[Huawei Ascend G615][ATTENZIONE!] ROM CON VIRUS TROJAN Android/Spy.Gexin.A.35

[MXOregon]

A me kaspersky free ha segnalato 3 virus (poi ho dovuto interrompere la scansione), 2 su chrome chiamati Android e uno per l'appunto in classes.dex .

Purtroppo anche a lavoro è già successo, e non capivamo da cosa potesse dipendere, in passato avevo un virus, e l'hanno beccato anche oggi.
ce l'avevo anche sulla sd esterna del telefono ma inattivo (che sia perché ho messo una Rom liscia?) , ecco probabilmente il perché del permesso di scrivere su tutte le sd (questa è una precisazione per danny89).

Probabilmente il virus (se c'è) fa in modo di scrivere sulle sd esterne così da infettare i pc a cui venga collegato.

@Tutti: consiglio di scaricare kaspersky free in modo da fare una rilevazione delle minacce su pc, e poi si vedrà.
Riportiamo anche i report che ne vengono fuori, cerchiamo info il più possibile accurate, cerchiamo di capire se è un virus o no.

Se puo' esser utile Sartana quando ho fatto la scansione completa Avira ha trovato oltre che nelle ROM anche lo stesso virus nel mio Browser uso Chromium strana sta cosa. Ecco il report di Avira di Chromium :
Trovato un virus o un programma indesiderato 'Android/Spy.Gexin.A.35'[virus] nel file 'C:\Users\MX0R\AppData\Local\Chromium\User Data\Default\File System\000\t\00\00000028'. Azione eseguita: Il file è stato spostato in quarantena con il nome '40533463.qua'!

[asdf420]

ma quindi è un potenziale virus che agisce sul pc, o minaccia la sicurezza del cel?


Inviato dal mio GT-S6500 usando Androidiani App

[Sartana]

Questo il risultato della scansione notturna:

È stato rilevato l'oggetto infetto (file) Y:\ANDROID\HiSuite\backup\backup_HUAWEI U8815_2012-10-03-10-24-28\com.bacastudio.go_ics_theme.apk/classes.dex Y:\ANDROID\HiSuite\backup\backup_HUAWEI U8815_2012-10-03-10-24-28\com.bacastudio.go_ics_theme.apk/classes.dex HEUR:Trojan.AndroidOS.Plangton.a

È stato rilevato l'oggetto infetto (file) Y:\ANDROID\ASCEND G 615\MODDATE\JB\Nuova cartella\hwu9508_b630_atx_fix2_a.zip/system/etc/hosts Y:\ANDROID\ASCEND G 615\MODDATE\JB\Nuova cartella\hwu9508_b630_atx_fix2_a.zip/system/etc/hosts Trojan.Win32.Hosts2.gen Oggi, 04:07

È stato rilevato l'oggetto infetto (file) Y:\ANDROID\ASCEND G 615\MODDATE\JB\Nuova cartella\hwu9508_b630_atx_fix2_a.zip/system/app/HwMediaCenter.apk/classes.dex Y:\ANDROID\ASCEND G 615\MODDATE\JB\Nuova cartella\hwu9508_b630_atx_fix2_a.zip/system/app/HwMediaCenter.apk/classes.dex HEUR:Trojan-SMS.AndroidOS.Agent.eu Oggi, 04:05

È stato rilevato l'oggetto infetto (file) Y:\ANDROID\ASCEND G 615\MODDATE\JB\hwu9508_b630_atx_fix2.zip/system/etc/hosts Y:\ANDROID\ASCEND G 615\MODDATE\JB\hwu9508_b630_atx_fix2.zip/system/etc/hosts Trojan.Win32.Hosts2.gen Oggi, 04:01

È stato rilevato l'oggetto infetto (file) Y:\ANDROID\ASCEND G 615\MODDATE\JB\hwu9508_b630_atx_fix2.zip/system/app/HwMediaCenter.apk/classes.dex Y:\ANDROID\ASCEND G 615\MODDATE\JB\hwu9508_b630_atx_fix2.zip/system/app/HwMediaCenter.apk/classes.dex HEUR:Trojan-SMS.AndroidOS.Agent.eu Oggi, 04:00

