Підтримка
Цілодобова підтримка | Правила звернення

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86

Поширені запитання |  Форум |  Бот самопідтримки Telegram

Ваші запити

  • Всі: -
  • Незакриті: -
  • Останій: -

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86

Зв'яжіться з нами Незакриті запити: 

Профіль

Профіль

Android.CoinMine.16

Добавлен в вирусную базу Dr.Web: 2018-02-07

Описание добавлено:

SHA1: 6720ae9e5ffac171b4c5106891dcb255a9f7fdc8

The component of the Android.CoinMine.15 worm designed to mine the Monero (XMR) cryptocurrency on an infected Android device. The Trojan is implemented as an sss file, which is saved in the /data/local/tmp/ folder along with the nohup and bot.dat files.

The sss component is launched using the nohup utility as a daemon and goes into standby mode for 10 seconds. It then copies the bot.dat file to the /sdcard/ folder under the name tmpsub. After that, it decrypts a 7-z archive with additional components. The archive is saved to /sdcard/tmpde. The unpacked content is saved to the /data/local/tmp/ folder. After that, the /sdcard/tmpsub and /sdcard/tmpde files are deleted. The unpacked files are listed below:

config.json
ddexe
debuggerd
droidbot
droidbot.apk
install-recovery.sh
invoke.sh
nohup
xmrig32
xmrig64

0755 (rwxr-xr-x) access privileges are installed for all the files. In case the sss running process does not have root privileges, but the “/system/bin/su” or “/system/xbin/su” utilities are located on the computer, the Trojan launches droidbot using su. Otherwise it launches droidbot as it is:

if ( getuid() && (exists("/system/bin/su") || exists("/system/xbin/su")) )
{
  system("su -c /data/local/tmp/nohup /data/local/tmp/droidbot");
  system("/data/local/tmp/nohup /data/local/tmp/droidbot");
}
else
{
  system("/data/local/tmp/nohup /data/local/tmp/droidbot");
}

News about the Trojan

Рекомендации по лечению


Android

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке