Для корректной работы нашего сайта необходимо включить поддержку JavaScript в вашем браузере.
Android.DownLoader.1845
Добавлен в вирусную базу Dr.Web:
2017-02-01
Описание добавлено:
2017-02-01
Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
Android.Hmad.2
Android.Hmad.7.origin
Android.Backdoor.336.origin
Android.Xiny.10.origin
Загружает из Интернета следующие детектируемые угрозы:
Android.Backdoor.336.origin
Сетевая активность:
Подключается к:
epup####.####.com:7013
d2h8j6q####.####.net
ecup####.####.com
i####.####.com
epre####.####.com:7012
e####.####.com:8011
p####.####.com
ecup####.####.com:8013
l####.####.net
d####.####.com
e####.####.com
s####.####.com
e####.####.com:7011
t####.####.net
o####.####.com:7070
b####.####.net
epre####.####.com
ecre####.####.com:8012
b####.####.net:5050
m####.####.COM
a####.####.com
Запросы HTTP GET:
i####.####.com/creative/1607/19/28dc55abfb400153-icon1024.png
ecup####.####.com:8013/ukup.do?mid=####&uuid=####&imid=####&kv=####&sv=####&appkey=####&appname=####&pname=####&model=####&networkname=####&operatorsn...
d2h8j6q####.####.net/oversea/lockad/logo/1481096613742.png
p####.####.com/stat/aos/v3/active/req?s=####
d2h8j6q####.####.net/oversea/pushad/logo/73f37fb6-4223-4d4e-8e21-966b691a3290.png
i####.####.com/creative/1701/07/de65189f690faf8e-unnamed.jpg
d2h8j6q####.####.net/oversea/lockad/logo/1481247530897.png
d####.####.com/thinking/group/rtt0123_652.apk
d2h8j6q####.####.net/oversea/lockad/logo/1481880152867.png
i####.####.com/creative/1701/07/82e4b2bc19619844-unnamed.jpg
d2h8j6q####.####.net/oversea/lockad/img/1481787089203.jpg
p####.####.com/push/aos/v1/req?s=####
d2h8j6q####.####.net/oversea/lockad/img/1481880152922.jpg
e####.####.com:8011/ugetad.do?kitmd=####&count=####&mid=####&uuid=####&imid=####&kv=####&sv=####&appkey=####&appname=####&pname=####&model=####&networ...
ecup####.####.com/getccontrol.do?mid=####&uuid=####&imid=####&kv=####&sv=####&appkey=####&appname=####&pname=####&model=####&networkname=####&operator...
ecre####.####.com:8012/upostdata.do?data=####&mid=####&uuid=####&imid=####&kv=####&sv=####&appkey=####&appname=####&pname=####&model=####&networkname=...
p####.####.com/popot/aos/v2/eff?s=####
d2h8j6q####.####.net/oversea/lockad/img/1481247530884.png
i####.####.com/creative/1511/13/b3de5a793147a4a7-icon.png
i####.####.com/creative/1701/10/c9f52d29e4daa19b-unnamed.png
i####.####.com/creative/1611/29/ece911ad096e08fb-hot.png
p####.####.com/popot/aos/v2/req?s=####
d2h8j6q####.####.net/oversea/pushad/logo/18a8ec2b-621d-446d-af54-f745ee19be8a.jpg
i####.####.com/creative/1701/10/98547187eced0f66-unnamed.png
p####.####.com/push/aos/v1/eff?s=####
Запросы HTTP POST:
epre####.####.com/ppostdata.do
a####.####.com/oversea_adjust_and_download_write_redis/notify/download/app
m####.####.COM/gcview/api/910
m####.####.COM/pmsg/api/20
e####.####.com/pcheckvalid.do
p####.####.com/v1/android/packages?rt=####&sign=####
t####.####.net/g/d
b####.####.net/
o####.####.com:7070/chnos/ospay/pytstart.do
l####.####.net/gkview/info/601
epre####.####.com:7012/ppostdata.do
s####.####.com/ggview/rsddateindex
b####.####.net:5050/
e####.####.com:7011/pgetad.do
epup####.####.com:7013/pkup.do
ecup####.####.com/getccontrol.do
Изменения в файловой системе:
Создает следующие файлы:
Присваивает атрибут 'исполняемый' для следующих файлов:
/data/data/####/files/.snow/.dg
/data/data/####/files/.snow/.zip/r3
/data/data/####/files/.snow/busybox
/data/data/####/files/.snow/.zip/r4
/data/data/####/files/.snow/.zip/r1
/data/data/####/files/.snow/.service
/data/data/####/qj/cq.zip
/data/data/####/files/.snow/.zip/r2
/data/data/####/dj/cd.zip
/data/data/####/files/.snow/b.png
/data/data/####/files/.snow/.client
/data/data/####/files/.snow/.ir
/data/data/####/yj/cy.zip
/data/data/####/files/.snow/.zip/rt8
/data/data/####/files/.snow/.zip/rsh
/data/data/####/jj/cj.zip
/data/data/####/files/.snow/myshell
/data/data/####/files/.snow/.catr.apk
/data/data/####/files/.snow/a.xml
/data/data/####/files/.snow/.ukd
/data/data/####/lj/cl.zip
/data/data/####/files/.snow/.uok
/data/data/####/xj/cx.zip
/data/data/####/files/.snow/.zip/mkdevsh
/data/data/####/files/.snow/supolicy
/data/data/####/files/.snow/.uks
Другие:
Запускает следующие shell-скрипты:
getprop ro.product.cpu.abi
/system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_max_freq
sh
getprop ro.build.description
Использует специальную библиотеку для скрытия исполняемого байткода.
Может автоматически отправлять СМС-сообщения.
Рекомендации по лечению
Android
Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light . Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
выключите устройство и включите его в обычном режиме.
Подробнее о Dr.Web для Android
Демо бесплатно на 14 дней
Выдаётся при установке
Поздравляем!
Обменяйте их на скидку до 50% на покупку Dr.Web.
Получить скидку
Скачайте Dr.Web для Android
Бесплатно на 3 месяца
Все компоненты защиты
Продление демо через AppGallery/Google Pay
Если Вы продолжите использование данного сайта, это означает, что Вы даете согласие на использование нами Cookie-файлов и иных технологий по сбору статистических сведений о посетителях. Подробнее
OK