È stato rilevato l'oggetto infetto (file) Y:\ANDROID\ASCEND G 615\MODDATE\JB\SoreX P631.zip/system/app/HwMediaCenter.apk/classes.dex Y:\ANDROID\ASCEND G 615\MODDATE\JB\SoreX P631.zip/system/app/HwMediaCenter.apk/classes.dex HEUR:Trojan-SMS.AndroidOS.Agent.eu Oggi, 03:59

È stato rilevato l'oggetto infetto (file) Y:\TwRemix3.zip/system/app/HwMediaCenter.apk/classes.dex Y:\TwRemix3.zip/system/app/HwMediaCenter.apk/classes.dex HEUR:Trojan-SMS.AndroidOS.Agent.eu Oggi, 03:46

È stato rilevato l'oggetto infetto (file) C:\Documents and Settings\roby\AppData\LocalLow\Sun\Java\Deployment \cache\6.0\59\5f18aafb-6f6423b3 C:\Documents and Settings\roby\AppData\LocalLow\Sun\Java\Deployment \cache\6.0\59\5f18aafb-6f6423b3 HEUR:Exploit.Java.CVE-2012-1723.gen Oggi, 01:11

È stato rilevato l'oggetto infetto (file) C:\Documents and Settings\roby\AppData\Local\Google\Chrome\User Data\Default\File System\000\t\00\00000003/system/app/HwMediaCenter.apk/classes.dex C:\Documents and Settings\roby\AppData\Local\Google\Chrome\User Data\Default\File System\000\t\00\00000003/system/app/HwMediaCenter.apk/classes.dex HEUR:Trojan-SMS.AndroidOS.Agent.eu Oggi, 01:10

Qui mi segnala anche altra roba, anche sulla Sorex. Mi viene il dubbio che sia perché è basata sulla versione della Rom simil p6 che ha fatto uscire il team ATX, ma ion ricordo. Comunque gli ho chiesto lumi, vediamo se coinvolgiamo anche lui nel cercare di capire.

Oppure son tutti falsi positivi.

Spero la seconda che ho detto, ma il fatto che non li rilevi solo nel file ma anche nel pc....boh.

[danny89]

Allora ragazzi il problema è questo "Values in zip files are unsigned", che a soldoni vuol dire che non vi è nessun controllo sull'integrità dell'apk (si può quindi sostituire tutta la cartella classes.dex con una malevola)..Il problema è già stato fixato da google e inserito nel codice AOSP il 3 Luglio quindi immagino che huawei abbia usato una versione precedente del suddetto codice. (Grazie Huawei )
Resta da capire l'impatto che ha questo virus sullo smartphone/pc..

EDIT: l'antivirus non dovrebbe dare problemi a meno che la cartella non sia stata sostituita/modificata..ps ho trovato anche del codice per sfruttare questo bug!
Inoltre la presenza del virus sul pc è abbastanza sospetta..
IMPORTANTE: non cancellate la cartella APPDATA poichè è una cartella di sistema e contiene tutti i dati delle applicazioni!!

[FenderStrato]

scusate ma avira free lo potrebbe segnalare??

[Sartana]

Sorex mi ha risposto che la sua dovrebbe essere presa dalla versione liscia Huawei, quindi non dovrebbe avere problemi.

Potrebbe essere un falso positivo, lo trova anche sulla TwRemix3, non mi ricordo chi è l'autore.
Comunque prestate attenzione, e controllate i pc.

[tommybig86]

Scusate ho la 703 cinese... E infetta o no?

[Sartana]

no. Le Rom huawei lisce non sono sicuramente infette.

[Solidier09]

Ragazzi non oer allarmarvi(visto che magari è un falso positivo)ma io ho dovuto reinstallare windows a causa di errori che non mi erano mai capitati(mi diceva di fare lo scandisck e poi mi diceva impossibile fare lo scandisk e andava in loop il pc)...magari era un altro virus io ve lo ho detto solo per precauzione

[Sartana]

Bon , a questo punto per andare sul sicuro eliminerò tutti i link a Rom probabilmente infette.
Da scansione per esempio le Rom TigerLei non mi danno risultati, e scompattando l'Apk non ci sono le cartelle ed i file incriminati.

Se ricapiterà di postare Rom cinesi mi premurerò di scansionarle per controllarle.
Anzi, facciamo che chi la posta ha l'obbligo di scansionarla d'ora innanzi, la inserisco nel regolamento, in modo che non sia un piacere ma un obbligo.
Situazioni come questa sono fastidiose.