幽灵推杀毒软件 v1.0 安卓版
所属专题：
软件大小：11.6MB
捆绑插件：无插件
软件语言：简体中文
软件等级：
软件授权：免费软件
制作发行：
更新日期：
论坛转帖：
应用平台：Win 32位/64位
标签：&&&&&&
幽灵推杀毒软件是安卓幽灵推病毒的专杀工具，幽灵推病毒近期在安卓平台上很疯狂，已经感染3000多个手机品牌和1.5万款机型，这个病毒会自动关闭手机WIFI，然后使用3G、4G网络下载其推广的应用，有点儿变态
据央视《新闻直播间》报道，安卓手机出现新病毒，名叫&幽灵推&。据悉，这种病毒会隐藏在一些流行工具软件中，例如&&等，当用户安装非正规渠道下载的这些工具后即中毒，病毒会下载安装一系列恶意程序。据介绍，&幽灵推&会帮你不断的下载它推广的应用，这个过程中假如说你使用Wi-Fi，它会把你WiFi网络关掉，使用你的3G、4G网络直接消耗你的资费，并且一般的杀毒软件根本无法删除该病毒。单单猎豹移动的统计，每日就有超过60万台手机中毒，预计真实受害用户应更多。受害用户主要集中在美国、印度、中国、墨西哥等，其中中国的云南、广东等省受害严重。据猎豹移动安全实验室分析，全球已有3658个手机品牌14846款机型被感染
幽灵推杀毒软件特性
据悉，安卓手机现新病毒&幽灵推& 是号称史上危害最严重的安卓手机病毒。为何这么说呢？其有三大原因：
第一、它是一款安装之后直接ROOT你的手机的病毒，技术含量非常高；
第二、它感染量非常高，感染遍布全球各个国家都有；
第三、它影响面超级广ROOT功能已经实现了对3000多个手机品牌和1.5万款(机型)ROOT这是非常强的。
网络安全工程师提醒用户，手机如果中了该病毒，可以选择专业的针对该病毒的杀毒工具进行查杀，另外用户下载软件时一定要在正规的网站下载，不要选择在论坛或非法网站
幽灵推病毒怎么解决？
1、 首先检测安卓手机是不是中了幽灵推(Ghost push)病毒，打开猎豹安全大师，点击&一键优化&。
查看病毒检测结果，如果中毒，会显示发现名为&GhostPush&或&Monkeytest&的风险程序。
检测到病毒后，继续下面的方法进行清除操作。
2、 使用KingRoot、刷机精灵等软件完成一键ROOT。
3、 下载root授权管理软件，如果手机上已经有了，可忽略此步。
4、 下载并安装专杀工具 Ghost Push Trojan Killer，/s/1c08rUQ8
5、 运行 Ghost Push Trojan Killer，点击Scan。
6、 点击KILL，授予Root权限
7、 再次打开猎豹安全大师，扫描。卸载残留软件。
8、 再扫一次，报告系统安全，至此幽灵推已彻底清除干净。
幽灵推杀毒软件 v1.0 安卓版
相关软件&相关文章
本类人气榜&文章阅读榜
本周下载榜&总下载榜
Copyright &
AllRights Reserved冀ICP备| 漏洞检测 |
| 隐藏捆绑 |
Android.KungFu手机病毒后台下载文件 安卓用户注意手机流量
2011年是Android设备爆发的一年，越来越多的朋友都享受到了智能机给生活带来的便利，但与此同时，越来越多的恶意软件也盯上了这个系统。下面，笔者就为大家分析一款目前流行的恶意软件Android.KungFu系列变种...
