Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Android.Packed.27023

Добавлен в вирусную базу Dr.Web: 2017-08-14

Описание добавлено:

Техническая информация

Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
  • Android.Triada.247.origin
  • Android.Triada.248.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
  • 6####.####.140
  • a####.####.com
  • cnmon####.com
  • cnmon####.com:8080
  • i####.####.com
  • l####.####.com
Запросы HTTP GET:
  • 6####.####.140/ando/i/mon?k=####&d=####
  • cnmon####.com/console/client/spApi/init/data.do?productNo=####&pModel=##...
  • cnmon####.com:8080/console/client/app/check/data.do?pModel=####&netType=...
  • i####.####.com/ando-res/ads/4/5/d73ab4a4-4c75-43a7-a3c9-5bdabd9437c8/d26...
Запросы HTTP POST:
  • a####.####.com/app_logs
  • l####.####.com/sdk.php
Изменения в файловой системе:
Создает следующие файлы:
  • <Package Folder>/code-1250051/OZiG36-dV5b4KXQ9
  • <Package Folder>/databases/0HN--133IvkhkX3YFDA_vsIQ_1qLYGVQ_7V_SobAh8EwvHCJN2oN5kQ==
  • <Package Folder>/databases/0HN--133IvkhkX3YFDA_vsIQ_1qLYGVQ_7V_SobAh8EwvHCJN2oN5kQ==-journal
  • <Package Folder>/databases/0HN--133IvkhkX3YFDA_vsIQ_1qLYGVQ_Q8wXeu5Bpr3oyg4sUlmGGHR-VGw=
  • <Package Folder>/databases/0HN--133IvkhkX3YFDA_vsIQ_1qLYGVQ_Q8wXeu5Bpr3oyg4sUlmGGHR-VGw=-journal
  • <Package Folder>/databases/0HN--133IvkhkX3YFDA_vsIQ_1qLYGVQ_oPTbYFcJbtlg_0FJ
  • <Package Folder>/databases/0HN--133IvkhkX3YFDA_vsIQ_1qLYGVQ_oPTbYFcJbtlg_0FJ-journal
  • <Package Folder>/databases/0HN--133IvkhkX3YFDA_vsIQ_1qLYGVQ_xUkOErRNh4w=-journal
  • <Package Folder>/databases/0HN--133IvkhkX3YFDA_vsIQ_1qLYGVQ_yZg-S9QHMilq5RMERQnDPg==
  • <Package Folder>/databases/0HN--133IvkhkX3YFDA_vsIQ_1qLYGVQ_yZg-S9QHMilq5RMERQnDPg==-journal
  • <Package Folder>/databases/cc.db
  • <Package Folder>/databases/cc.db-journal
  • <Package Folder>/databases/ua.db
  • <Package Folder>/databases/ua.db-journal
  • <Package Folder>/databases/webview.db-journal
  • <Package Folder>/files/####/08Lu8rbKlHKQo6BSNY75sQ==.new
  • <Package Folder>/files/####/1jezT7MSKPlkI-zx7yv2YEKyPJGiyab8PK4lEaCjyFE=.new
  • <Package Folder>/files/####/2ba064ed-c45d-4c62-9a2f-7884cc1c478c.pic.temp
  • <Package Folder>/files/####/385a61fa523b71f706745f5784d1bd76.jar
  • <Package Folder>/files/####/4bc05e84-9c81-4e79-afbf-8fd1f26ffadc.pic.temp
  • <Package Folder>/files/####/6a091634-e45c-4154-8649-72d2843c53f9.pic.temp
  • <Package Folder>/files/####/71NpBlTbWyEgEbRqWhWDjw==
  • <Package Folder>/files/####/71NpBlTbWyEgEbRqWhWDjw==.new
  • <Package Folder>/files/####/7f3919e6-a898-407f-b1cf-6d5bebbf5b1b.pic.temp
  • <Package Folder>/files/####/809041966a0c59b55b5f3be02b341369.dat
  • <Package Folder>/files/####/809041966a0c59b55b5f3be02b341369.jar
  • <Package Folder>/files/####/92bf57bc-147a-453e-9213-058f734ac187.pic.temp
  • <Package Folder>/files/####/9stqrD_PNBxHp6xyk4qEwpOiKzK3nojTiGC1fQ==.new
  • <Package Folder>/files/####/KIbfShOhDQ0HLFxnVrnSSbAugyO1OCRx.new
  • <Package Folder>/files/####/LwqNDJCA60A0QF5U.new
  • <Package Folder>/files/####/N5wVv2v4XRTSL94DMpR4cyDnTPBqMn1JaV2oyN6xQVg=.new
  • <Package Folder>/files/####/N8-0AF6Dxa9kLloz5S1I0cEGC7qALKLt.new
  • <Package Folder>/files/####/Oh_88lJbcLU0SM7O.zip
  • <Package Folder>/files/####/S6zfs4SJhAnuFmRcknpXQWrrzMH2-nr2.new
  • <Package Folder>/files/####/TEgO-DFoj-49kvY0aMSmxm9DHcl4rcRi.new
  • <Package Folder>/files/####/VoGEr2WjxJVpbE9G-j_j3aqpOEo=
  • <Package Folder>/files/####/X74u8xBOrYcQkew2h0crS5JMJlLsYothMaccawdEV3s=.new
  • <Package Folder>/files/####/XG4pL77-KGsiehzaErqXLyffWss=.new
  • <Package Folder>/files/####/YHuFTD7p7qvU2D5wItfgGg==
  • <Package Folder>/files/####/YiSW3cjNYSfaIeSgWVHskZirOYiKP_04.new
  • <Package Folder>/files/####/a3f3ee6f-dcdd-4b5f-b2ae-1e7d7964177b.pic
  • <Package Folder>/files/####/aLRD-2gUkwND-ZRIP_0hdQuqzj-KSsyFXFRSQw==.new
  • <Package Folder>/files/####/c086e6d0-b236-4fb4-a697-be86094533a2.pic.temp
