ПОЛЬЗОВАТЕЛЯМ

Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Android.Packed.37303

Добавлен в вирусную базу Dr.Web: 2018-05-07

Описание добавлено:

Техническая информация

Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
  • Android.DownLoader.589.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
  • UDP(DNS) <Google DNS>
  • TCP(HTTP/1.1) 52.52.2####.56:80
  • TCP(HTTP/1.1) www.faceplu####.com.cn:80
  • TCP(HTTP/1.1) ae1c853####.b0.upa####.com:80
  • TCP(HTTP/1.1) go.hotw####.top:80
  • TCP(HTTP/1.1) t####.c####.q####.####.com:80
  • TCP(HTTP/1.1) cdn.app.kac####.####.com:80
  • TCP(HTTP/1.1) a.appj####.com:80
  • TCP(HTTP/1.1) 1####.76.224.67:80
  • TCP(HTTP/1.1) cdn.img.h####.####.com:80
  • TCP(HTTP/1.1) www.apic####.com:80
  • TCP(HTTP/1.1) cdn.game####.org:80
  • TCP(TLS/1.0) www.faceplu####.com.cn:443
Запросы DNS:
  • a.appj####.com
  • ae1c853####.b0.upa####.com
  • cdn.app.h####.top
  • cdn.app.kac####.cn
  • cdn.faceplu####.com.cn
  • cdn.game####.org
  • cdn.img.h####.top
  • fi####.um####.cc
  • go.hotw####.top
  • www.apic####.com
  • www.faceplu####.com.cn
Запросы HTTP GET:
  • ae1c853####.b0.upa####.com/apicloud/4c8e994733ab1e7d0e78f70570602e45.png
  • ae1c853####.b0.upa####.com/apicloud/dbc60c44b34510443751d407d9b6e38b.jpg
  • ae1c853####.b0.upa####.com/apicloud/dee22c69e47c295124bb0bd201336a5d.png
  • cdn.app.kac####.####.com/sfile/201805/07/all/cp_V2.8.5.txt
  • cdn.game####.org/strategy/base
  • cdn.game####.org/strategy/loss_4.3
  • cdn.game####.org/strategy/sul18
  • cdn.img.h####.####.com/upload/201805/7/app/20180507213207228.apk
  • cdn.img.h####.####.com/upload/201805/7/img/20180507212914738.jpg
  • cdn.img.h####.####.com/upload/201805/7/img/20180507213156978.jpg
  • t####.c####.q####.####.com/OPPO R9sk__1513885048059__54826_4542-smile
  • www.apic####.com/mcm/api/customeruser?filter=####
  • www.apic####.com/mcm/api/fun?filter=####
  • www.apic####.com/mcm/api/item?filter=####
  • www.faceplu####.com.cn/assets/demo-img2/徐峥/0.jpg
  • www.faceplu####.com.cn/assets/demo-img2/韩彩英/5.jpg
Запросы HTTP POST:
  • a.appj####.com/ad-service/ad/mark
  • go.hotw####.top/cpgg/flbi/wejx/invr
  • go.hotw####.top/cpgg/frdox/byj/dpaj
  • go.hotw####.top/cpgg/j/v
  • go.hotw####.top/cpgg/m/ck
  • go.hotw####.top/cpgg/ovll/lwvmq
  • go.hotw####.top/sdf/jf
  • go.hotw####.top/sjtj/lk/mvyql
Изменения в файловой системе:
Создает следующие файлы:
  • /data/data/####/-1033467059-1878202944
  • /data/data/####/-1033467059-311702431
  • /data/data/####/-611167395-1469714095
  • /data/data/####/.jg.ic
  • /data/data/####/.log.lock
  • /data/data/####/.log.ls
  • /data/data/####/181423673682670684
  • /data/data/####/1841a65c91decbab20570f30ca121641d5d1453acc64f73....0.tmp
  • /data/data/####/2004032330677895978
  • /data/data/####/32edd79a240b5f1e461d069caab1ec3e
  • /data/data/####/826b9941-8a5b-4133-b515-f1f19d3a60c5
  • /data/data/####/89a6a083-83f7-4fa9-bab6-197088e381e0
  • /data/data/####/SUBOXLOG_
  • /data/data/####/bd1ffd53-730b-479f-93ec-7c01bd7300c3
  • /data/data/####/cffb2381c8b08939fd9081badb5b18360074c18b9c2a3d4....0.tmp
  • /data/data/####/checker.jar
  • /data/data/####/d9fb9f96-04c9-4ca9-9f84-04aaa88dc7fa
  • /data/data/####/ddexe
  • /data/data/####/debuggerd
  • /data/data/####/e09fa635-b5c4-41d5-af89-b508162f7f30
  • /data/data/####/eb9cf599165c0928b957abcdacd140deffbb0e45d8aacf3....0.tmp
  • /data/data/####/eu.jar
  • /data/data/####/f5dc4663f793b376da13725bf3f1666a1bc7cc27874d392....0.tmp
  • /data/data/####/ga.jar
  • /data/data/####/install-recovery.sh
  • /data/data/####/jg_app_update_settings_random.xml
  • /data/data/####/journal.tmp
  • /data/data/####/kr.xml
  • /data/data/####/libjiagu.so
  • /data/data/####/multidex.version.xml
  • /data/data/####/pidof
  • /data/data/####/qihoo_jiagu_crash_report.xml
  • /data/data/####/qsb.xml
  • /data/data/####/subox.xml
  • /data/data/####/t_u.db-journal
  • /data/data/####/wk.jar
  • /data/data/####/wv.xml
  • /data/media/####/2c7a1bf6bd3fd
  • /data/media/####/45047d7295978
  • /data/media/####/4aed3e080d8c076d75cc0110562983e7.apk
  • /data/media/####/V2.8.5.txt
  • /data/media/####/b.tmp
Другие:
Запускает следующие shell-скрипты:
  • chmod 755 <Package Folder>/.jiagu/libjiagu.so
  • chmod 777 /storage/emulated/0/Android/data/<Package>/files/Download/Android/azb/4aed3e080d8c076d75cc0110562983e7.apk
Загружает динамические библиотеки:
  • _drc208
  • libjiagu
Использует следующие алгоритмы для расшифровки данных:
  • DES
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Осуществляет доступ к информации о запущенных приложениях.
Отрисовывает собственные окна поверх других приложений.

Рекомендации по лечению


Android

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке

Российский разработчик антивирусов Dr.Web с 1992 года
Dr.Web в Реестре Отечественного ПО
Dr.Web совместим с российскими ОС и оборудованием
Dr.Web пользуются в 200+ странах мира
Техническая поддержка 24х7х365 Рус | En

Dr.Web © «Доктор Веб»
2003 — 2022

«Доктор Веб» — российский производитель антивирусных средств защиты информации под маркой Dr.Web. Продукты Dr.Web разрабатываются с 1992 года.

125124, Россия, Москва, 3-я улица Ямского поля, д.2, корп.12А