如果电脑下载的东西带有病毒，放入ROM会怎样，还是说病毒放在那都不行_百度知道
如果电脑下载的东西带有病毒，放入ROM会怎样，还是说病毒放在那都不行
载文件病毒运行杀毒软件查杀并删除病毒文件要再载病毒程序论放存储器要打运行电脑没安全防护电脑都毒
主营：电脑 网络 安全 虚拟化 反病毒 杀毒软件 防火墙 防毒墙 信息安全
能听懂您意思您说够明白罢您说电脑载程文件附带病毒安装或运行程染系统文件杀毒程提示染文件删除吧
重装系统般病毒重装许顽固病毒随着新系统卷土重用系统盘自带PQ帮忙运行PQ格式化c:重装ok
染系统文件做系统解决先用杀毒软件杀网搜索已删除系统文件文件放系统根目录即需要清楚文件已
希望能您所帮助谢谢
其他类似问题
为您推荐：
其他3条回答
说实：放哪都行病毒段具破坏性代码论放哪要运行立马产破坏作用 建议直接用杀毒软件查杀病毒文件彻底清除 疑问请追问
那你就直接换新的吧。
病毒最好就不要！如果你的电脑较差的话，后果不开设想
电脑下载的相关知识
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁手机rom是怎么中毒的_百度知道
手机rom是怎么中毒的
手机rom病毒哪近手机拿看说rom毒病毒更新系统rom候网或用浏览器网
　　!　　手机rom毒两点原：　　手机rom自身携带病毒通第三平台载rom类rom能作者内置病毒　　手机使用程由于操作导致rom毒　　建议用进行全面查杀或者及官网站载规ROM进行刷机　　具体杀毒步骤：　　1)进入管家安全防护找病毒查杀栏：　　选择病毒查杀　　查杀完毕腾讯手机管家自清理病毒腾讯电脑管家企业平台：
来自团队：
其他类似问题
为您推荐：
其他3条回答
愿我答案 能够解决您烦忧ROM病毒系统自带病毒咱杀毒OK能山寨手机恶意推送吧容易查杀放吧1需要先载腾讯手机管家2打选择安全防护——病毒查杀——病毒扫描——处理病毒3等处理完再点体检加速清理手机垃圾让手机体验非般觉您我答案满意继续追问或者提宝贵意见谢谢
你好rom病毒可能是自带的或者是你下载的过程中安装进去的可以尝试一下腾讯手机管家他的功能很强大，只需要这一款就可以解决你所有问题了占用内存还非常小，完全是静默式防护也不会影响你正常使用手机提供病毒查杀、骚扰拦截、软件权限管理、手机防DAO等安全防护，占用内存也很小更还有体验加速~安全优化~安全防护等等，是个不错的选择希望我的回答能帮助到你
那你最近是上过啥网址或者你下载过啥？病毒一般是通过下载软件，浏览网页，接收文件等方式让你电脑或者手机中毒，手机中毒后，会导致手机各种异常现象所以必须在第一时间内杀毒否则会造成手机文件的丢失腾讯手机管家杀毒的功能是蛮强大的腾讯手机管家与卡巴斯基合作，同时自主研发强大的云端查杀技术，杀木马，常见病毒不在话下，为手机终端提供无缝的安全保护。　主要优秀也是内存小，不占据手机过多内存，不过因为安装杀毒软件给手机带来过卡的情况，我手机用的就是这个，感觉挺不错的，没中毒过。
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁病毒使用浏览器自动下载文件，这是是什么病毒？_百度知道
病毒使用浏览器自动下载文件，这是是什么病毒？
用浏览器总莫名其妙提示载文件：用chrome直接自载用firefox则询问载. 文件名总莫名其妙.其面没任何异病毒呢<img class="word-replace" src="/api/getdecpic?picenc=0a696f6e根本查我家2台电脑都种情况.能帮我解决追加100
文件名记清记叫s19概都种文件名
提问者采纳
基本应该病毒chrome：看扩展chrome本身功能冲突firefox： 禁用迅雷载组件种能耻电信或联通强制推送广告弹窗造要解决由于电信推送广告弹造问题办直接打10000号工服务强烈要求取消针账号推送广告要肯继续投诉直肯止彻底解决办确定chrome打网页变载页面空白右键查看页面源代码看两IP址运营商推送广告IP址通技术手段自些ip屏蔽掉路由hosts绑定应该都行
提问者评价
其实我还是感觉是病毒.应该不是运营商的广告.