2011年是Android设备爆发的一年，越来越多的朋友都享受到了智能机给生活带来的便利，但与此同时，越来越多的恶意软件也盯上了这个系统。下面，笔者就为大家分析一款目前流行的恶意软件&&Android.KungFu系列变种，并且介绍针对这一病毒的解决方案。
Android.KungFu最早在6月份被安全厂商截获，随后又出现了至少3种不同的变种，截止到发文为止，这款病毒仍然在不断演化。KungFu系列病毒的特征非常典型，感染此病毒的会自动在后台静默下载并安装某些软件，当感染此病毒后使用常规安全软件无法彻底清除，甚至将手机恢复至出厂设置也无法解决问题。&
这款病毒通常会捆绑在某些合法软件内，在第三方Android应用市场和论坛中传播，常见的宿主包括一键XXX（免费）、音乐随身听等，截止到发文为止，LBE团队已经通知各大第三方Android应用市场和论坛关注该类型的应用。
Android.KungFu整体架构由两个模块构成，第一个模块(Loader)会在宿主运行到特定场景时激活，随后执行提权操作，并加载第二个模块(Payload)，Payload模块则常驻内存，执行各种威胁手机安全的操作。Android.KungFu不同的变种之间，区别主要在于不同的Loader，Payload模块则基本相同。
&当Loader模块被激活后，首先会试图获得ROOT权限。根据宿主软件的不同，Loader会采用不同的策略，如果Loader宿主本身需要ROOT 权限，Loader就会附着在宿主需要以ROOT权限执行的代码之后运行（例如一键XXX免费版，其中捆绑的Android.KungFu会嵌入在安装 XXX的代码中）。如果宿主本身不需要ROOT权限，Loader会利用公开的（NPROC_RLIMIT）在后台静默获取ROOT权限（例如音乐随 身听）。由于这个漏洞广泛的存在于Android2.1和2.2设备上，所以，即使手机没有ROOT权限，多数手机依然会受这个病毒威胁。&
然后，随后，Loader会进行以下操作（不同的变种具体细节可能不同）：
将系统分区设置为可写
获取设备信息，包括系统版本，手机品牌，Device ID，SDK版本等数据，写mycfg.ini，并将此ini文件复制到/system/etc下重命名为.rild_cfg
使用AES加密算法解密Payload（Payload通常保存在宿主的assets中，名为Webview.db.init），并将Payload复制以下位置：
/system/etc/.dhcpcd
/system/xbin/ccb
/system/bin/installd（将原始文件备份为/system/bin/installdd）
/system/bin/dhcpcd（将原始文件备份为/system/bin/dhcpcdd）
/system/bin/bootanimation（将原始文件备份为/system/bin/bootanimationd）
恢复系统分区为只读，并执行/system/xbin/ccb
至此，Payload已经完成金蝉脱壳，从宿主APK中成功的被释放出来了。由于病毒替换的关键系统文件(installd, dhcpcd, bootanimation)在开机过程中会自动启动，因此病毒实际上具备了以ROOT权限开机自动启动的能力。同时，由于Payload已经脱离APK 藏身于系统分区内，即使安全软件检测到病毒，也无法进行清理操作。
当Payload随系统自动启动之后，会尝试连接以下地址，获取攻击命令：http://search.:8511
由于Payload感染了多个系统进程，为避免相互冲突，当任意一个Payload进程连接至控制服务器后，便创建/system/etc/dhcpcd.lock文件锁来进行进程同步。&
目前Payload已知的功能包括：
自动APK软件包至本地
静默安装APK软件包
启动指定APK软件包
静默卸载APK软件包
设置浏览器首页（未使用）
至此，病毒就会源源不断的向受感染的手机中自动下载并安装软件，从中获取高额利益了。&
使用专杀工具
由于Android.KungFu的特殊性，常规安全软件无法完全清除此病毒，因此LBE小组提供了针对Android.KungFu的专杀工具，彻底清理Android.KungFu在系统内的残留，您可以从/下载到此工具。需要注意的是，使用此工具之前，您必须使用安全软件全盘扫描，确保所有感染病毒的APK文件已被清理，否则有可能清除不彻底导致重新感染。
我们推荐用户使用专杀工具，，方便快捷，但如果您希望能自己动手的话，也可以手工清除Android.KungFu残留。同样在手工清除前，请使用安全软件全盘扫描，确保所有感染病毒的APK文件已被清理，否则有可能清除不彻底导致重新感染。
如果您的手机未安装过Busybox，请首先安装Busybox /details?id=stericson.busybox
使用超级终端软件，或者在PC上使用adb shell连接至手机，获取root权限后，执行以下命令：
busybox mount &o remount,rw /system
busybox chattr &i /system/etc/.dhcpcd
busybox rm /system/etc/.dhcpcd
busybox chattr &i /system/etc/dhcpcd.lock
busybox rm /system/etc/dhcpcd.lock
busybox chattr &i /system/etc/.rild_cfg
busybox rm /system/etc/.rild_cfg
busybox chattr &i /system/xbin/ccb
busybox rm /system/xbin/ccb
如果/system/bin/installdd文件存在的话，执行以下操作
busybox rm /system/bin/installd
busybox mv /system/bin/installdd /system/bin/installd
如果/system/bin/dhcpcdd文件存在的话，执行以下操作
busybox rm /system/bin/dhcpcd
busybox rm /system/bin/dhcpcdd /system/bin/dhcpcd
如果/system/bin/bootanimationd文件存在的话，执行以下操作
busybox mv /system/bin/bootanimation
busybox mv /system/bin/bootanimiationd /system/bin/bootanimation
最后，重启手机，完成清理
对以上操作的一些说明：
chattr命令是用来去除文件的EXT2_IMMUTABLE_FL标志位。如果系统分区使用ext文件系统的话，病毒会给所有受感染的文件设置此标志 位，此标志位可以防止文件被删除（这也是有些用户尝试用RE管理器删除失败的原因）。如果您在执行chattr命令的时候出现错误，也不要惊慌，这说明您 的系统分区不是ext文件系统，只要随后的rm命令能够成功执行，就表示清理操作已成功。
&结语和分析
以破坏系统、炫耀技术为目标的恶意软件早已淡出视线，如今的恶意软件都以明确的利益为导向，Android.KungFu也不例外。根据用户报告，该病毒 会自动向用户手机中安装并激活下列软件：大众点评、游戏快递、有你短信、京东商城、当当网、银联、盛大切客、云中书城等。很明显，这是一款通过自动推送并 静默安装软件，以获取费用为目的的恶意软件。根据当前市场上一个有效激活大约2元人民币的价格，我们不难算出病毒作者以损害用户经济利益为代价，轻易 攫取了高额的回报。
目前多数安全软件（包括我们LBE小组的软件在内）仅仅会扫描APK文件，而以Android.KungFu为代表的恶意软件，则已经具备初步的感染ELF文件的能力。安全厂商应尽快跟进，加强ELF文件扫描的能力。
由于Android平台的漏洞的频频出现，而厂商在ROM更新方面相对滞后，导致相当一部分Android设备暴漏在提权漏洞的威胁中。作为Android用户，您切不可认为不ROOT就等于安全（更何况，还有相当多的恶意软件无需ROOT也可以运行）。我们建议您：只通过安全的途径下载使用软件，不安装来历不明的软件（谨慎安装各种汉化版、破解版软件），使用一款安全软件，通过以上途径来保护您手机的安全。
(责任编辑：幽灵学院)
------分隔线----------------------------
近日，安全研究人员开发出一种新的BIOS bootkit，它可以窃取敏感数据，以及流行操作系...
趋势科技的安全专家检测到了一个名叫TSPY_BANKER.YYSI的新银行木马，它的攻击目标主要...
卡巴斯基实验室的安全专家们首次发现了恶意程序Turla的新变种，它的主要攻击目标是Lin...
最近，一款名为申银万国钱龙港股通的港股分析软件被发现其官方安装包感染病毒，包括IE...
一、病毒疫情周报表 序号病毒名称病毒特点 序号 病毒名称 病毒特点 1 “代理木马”(Tr...
一、病毒疫情周报表 序号病毒名称病毒特点 序号 病毒名称 病毒特点 1 “代理木马”(Tr...
admin@1744.cc
工作日：9:00-21:00
周　六：9:00-18:00
&&扫一扫关注幽灵学院
广告服务：QQ:安卓出现了幽灵推这种可怕的病毒，可以自动ROOT你的手机，该怎么办呢？_百度知道
安卓出现了幽灵推这种可怕的病毒，可以自动ROOT你的手机，该怎么办呢？
提问者采纳
幽灵推确实是非常可怕，也确实可以获得你的手机ROOT权限，所以现在很多安卓用户都为幽灵推操碎了心啊，很多人都在想要怎么样才可能删除幽灵推啊，我自己就找到了办法，其实安装腾讯手机管家之后，更新病毒库到最新版本，然后进行病毒查杀就可以搞定了。
提问者评价
其他类似问题
1,安装手机版的z4root,选择root永久破解；可以试试kingroot。2,电脑安装甜椒，刷机精灵，卓大师……连接手机，选择root破解；（可以到xiazaiba下载最全的刷机工具）3，到你手机的论坛下载专用root工具4,下载合适系统的root,update.zip的刷机包卡刷。但是必须是统一系统版本，否则容易刷坏系统。而且成功率偏低，所以不推荐此方法。5,root后，必须安装superuser,以管理权限的调用。
来自团队：
为您推荐：
安卓的相关知识
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