Загружает на исполнение код следующих детектируемых угроз:
Android.RemoteCode.32
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
UDP(DNS) <Google DNS>
TCP(GCM) <Google Host>
TCP(HTTP/1.1) ip.ta####.com:80
TCP(HTTP/1.1) www.tb####.com:80
Запросы DNS:
fee.feiyunh####.com
ip.ta####.com
www.tb####.com
www.vu####.com
Запросы HTTP GET:
www.tb####.com/image/cr01.jpg
www.tb####.com/image/cr02.jpg
www.tb####.com/image/cr03.jpg
www.tb####.com/image/cr04.jpg
www.tb####.com/image/cr05.jpg
www.tb####.com/image/cr06.jpg
www.tb####.com/image/cr07.jpg
www.tb####.com/image/cr08.jpg
www.tb####.com/image/cr09.jpg
www.tb####.com/image/cr10.jpg
www.tb####.com/image/cr12.jpg
www.tb####.com/image/cr13.jpg
www.tb####.com/image/cr14.jpg
www.tb####.com/image/cr15.jpg
www.tb####.com/image/cr16.jpg
www.tb####.com/image/cr17.jpg
www.tb####.com/image/cr18.jpg
www.tb####.com/image/cr19.jpg
www.tb####.com/image/cr20.jpg
www.tb####.com/image/cr21.jpg
www.tb####.com/image/cr22.jpg
www.tb####.com/image/cr23.jpg
www.tb####.com/image/cr24.jpg
www.tb####.com/image/cr25.jpg
www.tb####.com/image/cr26.jpg
www.tb####.com/image/cr27.jpg
www.tb####.com/image/cr28.jpg
www.tb####.com/image/cr29.jpg
www.tb####.com/image/cr30.jpg
www.tb####.com/image/cr31.jpg
www.tb####.com/image/cr32.jpg
www.tb####.com/image/cr33.jpg
www.tb####.com/image/cr34.jpg
www.tb####.com/image/cr35.jpg
www.tb####.com/image/cr36.jpg
www.tb####.com/image/cr37.jpg
www.tb####.com/image/cr38.jpg
www.tb####.com/image/cr39.jpg
www.tb####.com/image/cr40.jpg
www.tb####.com/image/cr41.jpg
www.tb####.com/image/lb01.jpg
www.tb####.com/image/lb02.jpg
www.tb####.com/image/lb03.jpg
www.tb####.com/image/lb04.jpg
www.tb####.com/image/lb05.jpg
www.tb####.com/image/lb06.jpg
www.tb####.com/image/sk01.jpg
www.tb####.com/image/sk02.jpg
www.tb####.com/mp4/019.mp4
www.tb####.com/mp4/v003.mp4
www.tb####.com/mp4/v042.mp4
www.tb####.com/mp4/v044.mp4
www.tb####.com/mp4/v047.mp4
www.tb####.com/mp4/v048.mp4
www.tb####.com/mp4/v049.mp4
www.tb####.com/mp4/v050.mp4
Изменения в файловой системе:
Создает следующие файлы:
<Package Folder>/EOZTzhVG.jar
<Package Folder>/files/####/libus.so
<Package Folder>/files/####/libvia_pay.so
<Package Folder>/shared_prefs/MYYR.xml
<SD-Card>/Android/####/.nomedia
<SD-Card>/Android/####/journal.tmp
Другие:
Загружает динамические библиотеки:
eilwu
us
via_pay
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
Рекомендации по лечению
Android
Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
выключите устройство и включите его в обычном режиме.
Если Вы продолжите использование данного сайта, это означает, что Вы даете согласие на использование нами Cookie-файлов и иных технологий по сбору статистических сведений о посетителях. Подробнее