其他类似问题
为您推荐：
其他4条回答
管病毒用金山毒霸杀毒安全模式扫描杀毒360看劲
我也有过这样的事,好像是中招了,但是可能是未知的恶意程序或者是病毒,具体说我的例子,我用的是江民杀毒软件但有一段时间没升级,接着就出现自动关闭的事了,但当时杀毒软件查不出,我便想先升级再查查看,结果是只要打开江民网页或带江民字眼的链接,我的浏览器就自动关闭,,,后来我点击江民安装程序都打不开,再后来我把江民安装程序改名了,不带江民字眼,这就能打开安装了,接着我又改回江民字眼,结果程序又打不开了,反反复复试验都这样,再加我机器变的慢,感觉不稳定,因此我判断还是有&东东&作祟,就把C盘格了重装系统了,现在好了(补充:我想了一些别的办法最终让杀毒软件升级了,结果查出有病毒,而这病毒也总删不干净, 当然了杀毒软件也有杀不干净的毒,还是格了吧)。还不错，希望你采纳。
估计是迅雷的兼容插件……你把文件名称传上来看看……
什么文件名记不清了，记得有一次叫“s19”，大概都是这种文件名
那就不是迅雷的插件……建议你安装软媒的魔方、或360安全卫士对浏览器进行修复……
提示下载什么文件了吗？
什么文件名记不清了，记得有一次叫“s19”，大概都是这种文件名
您可能关注的推广回答者：回答者：
浏览器的相关知识
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁Ghost Push —— Monkey Test & Time Service病毒分析报告
您当前位置： &
[ 所属分类
2015年8月，酷派大神手机用户在安装官方提供的系统升级包后，手机便被预安装了MonkeyTest和TimeService等未知软件。截止到9月18日，该类病毒的每日感染量已经扩大到了最高70万台/天，有上万种机型收到了Ghost Push的影响，典型的有酷派、三星、MOTO等等（附件一提供了所有受影响机型列表）。
通过数据分析如图1所示，我们发现Ghost Push病毒感染用户主要分布于美国、俄罗斯、印度、中国等。相对在中国而言，云南、广东感染量最高。
图1 感染分布图
我们称这类病毒为Ghost Push病毒。该类病毒软件开机自动运行，通过用户数据流量进行广告推送，并且在未经过用户允许的情况下静默下载安装应用。甚至用户无法通过手机杀毒软件、手动卸载该类病毒。手机感染之后如图2所示。
图2 感染Ghost Push病毒的手机举例
Ghost Push病毒已经给安卓用户造成了巨大的困扰。本文就Ghost Push的执行流程进行详细的分析，同时也提出了针对这类病毒的解决方案及安全建议。
Ghost Push病毒在执行的过程当中，会获取Root权限，通过用户数据流量进行广告推送、静默下载安装应用。具体的流程如图3所示。
图3 Ghost Push病毒执行流程
首先，攻击者将恶意代码注入到合法的应用当中，通过二次打包，伪装成为原本的合法应用(被感染的应用列表如附件二所示)。一旦用户下载了被注入恶意代码的“正常”应用，应用中的恶意代码便开始执行，具体执行过程如下。
0x01 病毒释放安装流程分析
1.1 获取Root权限
恶意代码首先向服务器/ggview/rsddateindex发送手机的型号等配置信息。随后从服务器端获取Root工具包/onekeysdk/tr_new/rt_.apk。该Root工具包利用手机存在的漏洞，获取手机的Root权限。目前可以适配上万种机型，成功执行Root提权操作。
本文列出了针对三星、MTK两家厂商的Root执行代码，如图4.a和图4.b所示。
图4.a 三星ROOT方案
图4.b MTK ROOT方案
在获取了Root权限之后，恶意代码执行四类操作：1）替换debuggerd文件；2）修改install-recovery.sh文件；3)释放恶意bin文件；4）安装ROM病毒。
1.2 替换debuggerd文件
病毒会将原系统的debuggerd文件另存为debuggerd-test文件，并将自己的恶意bin文件保存为系统的debuggerd文件，如图5所示。
图5 替换debuggerd文件
1.3 修改install-recovery.sh文件
病毒修改系统的install-recovery.sh文件，如图6所示。
图6 修改install-recovery.sh文件
1.4 释放恶意bin文件
