Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Android.Xiny.771

Добавлен в вирусную базу Dr.Web: 2018-01-29

Описание добавлено:

Техническая информация

Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
  • Android.Xiny.84.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
  • UDP(DNS) <Google DNS>
  • TCP(HTTP/1.1) c####.mob.com:80
  • TCP(HTTP/1.1) d####.d####.mob.com:80
  • TCP(HTTP/1.1) lz-no####.oss-cn-####.aliy####.com:80
  • TCP(HTTP/1.1) aexcep####.b####.qq.com:8012
  • TCP(HTTP/1.1) wx.q####.cn:80
  • TCP(HTTP/1.1) and####.b####.qq.com:80
  • TCP(HTTP/1.1) d####.oss-cn-####.aliy####.com:80
  • TCP(HTTP/1.1) d####.dan####.com:80
  • TCP(HTTP/1.1) a####.exc.mob.com:80
  • TCP(HTTP/1.1) api.s####.mob.com:80
  • TCP(HTTP/1.1) l####.tbs.qq.com:80
  • TCP(TLS/1.0) yun.lveha####.com:443
  • TCP(TLS/1.0) app####.dan####.com:443
  • TCP(TLS/1.0) en####.lveha####.com:443
Запросы DNS:
  • a####.exc.mob.com
  • aexcep####.b####.qq.com
  • and####.b####.qq.com
  • api.s####.mob.com
  • app####.dan####.com
  • c####.mob.com
  • d####.d####.mob.com
  • d####.dan####.com
  • d####.oss-cn-####.aliy####.com
  • en####.lveha####.com
  • l####.tbs.qq.com
  • lz-no####.oss-cn-####.aliy####.com
  • wx.q####.cn
  • yun.lveha####.com
Запросы HTTP GET:
  • c####.mob.com/caconf?appkey=####&plat=####&apppkg=####&appver=####&netwo...
  • d####.dan####.com/20171020/1527/636441100580961056.gif
  • d####.dan####.com/20171123/1058/636470315193820833.gif
  • d####.dan####.com/20171218/1725/636492147168775228.png
  • d####.dan####.com/20180103/1146/636505767685504223.gif
  • d####.dan####.com/20180124/1718/636524110959099818.jpg
  • d####.dan####.com/20180126/1323/636525698030655119.png
  • d####.oss-cn-####.aliy####.com/20161207/1444/636167186800378752.gif
  • lz-no####.oss-cn-####.aliy####.com/ddz/gg.htm
  • wx.q####.cn/mmopen/768GYAuRdHVRGhibZ9gcA863uFMS0s8xhRdTVNibG7JW4l2n8Q40c...
  • wx.q####.cn/mmopen/JwlGq1FouibRiclzqIJAyXJhqI29FquqfqSVThXs04kN7thm8AjBi...
  • wx.q####.cn/mmopen/JwlGq1FouibRiclzqIJAyXJkxOPQLKs3GMac8hsibqsw8BQ6wV2dN...
  • wx.q####.cn/mmopen/LOFuD10t6tnK6TXhc6GQrK5LfyOaBZjic0aiamamF0bUicwf0ohyc...
  • wx.q####.cn/mmopen/Q3auHgzwzM551T46Hgibwffu3j8cyKHGOv6srLQuu3B0MYj8e38EZ...
  • wx.q####.cn/mmopen/ajNVdqHZLLBBMicicQN69TeBAic0iaWZcs0Dt9k93IuiaORyyvuqE...
  • wx.q####.cn/mmopen/ajNVdqHZLLCvz6KujZg0vaURmAic7kNnibB7TLMQbZiandLOAWO0y...
  • wx.q####.cn/mmopen/ajNVdqHZLLDtXwJ0JoTBud2Sic1oichOiaPBWfk4jBj33iaUFboS0...
  • wx.q####.cn/mmopen/ajNVdqHZLLDtXwJ0JoTBud2Sic1oichOiaPkYv0ZGiaeTg6IQtu7a...
  • wx.q####.cn/mmopen/anHicExaHxXMxpKcw2xwROeu5E59brFF3K8Dn4NHb6yvjgazFyLMl...
