Malware entfernen (XiaoCai X9 G800_Z5_YG_EN_C1_V0.4_20130910 ROM malware removal)

  • 55 Antworten
  • Neuester Beitrag
Diskutiere Malware entfernen (XiaoCai X9 G800_Z5_YG_EN_C1_V0.4_20130910 ROM malware removal) im Xiaocai X9 Forum im Bereich Xiaocai Forum.
krusovice

krusovice

Ambitioniertes Mitglied
Die "neuen" VII Versionen des X9 werden anscheinend in Deutschland alle mit dem G800_Z5_YG_EN_C1_V0.4_20130910 ROM ausgeliefert.
Wenn du beim ersten Einschalten auf dem Hintergrund Buntstifte siehst, dann wirst du wahrscheinlich dieses ROM haben:
stock1.png
Klicke auf Einstellungen -> Über das Telefon (ganz unten) -> Build-Nummer, um dies zu überprüfen.

Dieses ROM ist sehr schnell und aufgeräumt, bringt aber leider einige kleine Überraschungen in Form von Adware-Downloadern mit, die sich tief ins System eingenistet haben.
Und die entfernen wir nun :D

0. Disclaimer:
Ich bin nicht dafür verantwortlich, wenn bei dieser Prozedur dein Telefon kaputt geht!
Du führst diese Schritte auf eigene Verantwortung aus!!!


1. Vorbereitung:
- Roote dein Telefon
- installiere CWM Recovery wie im HOWTO beschrieben
- lege ein Backup des ROMs an!

2. Download:
- lade dir die Anhang anzeigen g800_cleaner_cwm.zip runter
- lege diese auf der SD-Karte deines Handys ab

3. Installation über CWM:
- starte dein Gerät neu und halte dabei Vol+ gedrückt, so kommst du ins CWM
- du kannst mit Vol+/Vol- navigieren, Power ist OK
- wähle install zip from sdcard
- wähle choose zip from sdcard oder choose zip from internal sdcard, je nachdem, wo du das zip hinkopiert hast
- wähle die g800_cleaner_cwm.zip
- wähle Yes - Install g800_cleaner_cwm.zip
- wähle +++++Go Back+++++
- wähle reboot system now
- danach wird dein Telefon neu gestartet
- ... und wech sind 'se :flapper:

1. Vorbereitung:
- ADB-Treiber installieren (am besten den Universal-ADB Treiber)
- Roote dein Telefon (mit Motochopper, den brauchen wir noch, findest du im HOWTO)
- installiere CWM Recovery wie im HOWTO beschrieben
- lege ein Backup des ROMs an!

2. Download und Entpacken:

- lade dir die Anhang anzeigen g800_cleaner.zip runter
- Zip entpacken
- kopiere die 4 Dateien (clean.bat, clean.sh, cln, README.TXT) aus dem g800_cleaner-Ordner in den motochopper-Ordner (dort, wo auch die run.bat liegt)

3. Factory Mode:
- starte dein Gerät neu und halte dabei Vol- gedrückt, so kommst du in den Factory Mode (Vol+ geht ins CWM, aber da wollen wir nicht hin).
- es kommt ein Menü mit chinesischen Schriftzeichen:
factory2.png
- du musst hier nichts machen (du kannst aber mit Vol+/Vol- navigieren, unterster Menüpunkt ist reboot, Power ist OK)

4. USB Verbinden:
Verbinde dein Telefon per USB mit deinem Computer!
Falls keine Verbindung zustande kommt: reboote in den normalen Modus, klicke auf Einstellungen -> Entwickleroptionen -> aktiviere USB-Debugging, und boote danach nochmal in den Factory Mode. Ansonsten:
AsusFreak schrieb:
Wichtig:
- Universal ADB Treiber installiert
- USB Debugging in den Entwickleroptionen aktiviert
- USB Verbindung im MTP Modus (als USB Speicher geht es nicht)
5. Führe die Skripte aus:
- unter Windows, klicke auf clean.bat
- unter Linux oder Mac, führe clean.sh in einer Shell aus
- lies, was da steht, und drücke die ENTER Taste, wenn du den Text gelesen hast und einverstanden bist
- die Skripte löschen / deinstallieren dann die Malware
- danach wird dein Telefon neu gestartet
- ... und wech sind 'se :flapper:
FAQ: Was wird entfernt?
- wland (hat nichts mit WLAN zu tun, siehe Folgepost)
- AdupsFota.apk / AdupsFotaReboot.apk / com.adups.fota
- AmountTool.apk / com.skymobi.activation
- airpush.apk / com.google.hfapservice (kommt nicht von Google)
- Midtest.apk (Factory Gerätetest, überflüssig)