病毒将恶意bin文件的二进制代码固定内嵌在Java代码中，并在执行的过程中，向/system/xbin目录下释放。
图7 释放bin文件
1.5 安装ROM病毒
在恶意代码执行的过程中，会向系统目录/system/priv-app或/system/app中写入如camera_update应用的病毒母体，如图8所示。
图8 释放病毒母体
由于获得了Root权限，恶意代码首先检查/system/priv-app目录下是否安装了camera_update病毒母体。该病毒母体会在bin文件的守护下，一直存在在手机的ROM中，防止被卸载，详见第二节分析。
病毒母体在安装完毕后，会静默安装Time Service、Monkey Test等应用。这些应用会通过短连接方式从服务器（Monkey Test对应服务器：/gkview/info/801； Time Service对应服务器：/mmslow/api/821。）获取应用信息，在未经过用户允许的情况下进行下载安装，如图9、图10所示。
图9 Monkey Test子包从服务器获取应用信息
图10 在用户未知的情况下在ROM内安装应用
0x02 病毒母体守护流程分析（图3中蓝色部分所示）
2.1 bin文件守护ROM病毒母体
在系统启动时，会执行install-recovery.sh与debuggerd文件。这两个文件会执行释放的恶意bin文件。bin文件会一直保持运行状态，守护释放在ROM中的病毒母体。并从服务器获取最新病毒安装包。
图11 获取最新病毒包
当病毒母体被删除后，bin文件会自动再次下载并向ROM中安装病毒母体，如图12所示。
图12 病毒母体守护流程
图13 病毒母体安装流程
2.2 bin文件防删除
同时，在手机运行的过程中，通过图14所示的chattr +i操作，使得用户无法删除恶意bin文件。
图14 通过chattr +i操作防止用户删除bin文件
2.3 apk防卸载
Ghost Push病毒通过chattr + i操作使得用户无法卸载已经安装的apk应用，如图15所示
图15 通过chattr + i操作防止用户卸载apk
0x03 病毒恶意行为分析
Ghost Push病毒安装的应用软件均具有数据流量广告推送、静默安装应用软件两种恶意行为。
3.1 广告推送
通过Ghost Push病毒安装、释放在用户手机上的应用，会通过手机数据流量向用户推送广告。具体流程如图16所示。当用户开启屏幕时，便会触发展示推送广告推送。
图16 开启屏幕触发广告推送
值得注意的是，Ghost Push病毒在推送广告的过程中，会首先关掉用户手机的WiFi连接，通过用户的手机流量来获取需要推送的广告内容，如图15中红色方框内容所示。在用户不知情、未得到允许的情况下盗用了大量的数据流量。
3.2 应用推送
Ghost Push病毒母体释放的Time Service、Monkey Test子包还会向用户推送应用并安装，如图17所示。病毒从/gcview/api/910获取需要推广的应用。
图17获取需要推广的应用
返回的结果有不同的推广类型，比如直接后台下载，快捷图标，弹通知栏等方式。如图18所示。
图18获取需要推广应用请求返回
比如以下返回直接后台下载的推广应用。病毒会在在后台下载完成后自动安装，如图19所示。
图19 后台安装应用
Ghost Push病毒中各种推广任务，会使用sqllite数据库作为中转，如图20所示。
图20 sqllite中转推广任务
在实际我们测试中, 可以看到以下的推广数据，如图21-24所示。
图21 后台推送应用日志文件
图22 安装应用
图23 推送应用提醒用户安装
图24 推送安装应用列表（测试机已装）
3.3无Root静默安装
为了进一步地保证成功地安装下载应用，病毒还会诱导用户开启辅助功能，如图24所示。之后如图25所示的代码，病毒通过辅助功能，模拟用户点击操作来成功地安装应用。并且图25左侧文件列表也显示出其可以适配不同系统市场（GooglePlayer、Lenovo、MIUI等）的安装方式。
图24 开启辅助功能
图25 通过辅助功能静默安装
0x04 解决方案与安全建议
4.1 解决方案
用户可以选择使用猎豹专杀工具/store/apps/details?id=com.cleanmaster.security.stubborntrjkiller（即将更新上线）或手动删除病毒软件。手动删除方法如下：