  • wx.q####.cn/mmopen/anHicExaHxXNDjVI1zQ7o4FLSfJNxFib8YK8fTIvibquZZ7zVxugZ...
  • wx.q####.cn/mmopen/anHicExaHxXNPlj5aaJ9jRn8l0iaQCOibGt9iaqJNhhSjicQrHrVr...
  • wx.q####.cn/mmopen/anHicExaHxXNyduHu9UMvBPlzMOwEAGnNicneOcyibNuAicW4wWx8...
  • wx.q####.cn/mmopen/anHicExaHxXOZzX6wU4jh79YhufHW6FDicmwlljbUv7C3AKN0CzNi...
  • wx.q####.cn/mmopen/anHicExaHxXOZzX6wU4jh7ibPI1Elh3Z0Sad3Uviaxhu40ubTOcUQ...
  • wx.q####.cn/mmopen/anHicExaHxXOZzX6wU4jh7ibWBhrgaGvvbP5ibgymaB7LmSKqU118...
  • wx.q####.cn/mmopen/anHicExaHxXOb0VLRUVOl7B0wfpY2MqNHtABOAW8yjSGNND2PGfAH...
  • wx.q####.cn/mmopen/anHicExaHxXPu7LCib4xiaAduyU2t0FaahgzphibdWkEDibulTQ1a...
  • wx.q####.cn/mmopen/owYZufiay7ia04Ulh5vgUnHupCkwYXfH5vJAvibXqSrrHsInJmd8y...
  • wx.q####.cn/mmopen/owYZufiay7ia1F8xrErZXODGEW71UpicDlrpCYPMTgTUSX4t3R9L3...
  • wx.q####.cn/mmopen/owYZufiay7ia1F8xrErZXODIZVUZSwiaQZIjYfrapP5VibeUpmauO...
  • wx.q####.cn/mmopen/owYZufiay7ia27wdMUUavdiaNxJ5Pd1uAdl1eve9OEALIg2LibqaC...
  • wx.q####.cn/mmopen/owYZufiay7ia2kF6H83x64J4nxKJYianoeLADtpLhGzpU1NmCamdH...
  • wx.q####.cn/mmopen/owYZufiay7ia2kF6H83x64J5aVQ2NcwerEibDT9tiakHx1QYk8j9D...
  • wx.q####.cn/mmopen/owYZufiay7ia2kF6H83x64JicVpNEf9FicCdNC72icmquKpMmt5Id...
  • wx.q####.cn/mmopen/owYZufiay7ia2kF6H83x64JzHlQE3HD1Qf1vkounv2Uia9iaF4AWz...
  • wx.q####.cn/mmopen/owYZufiay7ia3B5n93yycxrh5GqTxeUdRicvwUzK41H6but2QdQTs...
  • wx.q####.cn/mmopen/owYZufiay7ia3VxBU0micXdUfs70bGHcY2sT8zy9VU09HhrjtfToQ...
  • wx.q####.cn/mmopen/owYZufiay7ia3gjalh1aehXZlcic7S6UO0uDgL4V7fkl3tuqBHrRn...
  • wx.q####.cn/mmopen/qclCZia3icX0oz4TmrLDU7sVW9mXYywdOicZHRyapEM9g5z2kpQRr...
  • wx.q####.cn/mmopen/qclCZia3icX0pXpKyQz9rkpNPOaSsvzm0LnCFmRZ7hQACibFElIDf...
  • wx.q####.cn/mmopen/qclCZia3icX0pibxoLOwLibSeaSxziaw23fLsUicHUicoD3qOZPvR...
  • wx.q####.cn/mmopen/qclCZia3icX0qElYHhLQ5wCw6FLFxgnaKvzvvX3YpoZ1kGleqiaLk...
  • wx.q####.cn/mmopen/qclCZia3icX0qg9wSNVNkHTOX2pCCy2BNByLBOYtKibQ8qU6gJjbj...
  • wx.q####.cn/mmopen/qclCZia3icX0rHMBa8CIIlmFFbUTIick1J160TseFTIVfMTtkmZOU...
  • wx.q####.cn/mmopen/qclCZia3icX0rk34icb1vJS4ksgdLmibvpXiaKGEn0DgdeQnmjFeW...
