出现在系统区域的恶意软件的主要特征:
- 在反病毒软件将其删除后,同样的威胁也会在同一位置重复出现,一般是在设备重启后再次出现。
- Dr.Web安全审计中会出现相应预警。
由于OS Android本身的特点,任何反病毒软件的常规工具都无法将出现在系统区域的木马彻底去除,原因是在无根设备上反病毒软件和其他任何应用程序一样,不具备管理员权限: Dr.Web能够发现入侵到系统区域的恶意软件,但由于权限不足,无法将其删除。对于这些威胁,也不能进行隔离,就像其他已安装的应用也无法隔离一样。
解除这样的固件漏洞和/system中的威胁可以暂停或停用某些系统应用。这种方式不能彻底消除威胁,但可以在将其彻底删除前避免对设备产生危害。
暂停应用的运行:在屏幕设置→应用的已安装应用列表中选择被判定为安全威胁的应用,然后在此应用的相关信息窗口点击暂停。
每次重启设备后都必须重复这一操作。
停用应用:在屏幕设置→应用的已安装应用列表中选择被判定为安全威胁的应用,然后在此应用的相关信息窗口点击停用。
如果您的设备已打开root权限(也就是超级用户权限,可进行任何更改,包括对固件的更改),而删除应用不会影响设备运行或者可以对应用进行清除,则您会在反病毒软件的界面看到相应的选项。
具备root权限时还可以尝试利用专门的第三方工具来删除恶意应用。
某些情况下设置root权限后,设备厂商会取消对设备的保修服务。
如果您的设备采用的时自定义固件,可以选择自行恢复到厂商官方软件或联系厂商的售后服务。如果您使用的是设备厂商的官方软件,请联系厂商了解这一软件的更多详情。
如厂商建议更新固件,在更新前需将所有用户数据进行备份,在备份后将设置恢复为出厂设置。
如果想停止接收在系统应用发现将其删除会影响设备运行的威胁的通知,需在设置 → 常规设置 → 高级选项部分勾选“系统应用”。
此外,建议您参阅我公司官网在«The Anti-Virus Times»发布的 «System business» 专栏。介绍木马是如何进入设备固件的文章题为«Firmly rooted»。