Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Android.Xiny.1297

Добавлен в вирусную базу Dr.Web: 2018-03-23

Описание добавлено:

Техническая информация

Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
  • Android.Xiny.84.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
  • UDP(DNS) <Google DNS>
  • TCP(HTTP/1.1) a####.u####.com:80
  • TCP(HTTP/1.1) w####.pi####.com.cn:80
  • TCP(HTTP/1.1) 1####.205.203.92:8017
  • TCP(HTTP/1.1) c-h####.g####.com:80
  • TCP(HTTP/1.1) pawf-ac####.pi####.com.cn:80
  • TCP(HTTP/1.1) t####.c####.q####.####.com:80
  • TCP(HTTP/1.1) msg.umengc####.com:80
  • TCP(HTTP/1.1) sdk.o####.p####.####.com:80
  • TCP(HTTP/1.1) loc.map.b####.com:80
  • TCP(HTTP/1.1) rb.api.huisuo####.com:80
  • TCP(HTTP/1.1) api.m.ta####.com:80
  • TCP(HTTP/1.1) ti####.c####.l####.####.com:80
  • TCP(TLS/1.0) fp.fraudme####.cn:443
  • TCP(TLS/1.0) u####.umengc####.com:443
  • TCP c####.g####.ig####.com:5227
  • TCP sdk.o####.t####.####.com:5224
Запросы DNS:
  • 7j####.c####.z0.####.com
  • a####.u####.com
  • c####.g####.ig####.com
  • c-h####.g####.com
  • fp.fraudme####.cn
  • loc.map.b####.com
  • msg.umengc####.com
  • pawf-ac####.pi####.com.cn
  • pub-####.qin####.com
  • rb.api.huisuo####.com
  • sdk.c####.ig####.com
  • sdk.o####.p####.####.com
  • sdk.o####.t####.####.com
  • sdk.o####.t####.####.com
  • sdk.o####.t####.####.net
  • u####.umengc####.com
  • u####.umengc####.com
  • w####.pi####.com.cn
Запросы HTTP GET:
  • api.m.ta####.com/activeip/?appkey=####&ttid=####&deviceId=####&imei=####...
  • api.m.ta####.com/spdyip/?appkey=####&ttid=####&deviceId=####&imei=####&n...
  • t####.c####.q####.####.com/tdata_EDT356
  • t####.c####.q####.####.com/tdata_JTp321
  • t####.c####.q####.####.com/tdata_qHR433
  • ti####.c####.l####.####.com/config/hz-hzv3.conf
Запросы HTTP POST:
  • a####.u####.com/app_logs
  • c-h####.g####.com/api.php?format=####&t=####
  • loc.map.b####.com/offline_loc
  • loc.map.b####.com/sdk.php
  • msg.umengc####.com/v2/register
  • pawf-ac####.pi####.com.cn/pawf-logger/rest/logger/V2/plugActionLogger
  • pawf-ac####.pi####.com.cn/pawf-logger/rest/logger/V2/plugSaveUserInfo
  • rb.api.huisuo####.com/frontend/config/app
  • rb.api.huisuo####.com/frontend/config/right-slide-credit-config/load
  • rb.api.huisuo####.com/frontend/login/device
  • sdk.o####.p####.####.com/api.php?format=####&t=####
  • w####.pi####.com.cn/pawf-dfp/rest/vpn/v2/queryConfig
Изменения в файловой системе:
Создает следующие файлы:
  • /data/data/####/.cfg.hq
  • /data/data/####/.imprint
  • /data/data/####/.jg.ic
  • /data/data/####/.log.lock
  • /data/data/####/.log.ls
  • /data/data/####/.lscmf.lscmf
  • /data/data/####/.rscms.rscm
  • /data/data/####/.td-3
  • /data/data/####/6e126a28ebe4
  • /data/data/####/AGOO_CONNECT.xml
  • /data/data/####/AGOO_HOST.xml
  • /data/data/####/Alvin2.xml
  • /data/data/####/AppStore.xml
  • /data/data/####/ContextData.xml
  • /data/data/####/DaemonServer
  • /data/data/####/MsgLogStore.db-journal
  • /data/data/####/PhoneUtil.xml
  • /data/data/####/UmengLocalNotificationStore.db-journal
  • /data/data/####/agoo.pid
  • /data/data/####/area_map.db.tmp
  • /data/data/####/com_pingan_pinganwifi_action_database-journal
  • /data/data/####/firll.dat
  • /data/data/####/fm_shared.xml
  • /data/data/####/gdaemon_20161017
  • /data/data/####/gx_sp.xml
  • /data/data/####/huaqian.preferences.xml
  • /data/data/####/init.pid
  • /data/data/####/init_c.pid
  • /data/data/####/libcuid.so
  • /data/data/####/libjiagu.so
