tous les acheteurs de ces produits ( et en l'occurrence 2 tablettes dans mon cas ) se sont fait baiser comme des bleus en pensant acheter

un produit, a defaut d'etre au top de la perfo, au moins propre au déballage du carton.....

 

donc comment suis-je arrivé là ? car il va me falloir étayer mon accusation.

 

bien qu'android soit un OS USER-orienté, il existe des outils geniaux ( comme dans tout le monde linux ) faits par d'obscurs devs dans leur garage qui permettent

de mettre le nez dans le cambuoi et d'en savoir un peu plus sur l'intérieur de cette boite noire.

notament au niveau des logs......

aucun log sur le systeme !!!!!

bon, aven une flash systeme aussi petite, ce n'est qu'a moitié étonnant !!!!

mais connaissant la verbosité des OS linux, j'ai été étonné que les blaireaux de ping-pongs ( ceux qui pourrissent l'OS hein passke yen a des sympas des chinois :P )

aient pris le temps de virer tous les logs de toutes les librairies...

en cherchant un peu on tombe sur un petit outil qui s'appelle adb

c'est un log-catcher via l'usb

on installe le truc sur windows

on lance adb avec une redirection vers un fichier et voila....

 

bon ca log TOUT !!!!! inutile de vous présenter le bordel que ca peut représenter !!!!!

alors faut chercher.

pendant le log, j'ai lancé le browser android qui m'a immanquablement redirigé vers le site gotoamazing

puis j'ai maté le log.....

process ID du browser: 1646

le PS de la console d'androit me le confirme

en, cherchant tout ce qui concerne ce PID dans mon LOG, un moment je trouve ca:

D/libc-netbsd( 1646): getaddrinfo: rstep.xbkptek.com get result from proxy >>

 

plais-t'il ??????? oO

qu'est-ce que que mon browser va tripatouiller sur cette adresse ????????

un rapide copier-coller de l'adresse, je lance mon firefox sur mon PC et je colle l'adresse dans gogol mon ami....

il me propose un lien zarbi avec bonk bonk.... je clique et j'arrive là:

https://plus.google.com/105659628467720508230/posts/QxtpYpZXti4

 

a droite ya un lien avec l'url rstep.truc.bidule. je clique dessus et.... tiens donc !!!! mon vieil ennemi gotoamazing !!!

décidément on tourne en rond !

 

je suis au coeur de l'escroquerie !!! cette adresse donc est associée a ce qui m'emmerde....

donc retour dans mon LOG chéri et cherchage de l'adresse louche rstep.truc.bidule.....

 

1er match: sur le PID 130:

 

I/FrameworkListener( 130): onDataAvailable get 45 bytes
D/FrameworkListener( 130): dispatchCommand data = (getaddrinfo rstep.xbkptek.com ^ 1024 0 1 0 ^)
D/libc-netbsd( 130): default dns: query_ipv6=0, query_ipv4=1
D/libc-netbsd( 130): res_queryN name = rstep.xbkptek.com, class = 1, type = 1
D/libc-netbsd( 130): iface=wlan0, dns0:87.98.149.171
D/libc-netbsd( 130): iface=wlan0, dns1:91.121.61.147
D/libc-netbsd( 130): iface=wlan0, dns2:8.8.8.8

 

toujours dans mon log, en cherchant les premières entrées du PID 130 on trouve 

une autre url: www.wxad2014.com dont le whois donne alibaba comme les autres url......

la frameworklistenner, module de gestion des sockets de la librairie netd contient les points d'entrée vers

les sites foireux. en l'occurrence, ce n'est même pas un virus sur les tablettes TM1007 de chez darty... c'est une fonctionnalité !

pourrir la vie de l'utilisateur est devenu une fonction système.....

 

voila :-)

 

donc inutile de vous dire qu'un reset usine ne changera rien au problème ! il me reste a tenter de trouver une lib netd

propre et compatible avec la m**** que j'ai eu le malheure d'acheter, ou bien péter en dur des espaces en hexa dans

la lib netd a la place des url foireuses..... des heures sympas en perspectives....

 

la troisième soluce pourrait etre de trouver une ROM qui tourne sur cette bouse, mais ca ce'st une autre histoire.....

 

bien à vous tous !!!!!

 

et merci DARTY !!!!!! :-P

Lien vers le commentaire
Partager sur d’autres sites

(...) donc inutile de vous dire qu'un reset usine ne changera rien au problème ! (....)