  • <Package Folder>/files/####/cDJj8G72izHjBENa6rg0d-kicwdZGOz1.new
  • <Package Folder>/files/####/es4RyE9dTLEoiB3Zyq6tGfjjpu4=
  • <Package Folder>/files/####/es4RyE9dTLEoiB3Zyq6tGfjjpu4=.new
  • <Package Folder>/files/####/exchangeIdentity.json
  • <Package Folder>/files/####/f46a46c9-a1d4-4836-9715-ad0820c7332b.pic
  • <Package Folder>/files/####/fhfQNxBl1Oz-qj6Tf8Iu91lzFOHWLa4j.new
  • <Package Folder>/files/####/l4Y0mxJ_ln_ByeiJ8_PrJw==
  • <Package Folder>/files/####/nf-_vMBs6ciUvHDL
  • <Package Folder>/files/####/ogPQx0-zg4Su3mZtHENzcaUlnR8J1BW8co1m2Q==.new
  • <Package Folder>/files/####/pl4gmB66xUhFxrkIj0qybfNjgfyR62OJ
  • <Package Folder>/files/####/pl4gmB66xUhFxrkIj0qybfNjgfyR62OJ.new
  • <Package Folder>/files/####/ra6CQRU5ltp6bfhInpX663aJs9g=.new
  • <Package Folder>/files/####/runner_info.prop.new
  • <Package Folder>/files/####/tkvzuq_f.zip
  • <Package Folder>/files/####/uvPHTtBar97xeRWcB3ivqZMS2jY=.new
  • <Package Folder>/files/####/vsHQToYsjMA19AxUMLxljg==.new
  • <Package Folder>/files/####/wq3KFOjFe2IeU9ePoesgEvZbhl0=
  • <Package Folder>/files/####/wq3KFOjFe2IeU9ePoesgEvZbhl0=.new
  • <Package Folder>/files/####/ywkal0VyFuvH0YJIRXuOXZ1SdlWw4k-DkIBDYAR8DwY=.new
  • <Package Folder>/files/.imprint
  • <Package Folder>/files/exid.dat
  • <Package Folder>/files/rdata_comgwoawnhy
  • <Package Folder>/files/rdata_comgwoawnhy.new
  • <Package Folder>/files/umeng_it.cache
  • <Package Folder>/shared_prefs/Alvin2.xml
  • <Package Folder>/shared_prefs/ContextData.xml
  • <Package Folder>/shared_prefs/com.monster.pay.bean.save.SaveMatch.xml
  • <Package Folder>/shared_prefs/com.monster.pay.bean.save.SaveTask.xml
  • <Package Folder>/shared_prefs/config.xml
  • <Package Folder>/shared_prefs/config.xml.bak
  • <Package Folder>/shared_prefs/initRoot.xml
  • <Package Folder>/shared_prefs/installTime.xml
  • <Package Folder>/shared_prefs/modelBean.xml
  • <Package Folder>/shared_prefs/shield.xml
  • <Package Folder>/shared_prefs/umeng_general_config.xml
  • <SD-Card>/.DataStorage/ContextData.xml
  • <SD-Card>/.UTSystemConfig/####/Alvin2.xml
  • <SD-Card>/.armsd/####/0726f05b-14cb-4a35-bb79-93f076214e91.res
  • <SD-Card>/.armsd/####/3f4d9169-ea84-49b1-a2f0-7cf60ae04001.res
  • <SD-Card>/.armsd/####/5NCMj4FHDAiNMsrjQKob6JdxZXM=.new
  • <SD-Card>/.armsd/####/7eeeae74-2c6e-4f3c-af14-fb6d595f1345.res
  • <SD-Card>/.armsd/####/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M
  • <SD-Card>/.armsd/####/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M.lk
  • <SD-Card>/.armsd/####/MP8MtaBuguN9jnuSwtN1kQ==
  • <SD-Card>/.armsd/####/c3b171d7-093a-48a2-a437-00fd67e725ea.res
  • <SD-Card>/.armsd/####/r_pkDgN4OhnkSa0D
  • <SD-Card>/.env/.uunique
  • <SD-Card>/.env/.uunique.new
  • <SD-Card>/cash/cash_2017-08-04_log.txt
Другие:
Запускает следующие shell-скрипты:
  • <Package Folder>/code-1250051/OZiG36-dV5b4KXQ9 -p <Package> -c com.gwoa.wnhy.vvbgua.hh.hh.dh.c -r /storage/emulated/0/.armsd/tjfblFPob85GtAQw/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M -d /storage/emulated/0/Download/ladung
  • sh <Package Folder>/code-1250051/OZiG36-dV5b4KXQ9 -p <Package> -c com.gwoa.wnhy.vvbgua.hh.hh.dh.c -r /storage/emulated/0/.armsd/tjfblFPob85GtAQw/I7HE1pd26tdvkjhloLWlx5UBeDOAmh6M -d /storage/emulated/0/Download/ladung
Загружает динамические библиотеки:
  • cocos2dcpp
Использует следующие алгоритмы для шифрования данных:
  • AES-CBC-PKCS5Padding
  • AES-CBC-PKCS7Padding
Использует следующие алгоритмы для расшифровки данных:
  • AES-CBC-PKCS5Padding
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации о настроках APN.
Осуществляет доступ к информации об установленных приложениях.
Осуществляет доступ к информации о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
Парсит информацию из смс сообщений.
Осуществляет доступ к информации об отправленых/принятых смс.

Рекомендации по лечению


Android

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке