BaiL 发表于 2021-1-2 00:30

MI8 最新系统病毒可能性,仅供参考

本帖最后由 BaiL 于 2021-1-4 15:48 编辑

发现手机十分频繁的扫描外网, 被光猫日志记录
```
Manufacturer:ZTE;
ProductClass:F663N;
SerialNumber:ZTEGC9F2152F;
IP:192.168.1.1;
HWVer:V1.0;
SWVer:V1.1.0P1T7;

2021-01-01 19:32:39 firewall security alert! Remote (source) address:192.168.1.41,scan dest address:223.74.133.75,and source port:7700,dest port:3890
2021-01-01 19:36:19 firewall security alert! Remote (source) address:192.168.1.41,scan dest address:223.73.148.191,and source port:7700,dest port:29205
2021-01-01 19:36:22 firewall security alert! Remote (source) address:192.168.1.41,scan dest address:223.81.155.252,and source port:7700,dest port:3484
```

```
2021-01-01 20:30:30 call KILL_TIMER(1) check Tmid Error!
2021-01-01 20:30:30 call KILL_TIMER(2) check Tmid Error!
2021-01-01 20:30:39 not find fd(-1) in pid wOpReadState, wOpWriteState AddFDEvent error!!
2021-01-01 20:30:40 call KILL_TIMER(1) check Tmid Error!
2021-01-01 22:49:01 VIP_SEC: inet_bind2:proc-dnsmasq,pid(1133,1133),pt=35688,prot=(1,17)
2021-01-01 22:49:01 VIP_SEC: inet_bind2:proc-dnsmasq,pid(1133,1133),pt=31958,prot=(1,17)
2021-01-01 22:49:01 VIP_SEC: inet6_bind2:proc-dnsmasq,pid(1133,1133),pt=35075,prot=(1,17)
2021-01-01 22:49:01 VIP_SEC: inet6_bind2:proc-dnsmasq,pid(1133,1133),pt=25289,prot=(1,17)
```

经过排查发现是我的手机,目前使用路由拦截了所有的请求, 尝试过卡刷 \ 出厂化 \ 线刷, 发现仍然有扫描信息, 其中发现两个可疑的 *IP*, 并不确定是否是扫描后发送的信息

- 182.254.116.117
      - `GET http://182.254.116.117/d?dn=0b34cd3319ab768b2d0dd91148c5ca1129a59c5186270dd6&clientip=1&ttl=1&id=1 HTTP/1.1" - - "-" "Dalvik/2.1.0 (Linux; U; Android 10; MI 8 MIUI/V12.0.3.0.QEACNXM)`
      - `GET http://182.254.116.117/d?dn=wzry.broker.tplay.qq.com&ttl=1 HTTP/1.1" - - "-" "Dalvik/2.1.0 (Linux; U; Android 10; MI 8 MIUI/V12.0.3.0.QEACNXM)`
- 162.14.14.11
      - `GET http://162.14.14.11/d?appid=1&dn=titan.pinduoduo.com,titan-mt.pinduoduo.com&ticket=4006282458&os=1&version=1&clientVersion=5.43.0&titanId=mKXA0npu HTTP/1.1" - - "-" "android Mozilla/5.0 (Linux; Android 10; MI 8 Build/QKQ1.190828.002; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/83.0.4103.101 Mobile Safari/537.36phh_android_version/5.43.0 phh_android_build/b856cdc1b6d9d09ebcecae175c127940bf09ec5e phh_android_channel/xm pversion/0`

其中我并没有下载 *chrome* 有火狐浏览器,请问大佬指导有什么办法可以查杀病毒并清除的吗?

------------------------------------------------------
更新于2021-01-02 12:40
### 前言
最开始遇到问题, 使用 *MI8* 访问了颜色"学习"网站, 后续学习扫描的时候突发奇想是否会被路由器记录, 所以使用管理员账号访问了光猫进行查看了日志, 发现之前的日志是干净的, 存在我测试扫描的记录, 但是同时发现自访问在 *1* 小时前进行了同 *IP* (下级路由)进行了多次其他外网 *IP* 的扫描记录, 然后清除了日志数据将(在此之前我并没有兴趣关注光猫的日志, 更不会清除之前的日志了). 连接光猫 *wifi* 并且进行了静态 *IP* 绑定. 之后发现是移动端发起的扫描信息.

之前有大佬提出这个可能是属于正常化的,那么正常的情况应该会是两个手机都会出现 *IP* 扫描信息(不排除其他可能), 我准备自明天开始观察 *3* 天(今天要出一趟远门). 假设都是存在的, 那么说明这在一定的可能性上并不是病毒, 可能是系统或软件执行了某些功能导致的光猫日志记录了扫描信息, 到时候在具体折腾, 感谢各位大佬的回复以及关注.

