Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Adware.Gexin.1.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) msg.umengc####.com:80
- TCP(HTTP/1.1) 1####.205.203.106:8032
- TCP(HTTP/1.1) api.m.ta####.com:80
- TCP(TLS/1.0) m4.renrenz####.com:443
- TCP(TLS/1.0) img.renrenz####.com:443
Запросы DNS:
- a####.m.ta####.com
- a####.u####.com
- ag####.m.ta####.com
- api.m.ta####.com
- img.renrenz####.com
- m4.renrenz####.com
- msg.umengc####.com
Запросы HTTP GET:
- api.m.ta####.com/activeip/?appkey=####&ttid=####&deviceId=####&imei=####...
- api.m.ta####.com/rest/api3.do?t=####&deviceId=####&imei=####&appKey=####...
- api.m.ta####.com/rest/api3.do?ttid=####&t=####&deviceId=####&imei=####&a...
- api.m.ta####.com/rest/api3.do?ttid=####&t=####&imei=####&appKey=####&v=#...
- api.m.ta####.com/spdyip/?appkey=####&ttid=####&deviceId=####&imei=####&n...
Запросы HTTP POST:
- a####.u####.com/app_logs
- msg.umengc####.com/v2/register
Изменения в файловой системе:
Создает следующие файлы:
- <Package Folder>/.jiagu/libjiagu.so
- <Package Folder>/cache/####/00e852c5713ed15aea7e02137b77d477516....0.tmp
- <Package Folder>/cache/####/0529baf5e0cfdc652c3e18330994917677f....0.tmp
- <Package Folder>/cache/####/07d6c6646c356c34b671e80411c0db68e77....0.tmp
- <Package Folder>/cache/####/1bc6f05dfc88d245fd5e6b316249ee72350....0.tmp
- <Package Folder>/cache/####/1c0633bf1d01465f1b1dc8f3db0ec90490e....0.tmp
- <Package Folder>/cache/####/212dfde91198a75dd19afdb7a88c8e89aec....0.tmp
- <Package Folder>/cache/####/213b0cc751171b729251d0694d7679c0029....0.tmp
- <Package Folder>/cache/####/22a78ad00d6441dbda99de524ec54ee91d8....0.tmp
- <Package Folder>/cache/####/274b4e06dc69632d8d6e38933cd26a155e8....0.tmp
- <Package Folder>/cache/####/2b3b4bee446cf9928941b1129c258d116a1....0.tmp
- <Package Folder>/cache/####/318a56f809b980080ca9d5a720cf51f7d91....0.tmp
- <Package Folder>/cache/####/38740d217570eaafc23f6038b191e6a83b1....0.tmp
- <Package Folder>/cache/####/40d2078d6917247ea86dc145bac8c2a9020....0.tmp
- <Package Folder>/cache/####/448844f4d3c68942598353404782e4391c9....0.tmp
- <Package Folder>/cache/####/45678fa72b0f3dbbb998f5c0cf2f95cf747....0.tmp
- <Package Folder>/cache/####/466fb241328772dff238ffce33c018de22f....0.tmp
- <Package Folder>/cache/####/491882635981155a958bbd3237c73c82d5f....0.tmp
- <Package Folder>/cache/####/57cc18469cf9d14253a9478b945d178fd4b....0.tmp
- <Package Folder>/cache/####/5b3f4ef781605715c10f6802080c29041ef....0.tmp
- <Package Folder>/cache/####/692ef96bb4121affc0daa26b81fddec8e1e....0.tmp
- <Package Folder>/cache/####/6938ccad00cc2bc53e763fc0509481e47eb....0.tmp
- <Package Folder>/cache/####/6c6d0d35e30c1b29b8c48dd5592120e0be3....0.tmp
- <Package Folder>/cache/####/75335f1d610b996bcd502ecefb0dca07531....0.tmp
- <Package Folder>/cache/####/883072094842381f87f2c367f07a1b2891c....0.tmp
- <Package Folder>/cache/####/8b0b98c843a62d6e3f47b95324642705a70....0.tmp
- <Package Folder>/cache/####/8b4e7f03657c073c6b82b6f6d8c531f991a....0.tmp
- <Package Folder>/cache/####/8c79cf3555b37f2601d0a64dca7415c508d....0.tmp
- <Package Folder>/cache/####/8d56be945bb87ad88cee293d6553a9642d7....0.tmp
- <Package Folder>/cache/####/907017546f3119f2ba40c5a78feff7822f1....0.tmp
- <Package Folder>/cache/####/90c0b9dc1932b104675f563b2791e6a632c....0.tmp
- <Package Folder>/cache/####/94c1edfaaa717e9bf881262a48145fbb745....0.tmp
- <Package Folder>/cache/####/97853d3dd90e0875ae041f9f2ea39092791....0.tmp
- <Package Folder>/cache/####/a5ccaae8d7d082f5d143ecb1b128fd6c61b....0.tmp
- <Package Folder>/cache/####/b9dd501493a6856d465e7c6652ece56c261....0.tmp
- <Package Folder>/cache/####/bb43d8145eecada29e7b16bd6246039e1f1....0.tmp
- <Package Folder>/cache/####/c3f7b2d577c6abb87f9201fab7b23d74f86....0.tmp
- <Package Folder>/cache/####/c9ed669ff54b186d0312d38b5ce6df2f666....0.tmp
- <Package Folder>/cache/####/ce0779b1efdd0c0505b7bd94b92ff215c80....0.tmp
- <Package Folder>/cache/####/df1742d4704c413efac36dcbb75dbf80393....0.tmp
- <Package Folder>/cache/####/e9ffa4d749c460616a8d2216c4e861e6f20....0.tmp
- <Package Folder>/cache/####/fd53b38c9e2d142ec627505cbd2913e96b1....0.tmp
- <Package Folder>/cache/####/journal.tmp
- <Package Folder>/databases/MsgLogStore.db-journal
- <Package Folder>/databases/UmengLocalNotificationStore.db-journal
- <Package Folder>/databases/cc.db
- <Package Folder>/databases/cc.db-journal
- <Package Folder>/databases/ua.db
- <Package Folder>/databases/ua.db-journal
- <Package Folder>/files/####/.jg.ic
- <Package Folder>/files/####/exchangeIdentity.json
- <Package Folder>/files/.imprint
- <Package Folder>/files/DaemonServer
- <Package Folder>/files/agoo.pid
- <Package Folder>/files/exid.dat
- <Package Folder>/files/umeng_it.cache
- <Package Folder>/shared_prefs/<Package>_preferences.xml
- <Package Folder>/shared_prefs/AGOO_CONNECT.xml
- <Package Folder>/shared_prefs/AGOO_HOST.xml
- <Package Folder>/shared_prefs/Alvin2.xml
- <Package Folder>/shared_prefs/AppStore.xml
- <Package Folder>/shared_prefs/ContextData.xml
- <Package Folder>/shared_prefs/PhoneUtil.xml
- <Package Folder>/shared_prefs/jg_so_upgrade_setting.xml
- <Package Folder>/shared_prefs/qihoo_jiagu_crash_report.xml
- <Package Folder>/shared_prefs/umeng_general_config.xml
- <Package Folder>/shared_prefs/umeng_message_state.xml
- <SD-Card>/.DataStorage/ContextData.xml
- <SD-Card>/.UTSystemConfig/####/Alvin2.xml
- <SD-Card>/dreamcuckoo/####/2.0.1_2017-11-16_20;29;32.log
- <SD-Card>/dreamcuckoo/####/f52ce406851bb2638ac2e7a4ecb0c88b.0.tmp
- <SD-Card>/dreamcuckoo/####/journal
- <SD-Card>/dreamcuckoo/####/journal.tmp
Другие:
Запускает следующие shell-скрипты:
- <Package Folder>/files/DaemonServer -s <Package Folder>/lib/ -n runServer -p startservice -n <Package>/com.umeng.message.UmengService --es cockroach cockroach-PPreotect --es pack <Package> --user 0 -f <Package Folder> -t 600 -c agoo.pid -P <Package Folder> -K 1009527 -U tb_android_daemon_1.1.0 -L http://agoodm.m.taobao.com/agoo/report -D {"package":"<Package>","appKey":"umeng:5a1facf6a40fa37814000258","utdid":"Wg2EfA0AYEkDAGdzx1HKClBz","sdkVersion":"20160215"} -I agoodm.m.taobao.com -O 80 -T -Z
- chmod 500 <Package Folder>/files/DaemonServer
- chmod 755 <Package Folder>/.jiagu/libjiagu.so
- sh
Загружает динамические библиотеки:
- libjiagu
- tnet-2.1.20
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации о настроках APN.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