使用刷机软件，一键获取ROOT权限。
下载安装adb工具，/tools/help/adb.html。
下载安装busybox工具，http://www.busybox.net/。
在电脑端，通过adb shell连接手机，使用su命令获取ROOT权限。
ps | grep .base #获取.base文件的pid kill pid
删除恶意bin文件
mount -o remount rw /system #不同系统命令可能不同
chattr –ia /system/xbin/.ext.base
chattr –ia /system/xbin/.bat.base
chattr –ia /system/xbin/.zip.base
chattr –ia /system/xbin/.word.base
chattr –ia /system/xbin/.look.base
chattr –ia /system/xbin/.like.base
chattr –ia /system/xbin/.view.base
chattr –ia /system/xbin/.must.base
chattr –ia /system/xbin/.team.base
chattr –ia /system/xbin/.type.base
chattr –ia /system/xbin/.b
chattr –ia /system/xbin/.sys.apk
chattr –ia /system/xbin/.df
chattr –ia /system/bin/daemonuis
chattr –ia /system/bin/uis
chattr –ia /system/bin/debuggerd
chattr –ia /system/bin/nis
chattr –ia /system/bin/daemonnis
chattr –ia /system/bin/.daemon/nis
chattr –ia /system/bin/uis
chattr –ia /system/bin/.sr/nis
chattr –ia /system/bin/mis
chattr –ia /system/bin/daemonmis
chattr –ia /system/bin/.daemon/mis
chattr –ia /system/bin/.sc/mis
rm /system/xbin/.ext.base
rm /system/xbin/.bat.base
rm /system/xbin/.zip.base
rm /system/xbin/.word.base
rm /system/xbin/.look.base
rm /system/xbin/.like.base
rm /system/xbin/.view.base
rm /system/xbin/.must.base
rm /system/xbin/.team.base
rm /system/xbin/.type.base
rm /system/xbin/.b
rm /system/xbin/.sys.apk
rm /system/xbin/.df
rm /system/bin/daemonuis
rm /system/bin/uis
rm /system/bin/debuggerd
rm /system/bin/nis
rm /system/bin/daemonnis
rm /system/bin/.daemon/nis
rm /system/bin/uis
rm /system/bin/.sr/nis
rm /system/bin/mis
rm /system/bin/daemonmis
rm /system/bin/.daemon/mis
rm /system/bin/.sc/mis
cp /system/bin/debuggerd_test /system/bin/debuggerd
使用猎豹安全大师清除恶意软件，无法清除的软件使用以下命令清除。
chattr –ia /system/priv-app/cameraupdate.apk
chattr –ia /system/priv-app/com.android.wp.net.log.apk
rm -rf /data/data/com.android.camera.update
rm -rf /data/data/com.android.wp.net.log
rm /systam/priv-app/cameraupdate.apk
rm /systam/priv-app/com.android.wp.net.log.apk
cp /system/etc/install-revcovery.sh /sdcard/
adb pull /sdcard/install-revcovery.sh
adb push install-revcovery.sh /sdcard/
cp /sdcard/install-revcovery.sh /system/etc/
打开/system/etc/install-recovery.sh，将其中如下代码段注释或删除。
/system/bin/daemonuis --auto-daemon &
#!/system/bin/sh
/system/xbin/.ext.base &
#!/system/bin/sh
/system/xbin/.ext.base &
4.2 安全建议
建议用户从正规应用市场下载应用，谨慎下载安装附件二中的应用。同时，安装猎豹安全大师，验证下载应用的合法性，对手机进行实时的安全监控。
Ghost Push病毒通过广告SDK或浏览器广告进行大范围的传播，通过对病毒的跟踪分析，得知Ghost Push这类病毒软件伪装成合法的软件。用户一旦感染，恶意代码在开机时运行install-recovery，同时通过chattr + i命令防止用户通过杀毒软件建或手动卸载。恶意代码通过用户数据流量进行广告推送，并且在未经过用户允许的情况下静默下载安装应用，给众多安卓用户带来了不可避免的影响及危害。
本文在对病毒执行流程进行分析之后，提供了用户手动清除病毒的方法。最后，我们在对病毒来源进行分析之后发现病毒软件的大部分签名为C=CN/O=xinyinhe/OU=ngsteam/CN=ngsteam，来自于一家名为xinyinhe的公司。本着刨根问题的原则，我们也在附件三中对这家xinyinhe公司进行了全面的调查。
我们建议用户从正规渠道下载应用，并且安装猎豹安全大师，保证应用的合法性，实时维护用户的手机安全。
[附件一] 部分受感染机型列表
[附件二] 感染应用列表（39项）
[附件三] 深圳市新银河技术有限公司
直觉告诉我们，这家新银河技术有限公司和一键ROOT大师有着千丝万缕的联系。不要问我们直觉哪里来的~~
那么到底这两家公司有没有关系呢？我们首先百度、谷歌了一下新银河的官网，结果显示这家公司没有官网。于是——
我们上了拉钩招聘发现了该公司的链接。
从招聘信息上我们得知和
都是深圳市新银河技术有限公司的网站。
找到公司官网之后，真相逐渐浮出水面！！！现在的一键ROOT大师/和
使用过同一ip。
并且，国外的论坛上也经常出现一键ROOT大师和扯不清的关系
此外，我们还搜集了一些佐证。
佐证一：好搜百科。
佐证二：某锁屏APP，由深圳市新银河技术有限公司开发。
毕竟没有官网并没有给出任何明线表示两家公司的联系。我们也是推论猜测，没有任何结论，请各位看官自行判断。
最后，希望大家一起努力，相信猎豹，会给亿万用户筑起安全防护墙！！！
本文web安全相关术语:黑盒测试方法 黑盒测试和白盒测试 网站安全检测 360网站安全检测 网络安全知识 网络安全技术 网络信息安全 网络安全工程师
转载请注明本文标题：本站链接：
分享请点击：
1.凡CodeSecTeam转载的文章,均出自其它媒体或其他官网介绍,目的在于传递更多的信息,并不代表本站赞同其观点和其真实性负责；
2.转载的文章仅代表原创作者观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,本站对该文以及其中全部或者部分内容、文字的真实性、完整性、及时性，不作出任何保证或承若；
3.如本站转载稿涉及版权等问题,请作者及时联系本站,我们会及时处理。
登录后可拥有收藏文章、关注作者等权限...
玄门非有闭，苦学当自开
手机客户端
，专注代码审计及安全周边编程，转载请注明出处：http://www.codesec.net
转载文章如有侵权，请邮件 admin[at]codesec.net