Ben si les infos de départ ne sont pas bonnes .... -_-

Bon courage.

(...) pour me débarrasser d'une saleté que j'ai attrappé dans un hotel (...)

Modifié par Thouraeg
Lien vers le commentaire
Partager sur d’autres sites

@@pitibonom déjà, avant de te la péter, tu as l'air de confondre la partie GNU et la partie linux. Les dev android n'ont rien fait à linux, ils l'utilisent pour faire tourner leur environnement, linux est un noyau, ni plus, ni moins.

Ensuite, effectivement, pour quelqu'un qui maitrise sont système une réinstallation n'est pas nécessaire mais vu que tu poses ton problème ici, ça indique que tu n'y connais pas grand chose et perso je ne me vois pas passer des heures à expliquer à un neuneu comment contrôler son système en profondeur pour le nettoyer.

Si tu veux en apprendre plus va plutôt sur IRC et évite de te la jouer Cador des bacs à sable.

Lien vers le commentaire
Partager sur d’autres sites

oh magnifique !!! on sent ta maitrise technique old geek !!!!

ta réponse va a coup sur solutionner le problème !!!! et en dehors d'insulter les autres, tu passes tes heures à quoi ?

 

J'ai bien développé il y a quelques années des petites choses dans le noyau dans un environnement LFS alors controler le système n'est pas vraiment

un problème mais n'est pas le sujet ici. 

Si je viens ici, c'est que je n'ai pas 6 mois a perdre a apprendre comment fonctionne un OS sans intéret pété de failles de sécurités.

Je veux juste me débarrasser d'une m**** qui y est insérée et pensais qu'ici je trouverais un RETEX intéressant sur le sujet. Ma surprise

est de taille en y trouvant aussi des trolls !

Alors je te laisse a tes certitudes et à ta science infuse que tu sembles incapable de partager et te souhaite bonne route sur le chemin

des relations humaines.

 

bonne journée à tous !

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

 

Je déclare l'incident clos !

 

@, je vais te demander de modérer tes propos s'il te plait, je te rappelle que les insultes ne sont pas tolérées sur le forum, j'espère ne pas avoir à te le répéter.

 

@@pitibonom, @@Thouraeg et @ ont répondu à ta requête dans le but de t'aider, alors même si tu na pas été convaincu par la solution qui t'ont fournis, tu n'avais pas à te sentir obligé d'être désagréable.

Lien vers le commentaire
Partager sur d’autres sites

vrai bibafranck.

je présente mes excuses a ceux que j'ai pu blesser. Ca n'etait pas mon intention dans tous les cas.

 

Il n'en reste pas moins que mon problème est toujours ouvert.

 

Si quelqu'un connait un forum ou l'on trouve des gens qui descendent un peu plus bas qu'au niveau

utilisateur, je suis très preneur.

 

Bonne journée à tous.

Modifié par pitibonom
  • Like 1
Lien vers le commentaire
Partager sur d’autres sites

Bonsoir,

 

 

Si quelqu'un connait un forum ou l'on trouve des gens qui descendent un peu plus bas qu'au niveau 

utilisateur, je suis très preneur.

 

Heureusement que tes intentions ne sont pas de blesser les gens, enfin...

 

Tu peux tenter le forum XDA (en Anglais), mais je te conseille d'être moins corrosif dans tes propos, parce que face aux gens irrespectueux, ils emploient des méthodes de modération nettement plus strictes que les nôtres. ;)

  • Like 1
Lien vers le commentaire
Partager sur d’autres sites

Heureusement que tes intentions ne sont pas de blesser les gens, enfin...

Tu peux tenter le forum XDA (en Anglais), mais je te conseille d'être moins corrosif dans tes propos, parce que face aux gens irrespectueux, ils emploient des méthodes de modération nettement plus strictes que les nôtres.   ;)

oh ils ont de l'humour les anglais, c'est bien connu !!!!  :D

 

Merci. je vais aller trainer mes guêtres du coté de XDA voir si je peux trouver quelques indices pour solutionner mon problème.

bonne aprème et p'tetre à un de ces jours :)

Modifié par pitibonom
Lien vers le commentaire
Partager sur d’autres sites

Rejoignez la conversation

Vous pouvez poster maintenant et vous enregistrez plus tard. Si vous avez un compte, connectez-vous maintenant pour poster.

Invité
Unfortunately, your content contains terms that we do not allow. Please edit your content to remove the highlighted words below.
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...