  • wx.q####.cn/mmopen/rK1nsTlCD8H0Pc8PF3icw6CDsC5q767U92Ky8kua6gKBUwCRH7OL5...
Запросы HTTP POST:
  • a####.exc.mob.com/errconf
  • aexcep####.b####.qq.com:8012/rqd/async
  • and####.b####.qq.com/rqd/async
  • api.s####.mob.com/conf5
  • api.s####.mob.com/conn
  • api.s####.mob.com/data2
  • api.s####.mob.com/log4
  • c####.mob.com/ca
  • d####.d####.mob.com/dinfo
  • d####.d####.mob.com/dsign
  • l####.tbs.qq.com/ajax?c=####&k=####
  • l####.tbs.qq.com/ajax?c=####&v=####&k=####
Изменения в файловой системе:
Создает следующие файлы:
  • <Package Folder>/app_tbs/####/core_info
  • <Package Folder>/app_tbs/####/debug.conf
  • <Package Folder>/app_tbs/####/tbscoreinstall.txt
  • <Package Folder>/app_tbs/####/tbslock.txt
  • <Package Folder>/cache/####/-1105530392-857608301
  • <Package Folder>/cache/####/-11897143901524417488
  • <Package Folder>/cache/####/-1212566081307651635
  • <Package Folder>/cache/####/-121256608267466776
  • <Package Folder>/cache/####/-1389384828-453087867
  • <Package Folder>/cache/####/-72306006-481599221
  • <Package Folder>/cache/####/-72306006556166340
  • <Package Folder>/cache/####/-820932144-462640510
  • <Package Folder>/cache/####/-820932144-462640511
  • <Package Folder>/cache/####/-820932144-462640512
  • <Package Folder>/cache/####/-88631166-1899583406
  • <Package Folder>/cache/####/-9058080992017943683
  • <Package Folder>/cache/####/018eb57e5bf960a311de91dbb8548df4417....0.tmp
  • <Package Folder>/cache/####/04151d21e3a52e55212dce680b79690ae19....0.tmp
  • <Package Folder>/cache/####/06e9f3214477e88653f691ff7a0cbceb1c0....0.tmp
  • <Package Folder>/cache/####/09b03747f780a9c0e8e759e62a0d7d9b297....0.tmp
  • <Package Folder>/cache/####/0c9012a8b2f887969f9028151dd7c8f5686....0.tmp
  • <Package Folder>/cache/####/1163685386-1949700150
  • <Package Folder>/cache/####/1163685386-1949700151
  • <Package Folder>/cache/####/1240922004915272457
  • <Package Folder>/cache/####/1447725491-1446563275
  • <Package Folder>/cache/####/149ba8b2dc4aacbc3c496183261bc5276a6....0.tmp
  • <Package Folder>/cache/####/1888640397-713068858
  • <Package Folder>/cache/####/1924693074665916213
  • <Package Folder>/cache/####/1924693074893807575
  • <Package Folder>/cache/####/19855e7a3701b5da7c90e3f0a2ab4956402....0.tmp
  • <Package Folder>/cache/####/2039957222-881692748
  • <Package Folder>/cache/####/20399572221509642166
  • <Package Folder>/cache/####/20399572222015103122
  • <Package Folder>/cache/####/2039957222344371821
  • <Package Folder>/cache/####/2039957222361713039
  • <Package Folder>/cache/####/2039957222515234735
  • <Package Folder>/cache/####/2039957222783348921
  • <Package Folder>/cache/####/2470de9492f3367a3f03a64d613ec112c9f....0.tmp
  • <Package Folder>/cache/####/2cc0788bb3f282c1cfa88f8510e426eed68....0.tmp
  • <Package Folder>/cache/####/35af44ceff62dd8d6130bfbbb2f2cb5d877....0.tmp
  • <Package Folder>/cache/####/369ca0762b7a72e669ea615631562f558cb....0.tmp
  • <Package Folder>/cache/####/3738a69ce1bb1f7634f65f9c8f855f603ac....0.tmp
  • <Package Folder>/cache/####/3b933040989d9a07fc9bcbfeead009b52d0....0.tmp
  • <Package Folder>/cache/####/3c460c8cd72b83bc065edd860f154604ddf....0.tmp
  • <Package Folder>/cache/####/4730d5749123cb63a2ad24be8def682c289....0.tmp
  • <Package Folder>/cache/####/4745f9a185b35e6c13714be57f4335e62d1....0.tmp
  • <Package Folder>/cache/####/4aab56d1206957246a3ae378761c9c51f80....0.tmp
  • <Package Folder>/cache/####/4ddc4dd3257a2a83ff4bdf55d91271ae7d4....0.tmp
  • <Package Folder>/cache/####/52a8c3cb979b882109435624bcbe49f750d....0.tmp
  • <Package Folder>/cache/####/52d7ca1f7a4d00f1bb36d82195d8bddbe18....0.tmp
  • <Package Folder>/cache/####/571a08ec41e2d58330c9b19117c475c2f59....0.tmp
  • <Package Folder>/cache/####/5d36a025ac59d52897816a0bbd05210ea9e....0.tmp
  • <Package Folder>/cache/####/6073de82c74037ae68790aca2731df03dee....0.tmp
  • <Package Folder>/cache/####/60e576964853e9b110846914aa5411d40cd....0.tmp
  • <Package Folder>/cache/####/6d852ad39cec757e0bd37fe754ea918d896....0.tmp
  • <Package Folder>/cache/####/767364256-511179597
  • <Package Folder>/cache/####/7fdd8338ce50e074fbd5fed57e74dcc54a4....0.tmp
  • <Package Folder>/cache/####/8903f39509f82d2be645e5ce67dcec325dc....0.tmp
  • <Package Folder>/cache/####/892027538485611284
  • <Package Folder>/cache/####/8d77b2d98da1f308f6934a9dcdc76ed03b2....0.tmp
  • <Package Folder>/cache/####/9504523e9cf32fdf8b83cdce47c6c27315a....0.tmp
  • <Package Folder>/cache/####/9ef34a6b2bbed68c03ba183ab38daf63d36....0.tmp
  • <Package Folder>/cache/####/a624be91a2f6abaf143130c66742a3b3e03....0.tmp
  • <Package Folder>/cache/####/ac113ba04d7f1784e9ece2ee63b834daa6d....0.tmp
  • <Package Folder>/cache/####/b2caeb650e8ba9d31d78adbca051ca47624....0.tmp
  • <Package Folder>/cache/####/be08912d34026f55a0e9fa7b6cc22dab3ef....0.tmp
  • <Package Folder>/cache/####/c19cab83b1f8cd63bd2dbae5d14036019fe....0.tmp
  • <Package Folder>/cache/####/caffb4c2e45cfe603cb9c614dccb6104313....0.tmp
  • <Package Folder>/cache/####/cbce8e3e839d4a46fcbfeb0996c92fd2add....0.tmp
  • <Package Folder>/cache/####/cc5e31a025f590691168ed823bd5289c5f3....0.tmp
  • <Package Folder>/cache/####/d35af16260409b90e2dd6cb31188fd30485....0.tmp
  • <Package Folder>/cache/####/data_0
  • <Package Folder>/cache/####/data_1
  • <Package Folder>/cache/####/data_2
  • <Package Folder>/cache/####/data_3
  • <Package Folder>/cache/####/eaff69549169a8ab0d8c8e467a3e4111430....0.tmp
  • <Package Folder>/cache/####/f075ad3b635149ff88b243ddcbc0dc9c78f....0.tmp
  • <Package Folder>/cache/####/f32779b281a859ccd9851d1235663d769a8....0.tmp
  • <Package Folder>/cache/####/f_000001
  • <Package Folder>/cache/####/fe273cf49672fab3facea55952ecdd62437....0.tmp
  • <Package Folder>/cache/####/index
  • <Package Folder>/cache/####/journal.tmp
  • <Package Folder>/databases/ThrowalbeLog.db-journal
  • <Package Folder>/databases/bugly_db_legu-journal
  • <Package Folder>/databases/ddz_ad_download.db
  • <Package Folder>/databases/ddz_ad_download.db-journal
  • <Package Folder>/databases/sharesdk.db-journal
  • <Package Folder>/databases/webview.db-journal
  • <Package Folder>/databases/webviewCookiesChromium.db-journal
  • <Package Folder>/files/.lock
  • <Package Folder>/files/.statistics
  • <Package Folder>/files/local_crash_lock
  • <Package Folder>/files/native_record_lock
  • <Package Folder>/files/security_info
  • <Package Folder>/mix.dex
  • <Package Folder>/shared_prefs/ISSHOWWELCOME.xml
  • <Package Folder>/shared_prefs/LAUNCH_AD_INFO.xml
  • <Package Folder>/shared_prefs/PCDD_LAST_USER_ID.xml
  • <Package Folder>/shared_prefs/PCDD_LOGIN_USER.xml
  • <Package Folder>/shared_prefs/SP_ISOPEN.xml
  • <Package Folder>/shared_prefs/mob_sdk_exception_1.xml
  • <Package Folder>/shared_prefs/share_sdk_1.xml
  • <Package Folder>/shared_prefs/tbs_download_config.xml
  • <Package Folder>/shared_prefs/tbs_download_stat.xml
  • <Package Folder>/tx_shell/libshella-2.10.7.1.so
  • <Package Folder>/tx_shell/libufix.so
  • <SD-Card>/Mob/.db_accache
  • <SD-Card>/Mob/.db_rtcache
  • <SD-Card>/Mob/.dk
  • <SD-Card>/Mob/.duid
  • <SD-Card>/Mob/.globalLock
  • <SD-Card>/Mob/.pkg_lock
  • <SD-Card>/Mob/.rc_lock
  • <SD-Card>/ddzliao.txt
Другие:
Запускает следующие shell-скрипты:
  • /system/bin/sh -c getprop ro.aa.romver
  • /system/bin/sh -c getprop ro.board.platform
  • /system/bin/sh -c getprop ro.build.fingerprint
  • /system/bin/sh -c getprop ro.build.nubia.rom.name
  • /system/bin/sh -c getprop ro.build.rom.id
  • /system/bin/sh -c getprop ro.build.tyd.kbstyle_version
  • /system/bin/sh -c getprop ro.build.version.emui
  • /system/bin/sh -c getprop ro.build.version.opporom
  • /system/bin/sh -c getprop ro.gn.gnromvernumber
  • /system/bin/sh -c getprop ro.lenovo.series
  • /system/bin/sh -c getprop ro.lewa.version
  • /system/bin/sh -c getprop ro.meizu.product.model
  • /system/bin/sh -c getprop ro.miui.ui.version.name
  • /system/bin/sh -c getprop ro.vivo.os.build.display.id
  • /system/bin/sh -c type su
  • chmod 700 <Package Folder>/tx_shell/libnfix.so
  • chmod 700 <Package Folder>/tx_shell/libshella-2.10.7.1.so
  • chmod 700 <Package Folder>/tx_shell/libufix.so
  • getprop ro.aa.romver
  • getprop ro.board.platform
  • getprop ro.build.fingerprint
  • getprop ro.build.nubia.rom.name
  • getprop ro.build.rom.id
  • getprop ro.build.tyd.kbstyle_version
  • getprop ro.build.version.emui
  • getprop ro.build.version.opporom
  • getprop ro.gn.gnromvernumber
  • getprop ro.lenovo.series
  • getprop ro.lewa.version
  • getprop ro.meizu.product.model
  • getprop ro.miui.ui.version.name
  • getprop ro.product.cpu.abi
  • getprop ro.vivo.os.build.display.id
  • getprop ro.yunos.version
  • logcat -d -v threadtime
  • top -d 0 -n 1
Загружает динамические библиотеки:
  • Bugly
  • libnfix
  • libshella-2.10.7.1
  • libufix
  • neh
  • nfix
  • tongdun_db
  • ufix
Использует следующие алгоритмы для шифрования данных:
  • AES-ECB-PKCS7Padding
  • AES-GCM-NoPadding
  • DESede-ECB-PKCS5Padding
  • RSA-ECB-NoPadding
  • RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
  • AES-GCM-NoPadding
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Осуществляет доступ к информации о запущенных приложениях.
Отрисовывает собственные окна поверх других приложений.

Рекомендации по лечению


Android

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке