Malware auf Rootebene entfernen

[tomberry]

Hallo zusammen,

Nehmen wir an, jemand hätte direkten Zugriff auf das Smartphone und würde das Gerät rooten und auf Rootebene einen Trojaner installieren.

1. Wäre es möglich diesen Trojaner mittels Neuflashen durch Windows und Odin zu bereinigen?

2. Wenn ja, ich habe von der Seite SamMobile eine "tar.md5" - Firmware runtergeladen und geflasht. Werden dadurch wirklich ALLE ausführbare Bereiche im Smartphone neu beschrieben oder muss ich sonstige Aktionen durchführen?

3. Ich habe noch ein 2. glitzegleiche Smartphone, das nicht befallen ist. Wäre es möglich die eventuellen korrupten Stellen im System des 1. Geräts mittels Abgleich der beiden Geräte herauszufinden?

4. Wenn nein, wie könnte ich sonst auf diese korrupten Stellen stoßen?


Ich hoffe ihr könnt mir da helfen und vielen Dank für die Antworten!

 

[Lucas]

Also wenn du eine Rom mit Odin komplett neu flasht, müsste der Virus eigentlich verschwinden.
Probiere es doch aus: Installiere ein App als Systemanwendung (Mit TitaniumBackup zum Beispiel) und flashe dein Gerät neu. Ist die App weg, müsste auch ein Virus weg sein.

Wenn du ein gleiches Smartphone hast, das unbefallen ist, müsstest du davon ein Nandroid-BackUp machen und dieses dann auf dein befallenes einspielen. Das sollte auch alles löschen.

 

[tomberry]

Laut einer Fullwipe-Anleitung in diesem Forum werden alle Partitionen außer die EFS- und Kernel-Partition gelöscht.

1. Im Kernel kann sich doch auch Schadcode aufhalten oder nicht?

2. Wie sieht es mit dem EFS-Ordner aus? Befinden sich darin auch ausführbare Codes oder nicht?

3. Im Root-Ordner befinden sich ebenfalls einige Scripts. Laut der Anleitung zum Flashen mit Odin gibt es die Option "re-partition". Wird das System damit von Grund auf (von Root auf) neu formatiert?

 

[tomberry]

Ok folgende Ordner sind bei einem Fullwipe noch erhalten:
- efs

Bei folgenden Partitionen konnte nicht ermittelt werden, ob diese neu angelegt worden sind oder nicht:
- acct
- d
- etc
- proc
- sys

Komischerweise wurde auch eine Datei, die ich im Root angelegt habe beim FullWipe und Neuflashen gelöscht.

Kann jemand folgende Schlussfolgerung bestätigen?

---> Beim FullWipe und anschließendem Flashen werden Alle Ordner bis auf den EFS-Ordner gelöscht und neu angelegt. Lediglich der EFS-Ordner wird zwischengepeichert und nach dem Anlegen der Partitionen wieder integriert.

 

[jna]

Was du "Ordner" nennst, sind Partitionen.

 

[4ndr0]

Anhand der mtime / ctime lässt sich nicht ermitteln, ob die Ordner neu angelegt wurden? Wenn du schon auf System-Ebene rumfummelst, beschäftige dich erstmal mit den Eigenschaften von Linux-Dateisystemen.

Was für "Malware" soll sich denn da überhaupt befinden und wie kommst du darauf? Formatiere doch einfach nacheinander alles im CWM und dann flashe neu.