FAQ: Was wird NICHT entfernt?
- ungefragt nachinstallierte Apps, diese über MobileUncle entfernen
- SmsReg.apk (tut in diesem ROM nichts)

FAQ: Sind andere ROMs auch betroffen?
Nein. Die oben genannten Apps sind im Stock CaiOS 1.05 ROM und im Elektronica-ROM nicht enthalten (bis auf Midtest.apk im CaiOS ROM, aber die ist harmlos).

Kommentare / Erfahrungen / Anregungen / Bugs:
Bitte an diesen Thread anhängen.

Danke an:
- Freibooter - für deine Analysen, deine Hilfestellung, und dass du mich auf die Idee gebracht hast, tiefer zu buddeln als notwendig
- AsusFreak - für den Hinweis mit dem MTP Mode
- xxx500xxx - für den Tipp mit dem CWM aus dem Motochopper
 
Zuletzt bearbeitet:
krusovice

krusovice

Ambitioniertes Mitglied
Erfahrungsbericht Malwaresuche
Nach den Berichten über ungewollte Downloads mit asiatischen Schriftzeichen im G800er ROM wurde ich stutzig und habe mich mit meinem Handy mal etwas tiefergehend auseinandergesetzt. Das X9 ist mein erstes Smartphone, und mit Android habe ich bisher nicht viel gemacht, aber mit Linux kenne ich mich aus :D

Ich habe mir daraufhin das offizielle CaiOS 1.05er, das G800er und das Elektronica-ROM runtergeladen, entpackt und verglichen. Wo fängt man am besten an? Beim Kernel? Binary only. Dann die Initrd. Diverse Dateipakete und -formate später: Bis auf die custom_build_verno gibt es keine Unterschiede zwischen CaiOS und G800er ROM (Elektronica bringt keinen eigenen Kernel mit).

In der Initrd vom CaiOS und G800 finden sich Verweise auf zwei Daemons, fotabinder und wland, die im CaiOS- und Elektronica-ROM nicht enthalten sind. Echte Linux-Prozesse, die mit Root-Rechten laufen! Während fotabinder relativ langweilig ist, stellte sich wland als prall-gefüllte Schatzkiste heraus.

/system/bin/wland
Ich habe daraufhin auf meinem Handy nachgeschaut, ob wland läuft: Jupp, tut er, sogar zwei mal. Und die Versionen auf meinem Handy sind mit 95 KB sogar etwas größer als die im ROM mit 70 KB. Hmm.

Die Software kommt von dem chinesischen Hersteller Reallytek und beinhaltet einen Downloader, eine XML-Registry, einen Zeitplanungsmanager sowie die notwendingen Dinge, die man so braucht.

Der Daemon aktualisiert sich bei Bedarf selber. Stündlich, täglich und monatlich versucht er sich dann, beim Server zu melden. Eine Verbindung wird nur dann aufgebaut, wenn auch WLAN-Verbindung besteht, so dass keine Kosten entstehen.

Ungefähr 10 Minuten nach dem Booten meldet sich der Daemon erstmalig beim Hersteller mit der IMSI und der aktuellen Funkzelle. Das hat mich stutzig gemacht, da für eine gerätespezifische Systemaktualisierung die IMEI ausreichen würde. IMSI + Funkzelle sind interessant für geolokalisierte Werbung ... oder für Polizei und Geheimdienste ...

Der Daemon schickt dabei einen http-Request an den Server. Der Webserver antwortet daraufhin mit einer Null-Byte-Antwort oder mit einem Shellskript. Wenn die Antwort ein Shellskript beinhaltet, führt der Daemon dieses aus.

Unerwünschtes
Diese Skripte laden dann Ad- und Crapware als .APKs vom Server herunter und installieren diese ungefragt im Hintergund. Ich habe dort diverse Apps von Baidu, 337 Game Master, DU Battery Saver, UC Mobile Browser, usw gefunden.

Auf meinem Handy hatte sich in den letzten drei Wochen nur der Daemon aktualisiert, Crapware war noch keine drauf. Anscheinend liefert der Server die erste Malware erst verzögert aus, das würde zumindest die Diskussionen hier im Forum erklären (im November geliefert, im Dezember ungewünsche Apps).

Das g800_cleaner-Skript entfernt den Daemon und die Anwendungen, die im Elektronica und im CaiOS-Stock-ROM auch nicht gebraucht werden.
 
Zuletzt bearbeitet:
L

lauxmueller

Erfahrenes Mitglied
Betrifft mich zwar nicht,da ich eine andere ROM verwende, aber ganz großen Respekt für deine Mühe und vorallem für die erstklassige Beschreibung.
Wird einigen hier sehr weiterhelfen..... :thumbup:
 
krusovice

krusovice

Ambitioniertes Mitglied
Danke! War viel Arbeit und ich habe viel dabei gelernt.
Mich wundert nur, dass hier kein Virenscanner anschlägt ...
 
S

Screemer

Ambitioniertes Mitglied
diese "autoupdates" kann man auch bei verbrauchten traffic von "Android OS" sehen.

könntest du dir auch mal die CaiOS-SMS-Problematik näher ansehen. Das System ansich gefällt mir nämlich besser als das G800-Rom. Vielleicht findest du auch eine Lösung und Analyse der HLL-Systembestandteile.
 
krusovice

krusovice

Ambitioniertes Mitglied
Werde ich noch machen, bin jetzt angefixt :)
Auf den ersten Blick schien das CaiOS-ROM sauber zu sein, ich habe dort jedenfalls nichts offensichtliches gefunden. Welches CaiOS nutzt du? Das 1.04 oder das 1.05er? Ich hab für meine Analyse oben das 1.05er genommen.
 
P

pillepalle12

Fortgeschrittenes Mitglied
Bist du dir bei com.adups.fota sicher, dass diese schädlich ist? In titanium wird es als System Aktualisierung angezeigt. Wenn ich diese deaktiviere bekomme ich einen force close unter Einstellungen - über das Telefon - System Update.

Ich vermute das es die OS Update Funktion ist... Was meint ihr?
 
Zuletzt bearbeitet:
krusovice

krusovice

Ambitioniertes Mitglied
100% sicher bin ich mir nicht, ob com.adups.fota schädlich ist ... Allerdings ist die APKs im Elektronica und CaiOS-ROM nicht enthalten und mein Handy funktioniert problemlos ohne.
 
H

Hawk0001

Fortgeschrittenes Mitglied
Hallo und vielen Dank für deinen Beitrag. Ich werde mich am Wochenende mal hinsetzten und deinen Ausführungen folgen. Nun aber noch eine Frage, wie erkenne ich denn, ob nicht bereits die sog. Ad- und Crapware installiert sind wie z.B. die von dir genannten Baidu, 337 Game Master, DU Battery Saver, UC Mobile Browser??

Ich habe mal unter System/app nachgesehen und dort mal AdupsFota.apk sowie AdupsFotaReboot.apk entdeckt. Diese werden ja durch dein Tool unter anderem gelöscht. Was ist denn mit weiteren nutzlosen APK´s in diesem Ordner? Können dort auch noch weitere entfernt werden?? Ich habe da z.B. eine Galaxy4.apk / Galaxy4.odec Datei im Auge. Wenn denn der Name wirklich mit dem Galaxy-Gerät zusammenhängt, dann ist diese doch vollig nutzlos auf dem X9 oder nicht??

Bin wirklich gespannt, wie es weitergeht.
 
krusovice

krusovice

Ambitioniertes Mitglied
Hallo Hawk,

die Galaxy4.apk enthält den Live-Hintergrund "Schwarzes Loch" und ist auch in den CaiOS und Elektronica ROMs enthalten.

Mein Skript entfernt keine nachgeladene Malware, sondern nur die, die mit dem ROM mitkommen (AmountTool.apk + airpush.apk + wland). Die ersten zwei hat Freibooter (danke nochmal!) gefunden und bei sich entfernt, und danach wurden trotzdem noch ungefragt Apps nachinstalliert. Daraufhin habe ich mit wland noch einen Downloader gefunden. Indizien für weitere Downloader gibt es nicht, aber Fota könnte Downloads machen. Midtest ist in den anderen ROMs nicht enthalten und daher überflüssig.

Schau dir die installierten / nachgeladenen Apps am besten mit MobileUncle an. Der sortiert die in Installationsreihenfolge, die zuletzt installierten zeigt er zuerst. Dort siehst du recht schnell, ob etwas nachgeladen wurde, und kannst es auch von dort deinstallieren. Die mitgelieferten Apps auf der Lösch-Liste stehen ganz unten.

Zum Test / Ausprobieren musst du folgendes tun:
1. geh per USB-Debugging auf dein Handy. Starte dazu in einer Shell ("cmd.exe" unter Windows) eine ADB-Verbindung:
Code:
[B]adb shell[/B]
(ADB findest du auch im Motochopper Ordner, falls du das Android SDK nicht installiert hast)

2. Tippe auf der Shell folgendes ein:
Code:
[B]ps | grep wland[/B]
Wenn die Ausgabe dann wie folgt aussieht:
Code:
shell@android:/system/bin $ [B]ps |grep wlan[/B]
root      3049  1     5644   840   ffffffff 00000000 S /system/bin/wland
root      4905  1     1532   748   ffffffff 00000000 S /system/wlan/wland
shell@android:/system/bin $
dann läuft der wland noch im Hintergrund.

Wenn wland gelöscht wurde, dann sieht die Ausgabe so aus:
Code:
shell@android:/ $ [B]ps | grep wland[/B]
1|shell@android:/ $
Mit
Code:
shell@android:/ $ [B]exit[/B]
loggst du dich wieder aus.

Viele Grüße,
Krusovice
 
pio3

pio3

Erfahrenes Mitglied
Hi krusovice,
krusovice schrieb:
3. Factory Mode:
- starte dein Gerät neu und halte dabei Vol- gedrückt, so kommst du in den Factory Mode (Vol+ geht ins CWM, aber da wollen wir nicht hin).
- es kommt ein Menü mit chinesischen Schriftzeichen:

- du musst hier nichts machen (du kannst aber mit Vol+/Vol- navigieren, unterster Menüpunkt ist reboot, Power ist OK)
vielen Dank für Dein Datamining. :tongue:
Habe aber hier ein Problem: Verbinde ich im Factory Mode das X9 mit dem Rechner (WinXP), will selbiger ein CDC-Serial-Treiber installieren, den er nicht findet.
MTKDroid- und SPFlash-Tools habe keine Kontakt-Probleme mit meinem X9, ebenso kann ich mir wie in Post #11 dargestellt per ADB-Shell wland als aktiven Prozess anzeigen lassen.

pio3
 
krusovice

krusovice

Ambitioniertes Mitglied
Hallo pio3,

ich selber nutze Linux und habe dieses Problem nicht. Ich komme sowohl im normalen Modus als auch im Factory-Mode per ADB auf mein Handy, nur im CWM kann ich mich nicht verbinden. Keine Ahnung wieso, denn bei anderen Handys funktioniert es für gewöhnlich ... Vielleicht funktioniert es bei dir.

Aber du hast Recht: das Gerät wechselt seine USB-ID von 0bb4:0c03 zu 0bb4:0005 im Factory Mode. Im CWM taucht kein USB-Device bei mir auf.
Trotzdem müssten hier deine Treiber funktionieren. Oder probier die MTK-Treiber aus. Ohne eine Windows-Installation kann dir hier leider nicht weiterhelfen.

Alternativ: ich hatte zuerst eine Anhang anzeigen g800_cleaner_cwm.zip für's CWM gebaut, aber die funktionierte bei mir nicht, CWM sagt nur "error".
Diese Zip funktioniert nicht! Nimm die aus dem ersten Post.
Du kannst es wie folgt ausprobieren:
1. zip auf die SD-Karte kopieren
2. ins CWM booten
3. zip von SD-Karte installieren
Das updater-skript mountet /system und /data und löscht dann die Dateien wie in dem anderen Fix.

Vielleicht funktioniert dies bei dir, dann ist einfach nur mein CWM kaputt. Viel schiefgehen kann da eigentlich nicht (trotzdem: ausprobieren auf eigene Gefahr).

Viele Grüße,
Krusovice
 
Zuletzt bearbeitet:
pio3

pio3

Erfahrenes Mitglied
Hi krusovice,
krusovice schrieb:
Alternativ: ich hatte zuerst eine für's CWM gebaut, aber die funktionierte bei mir nicht, CWM sagt nur "error".
Du kannst es wie folgt ausprobieren:
1. zip auf die SD-Karte kopieren
2. ins CWM booten
3. zip von SD-Karte installieren
Das updater-skript mountet /system und /data und löscht dann die Dateien wie in dem anderen Fix.

Vielleicht funktioniert dies bei dir, dann ist einfach nur mein CWM kaputt.
vielen Dank für Deine schnelle Antwort.
Leider bei mir das gleiche Ergebnis:
"Installing update...
E:Error in /sdcard/Download/g800_cleaner_cwm.zip
(Status 6)
Installation aborted."
Schade. :sad:

Brauch ich für Linux das komplette Android-SDK oder gibt es für die gängigen Distris (SUSE, Ubuntu & Co) fertige Pakete?
EditH: Hab gerade https://www.android-hilfe.de/forum/...tboot-und-adb-treiber-unter-linux.282759.html gefunden. Werd ich wohl mal ausprobieren...

pio3
 
Zuletzt bearbeitet:
krusovice

krusovice

Ambitioniertes Mitglied
Danke für's ausprobieren. Schade, dass es nicht geklaptt hat. Vielleicht kann jemand mit mehr Ahnung mal einen Blick drauf werfen ...

Ansonsten hängt es von der Distribution ab. Ubuntu Saucy z.B. bringt das Paket android-tools-adb mit, bei älteren Versionen muss man die Pakete nach Anleitung aus dem Netz installieren.
 
P

pillepalle12

Fortgeschrittenes Mitglied
Ich habe heute auch mal in Ruhe im System gewühlt und mir ist die

SMSReg.apk

aufgefallen, laut google Suche und einigen Foreneinträgen sollte die auch gelöscht werden, habs bei mir gelöscht und nichts negatives feststellen können.
Schaut Euch das auch mal an.



BTW: habe die com.mediatek.atci.service auch mal testweise gelöscht und mich in einem Bootloop wieder gefunden, mit nem Backup kam ich aber wieder zurück.
Die brauchen wir also...
 
AsusFreak

AsusFreak

Fortgeschrittenes Mitglied
Also ich habe Dein clean Skript unter Win7 ausführen können.
Ergebnis: die aufgeführten Dateien sind gelöscht.

Ich hatte es zunächst versucht, per adb im normal gebooteten Zustand auszuführen, weil mir die Chinesischen Zeichen im factory Mode etwas suspekt vorkamen - ging aber nicht: "Resource is busy".

Also doch in den Factory Mode - und siehe da: geht.

Wichtig:
- Universal ADB Treiber installiert
- USB Debugging in den Entwickleroptionen aktiviert
- USB Verbindung im MTP Modus (als USB Speicher geht es nicht)

Vielen Dank, krusovice.
 
pio3

pio3

Erfahrenes Mitglied
Hi AsusFreak,
AsusFreak schrieb:
Also ich habe Dein clean Skript unter Win7 ausführen können.
genau das habe ich jetzt auch mal versucht:
Anstelle eines WinXP-Rechners das X9 im Factory Mode an Win7x64 gehängt- und siehe da, nun hat es auch hier geklappt mit der Reinigung. :tongue:
Danke AsusFreak für den Hinweis!
Und auch Krusovice nochmals Dank!

pio3
 
krusovice

krusovice

Ambitioniertes Mitglied
@AsusFreak & pio3:
Danke für's Testen!

@Pillepalle wegen der SmsReg.apk
Ich habe die Diskussionen über die ungewollt versendeten SMS gelesen, aber keinen Hinweis darauf gefunden, dass das G800er-ROM betroffen ist. Die CaiOS-ROMs sind voll mit Werbe-Apps, die SMS versenden dürfen, ich vermute daher, das die SmsReg unschuldig ist.
 
P

pillepalle12

Fortgeschrittenes Mitglied
da hast du recht, es war nicht auf Android Hilfe sondern in einem anderen Forum. ich poste den link hier wenn ich ihn wiederfinde