--------------------
### 光猫信息
运营商: 中国移动
设备型号: *F663N*
硬件版本号: *V1.0*
软件版本号: *V1.1.0P1T7*
区域: 江西
光猫日志设置级别: *Error*

记录开始时间: *2021-01-02 11:40*

### 测试环境说明
- *MI8*
- *IP: 192.168.1.43*
- 系统及版本: *MIUI 12.0.3* 稳定版
- 是否解锁: 否
- 曾经的尝试:
   - 第一步进行了卡刷,是通过 *firefox* 使用 *https* 访问官网进行下载最新的卡刷数据包
   - 第二步发现卡刷仍存在扫描信息, 进行了出厂化
   - 第三步出厂化未果之后按照官方教程进行了线刷
- *MI5*
- *IP:192.168.1.3*
- 系统及版本: *MIUI 10.8.11.22* 开发版
- 是否解锁: 是(刷了 *ROOT*)
- 曾经尝试: 无

---------------------
### 测试方式
- ~~阶段一: 使用两个手机直连光猫路由器, 绑定 *MAC* 与 *IP*, 间隔查询光猫日志是否出现扫描信息.~~
- ~~阶段二: 将发现的扫描信息的手机连接 *WiFiPineapple* 绑定 *MAC* 与 *IP* 使用 *urlsnarf* 进行请求拦截, 参考光猫日志以及本身请求判断可能存在疑点的请求.~~

昨天开始记录, 仍存在扫描记录, 并且目前只发现有原有的 MI8 存在扫描信息, 今天下午在看发现光猫的日志于 *2021-01-04 13:58:57* 为最新的日志信息, 不排除自动清除日志的可能, 在光猫的日志信息的并没有发现自动清除日志的可操作选项, 但是也觉得可以理解. 与我个人而言受限于自我的知识储备等因素暂时没有更好的解决方案, 我个人就算受损也不会太大, 只是希望我的遇到的问题能够给予到一些后续的参考, 就算是我多心也罢, 最不在乎的就是在没有找到合理的解释前多想几种可能去假设推断. 后续应该也就是自己想想其他方法折腾了, 谢谢之前各位大佬的热心与回复

panielhong 发表于 2021-1-2 07:22

感谢分享

BaiL 发表于 2021-1-2 08:33

为你存在 发表于 2021-1-2 08:15
这不有网址吗 一个拼多多 一个QQ的,手机双清看还访问吗

使用了路由拦截了所有的信息,发现 qq 以及其他的软件都是使用了域名连接的, 之所以认为这两个 IP 可疑是因为通过扫描的日志时间进行判断的,'182.254.116.117' 这个访问刚好卡在扫描时间点, 并且我看所有的数据包, 目前发现只有在使用网易云听歌的时候是指向 IP,其他的都是域名.

为你存在 发表于 2021-1-2 08:15

hua3354 发表于 2021-1-2 08:23

线刷官方包试试吧

BaiL 发表于 2021-1-2 08:28

hua3354 发表于 2021-1-2 08:23
线刷官方包试试吧

是线刷了官方包的, 已经卡刷以及线刷试过了{:1_937:}

BaiL 发表于 2021-1-2 08:38

hua3354 发表于 2021-1-2 08:23
线刷官方包试试吧

你好, 你说的官方包是指 Android 还是小米的 MIUI? 我刷的是小米的官方包

BaiL 发表于 2021-1-2 08:58

扫描的端口并不是一层不变的, 原本还想尝试是否可以使用路由进行拦截端口请求

QingYi. 发表于 2021-1-2 09:52

也许是你太多疑

kid2man 发表于 2021-1-2 10:09

这是正常的吧,楼主你自己查查 dest(目标) IP,都是腾讯云的国内IP。
这是你手机微信或者QQ的登录状态回执吧。
这也不叫扫描啊,扫描是source IP(单一位或者段)对多dest IP进行无差别scan。
一般中毒也不会变成母鸡,变成肉鸡可能性大啊,也就是说被扫的可能性大。否则控制端还在设备上,种马或者中毒的意义在哪里啊(破坏者权限在受害者手里)
页: [1] 2
查看完整版本: MI8 最新系统病毒可能性,仅供参考


免责声明:
吾爱破解所发布的一切破解补丁、注册机和注册信息及软件的解密分析文章仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。

Mail To:Service@52pojie.cn