  • /data/data/####/ml-region-10.db.tmp
  • /data/data/####/mobclick_agent_online_setting_com.huaqian.xml
  • /data/data/####/multidex.version.xml
  • /data/data/####/ofl.config
  • /data/data/####/ofl_location.db
  • /data/data/####/ofl_location.db-journal
  • /data/data/####/ofl_statistics.db
  • /data/data/####/ofl_statistics.db-journal
  • /data/data/####/openudid_prefs.xml
  • /data/data/####/pa_wifi_config.xml
  • /data/data/####/push.pid
  • /data/data/####/pushext.db-journal
  • /data/data/####/pushg.db-journal
  • /data/data/####/pushsdk.db-journal
  • /data/data/####/rdtConfig.xml
  • /data/data/####/run.pid
  • /data/data/####/td_fm.jar
  • /data/data/####/tdata_JTp321
  • /data/data/####/tdata_JTp321.jar
  • /data/data/####/tdata_qHR433
  • /data/data/####/tdata_qHR433.jar
  • /data/data/####/tdid.xml
  • /data/data/####/umeng_general_config.xml
  • /data/data/####/umeng_it.cache
  • /data/data/####/umeng_message_state.xml
  • /data/data/####/vpnConfig.xml
  • /data/media/####/.cuid
  • /data/media/####/.cuid2
  • /data/media/####/.tcookieid
  • /data/media/####/.td-3
  • /data/media/####/Alvin2.xml
  • /data/media/####/ContextData.xml
  • /data/media/####/app.db
  • /data/media/####/com.getui.sdk.deviceId.db
  • /data/media/####/com.huaqian.db
  • /data/media/####/com.igexin.sdk.deviceId.db
  • /data/media/####/conlts.dat
  • /data/media/####/ller.dat
  • /data/media/####/ls.db
  • /data/media/####/ls.db-journal
  • /data/media/####/tdata_JTp321
  • /data/media/####/tdata_qHR433
  • /data/media/####/test.0
  • /data/media/####/test.log
Другие:
Запускает следующие shell-скрипты:
  • <Package Folder>/files/DaemonServer -s <Package Folder>/lib/ -n runServer -p startservice -a <Package>.intent.action.COCKROACH --es cockroach cockroach-PPreotect --es pack <Package> --user 0 -f <Package Folder> -t 600 -c agoo.pid -P <Package Folder> -K 9527 -U tb_android_daemon_1.1.0 -L http://100.69.168.33/agoo/report -D {"package":"<Package>","appKey":"umeng:520c538a56240bdc4a0d118f","utdid":"Wg2FIOLbmo4DAGdzx1FmyPJT","sdkVersion":"20151015"} -I 100.69.168.33 -O 80 -T -Z
  • <Package Folder>/files/gdaemon_20161017 0 <Package>/com.igexin.sdk.PushService 24108 300 0
  • cat /sys/class/net/wlan0/address
  • chmod 444/storage/emulated/0/.td-3
  • chmod 444/storage/emulated/0/Download/.td-3
  • chmod 444/storage/emulated/0/Movies/.td-3
  • chmod 444/storage/emulated/0/Notifications/.td-3
  • chmod 444/storage/emulated/0/Podcasts/.td-3
  • chmod 444/storage/emulated/0/backups/.td-3
  • chmod 500 <Package Folder>/files/DaemonServer
  • chmod 700 <Package Folder>/files/gdaemon_20161017
  • chmod 755 <Package Folder>/.jiagu/libjiagu.so
  • getprop net.dns1
  • getprop net.dns2
  • ls -l /system/xbin/su
  • mount
  • sh
  • sh <Package Folder>/files/gdaemon_20161017 0 <Package>/com.igexin.sdk.PushService 24108 300 0
Загружает динамические библиотеки:
  • getuiext2
  • libjiagu
  • locSDK6a
  • tnet-2.1.20
  • tongdun
Использует следующие алгоритмы для шифрования данных:
  • AES
  • AES-CBC-PKCS5Padding
  • RSA-NONE-OAEPWithSHA1AndMGF1Padding
  • desede-CBC-PKCS5Padding
Использует следующие алгоритмы для расшифровки данных:
  • AES-CBC-PKCS5Padding
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации о настроках APN.
Осуществляет доступ к информации об установленных приложениях.
Осуществляет доступ к информации о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.

Рекомендации по лечению


Android

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке