ПОЛЬЗОВАТЕЛЯМ

Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Android.Packed.37392

Добавлен в вирусную базу Dr.Web: 2018-05-09

Описание добавлено:

Техническая информация

Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
  • Adware.Ninebox.4.origin
  • Android.DownLoader.396.origin
  • Android.DownLoader.576.origin
  • Android.DownLoader.675.origin
  • Android.DownLoader.698.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
  • UDP(DNS) <Google DNS>
  • TCP(HTTP/1.1) a.i####.pp.cn:80
  • TCP(HTTP/1.1) h####.ali####.com:80
  • TCP(HTTP/1.1) c####.m.pp.cn:80
  • TCP(HTTP/1.1) o####.sjzs####.2####.com:80
  • TCP(HTTP/1.1) sjzs####.2####.com:80
  • TCP(HTTP/1.1) p.nin####.cn:80
  • TCP(HTTP/1.1) android####.2####.com:80
  • TCP(HTTP/1.1) server####.ac.uc.cn:80
  • TCP(HTTP/1.1) api.o####.uc.cn:80
  • TCP(HTTP/1.1) gm.ny####.com.####.com:80
  • TCP(HTTP/1.1) a####.m.ta####.com:80
  • TCP(TLS/1.0) ssl.gst####.com:443
  • TCP(TLS/1.0) www.go####.com:443
  • TCP(TLS/1.0) www.gst####.com:443
  • TCP(TLS/1.0) www.go####.nl:443
  • TCP(TLS/1.0) adser####.go####.com:443
  • TCP k2.yo####.com:7502
  • TCP k2.yo####.com:7503
  • TCP s1.u####.com:7801
  • TCP p3.i####.com:7803
  • TCP s1.u####.com:7702
  • TCP s1.u####.com:7802
  • TCP s1.u####.com:7701
  • TCP k1.yo####.com:7501
  • TCP s3.u####.com:7703
Запросы DNS:
  • a####.m.ta####.com
  • a.i####.pp.cn
  • adser####.go####.com
  • android####.2####.com
  • android####.2####.com
  • api.o####.uc.cn
  • c####.m.pp.cn
  • c.nin####.cn
  • gm.ny####.com
  • h####.ali####.com
  • img.u####.pp.####.cn
  • k1.yo####.com
  • k2.yo####.com
  • k3.yo####.com
  • o####.sjzs####.2####.com
  • p.nin####.cn
  • p1.i####.com
  • p2.i####.com
  • p3.i####.com
  • s.nin####.cn
  • s1.u####.com
  • s2.u####.com
  • s3.u####.com
  • se####.m.pp.cn
  • server####.ac.uc.cn
  • sjzs####.2####.com
  • ssl.gst####.com
  • www.go####.com
  • www.go####.nl
  • www.gst####.com
Запросы HTTP GET:
  • a.i####.pp.cn/fs08/2016/09/21/0/33911d2747a8d58da89919688e2f9fb1.png
  • a.i####.pp.cn/fs08/2016/09/21/1/79f2186917a8a4f1640514656c302aa1.png
  • a.i####.pp.cn/fs08/2016/09/21/10/3ff066186c020b2212f55499c359b88f.png
  • a.i####.pp.cn/fs08/2016/09/21/11/d04aa5754f8e76db8cb0d3654edf00b2.png
  • a.i####.pp.cn/fs08/2016/09/21/8/fb2b799d5ad57111ab7c44902e098bc7.png
  • a.i####.pp.cn/fs08/2018/05/02/3/94be361aa562febca469b0f57bfbc3b4.jpg
  • a.i####.pp.cn/fs08/2018/05/02/5/2f28b330ed061f705b9999d8659e0192.jpg
  • a.i####.pp.cn/fs08/2018/05/02/6/44844f219bba2844abcb8411503f1bd1.jpeg
  • a.i####.pp.cn/fs08/2018/05/02/6/4d01f8f161e0414fdef0e9bd0795807a.jpg
  • android####.2####.com/fs04/2015/08/14/4/15f7b8baf5aeecb8a77b02462872c539...
  • android####.2####.com/fs08/2016/06/08/5/1_b85000ee32fae7d7627555ae2a575f...
  • android####.2####.com/fs08/2017/01/06/1/115_a7c8e67666eddd40c3555a52b5e1...
  • android####.2####.com/fs08/2017/08/01/2/115_3c6dba6438b9d150ba8464dd089a...
  • android####.2####.com/fs08/2018/04/18/0/1_7a2f17b7f3d0b64293c76acfc3c841...
  • android####.2####.com/fs08/2018/04/23/11/110_0281c41e06c06970f6d99db6969...
  • android####.2####.com/fs08/2018/04/23/2/110_4ef234e9377f3368c3c32537c21e...
  • android####.2####.com/fs08/2018/04/24/5/110_482aea4af6f98446d8097c9650c2...
  • android####.2####.com/fs08/2018/04/27/3/109_83293b0a433471dca789dd086b1b...
  • android####.2####.com/fs08/2018/04/27/6/109_8f6f5c1821cb3541d78032d4b0c1...
  • android####.2####.com/fs08/2018/05/07/8/110_91b78c17789be7af41caecc8f6ed...
  • android####.2####.com/upload_files/common/app-icon-default.png
  • api.o####.uc.cn/nbi/queryPrint?cid=####&data=####&uid=####&sid=####&call...
  • c####.m.pp.cn/public/specials/3/?ch=####&sid=####&theme=####&listType=##...
  • c####.m.pp.cn/public/specials/3/index.css?4ecadb3####
  • c####.m.pp.cn/public/specials/3/index.js?4ecadb3####
  • c####.m.pp.cn/upload_files/specials/3/stencil-info-wall-3-btn-1.png
  • gm.ny####.com.####.com/download/advert/QQyueduyishengyueduhuoban/2601.jpg
  • gm.ny####.com.####.com/download/advert/QQyueduyishengyueduhuoban/2602601...
  • gm.ny####.com.####.com/download/sci/21.png
  • o####.sjzs####.2####.com/api/proxyNew?urlKey=####&specialId=####&svr=###...
  • server####.ac.uc.cn/special/template/1524898639040_163483.jpg
  • sjzs####.2####.com/relay/download/plugin?url=ito####
Запросы HTTP POST:
  • a####.m.ta####.com/rest/gc?ak=####&av=####&c=####&v=####&s=####&d=####&s...
  • a####.m.ta####.com/rest/sur?ak=####&av=####&c=####&v=####&s=####&d=####&...
  • h####.ali####.com/utdid_pp_helper/get_aid/?auth[token]=####&type=####&id...
  • o####.sjzs####.2####.com/api/logmd.upload
  • o####.sjzs####.2####.com/api/op.rec.app.checkUpdate
  • p.nin####.cn/admin/bcp.action?requestId=####
  • p.nin####.cn/admin/nbad.action
  • p.nin####.cn/admin/sc.action?requestId=####
  • sjzs####.2####.com/api/client.plugin.sync
  • sjzs####.2####.com/api/combine
  • sjzs####.2####.com/api/log.getSecurityId
  • sjzs####.2####.com/api/log.setPromoter
  • sjzs####.2####.com/api/log.upload
  • sjzs####.2####.com/api/op.ad.getAds
  • sjzs####.2####.com/api/op.ad.getAdses
  • sjzs####.2####.com/api/op.config.getSplashScreenConfig
  • sjzs####.2####.com/api/op.config.list
  • sjzs####.2####.com/api/op.rec.app.getHotApps
  • sjzs####.2####.com/api/op.task.list
  • sjzs####.2####.com/api/resource.app.checkUpdateV1
  • sjzs####.2####.com/api/resource.gift.getInstalledGift
Изменения в файловой системе:
Создает следующие файлы:
  • /data/data/####/1525870336168.jar
  • /data/data/####/1525870336185.jar
  • /data/data/####/1525870336199.jar
  • /data/data/####/1525870336275.jar
  • /data/data/####/1525870336332.jar
  • /data/data/####/Alvin2.xml
  • /data/data/####/AppStore.xml
  • /data/data/####/AppStore.xml.bak
  • /data/data/####/ApplicationCache.db-journal
  • /data/data/####/ContextData.xml
  • /data/data/####/LocationType.xml
  • /data/data/####/OfJbkLdFbPOMbGyP.xml
  • /data/data/####/SIDEBAR_PRESENTS.xml
  • /data/data/####/UTMCBase.xml
  • /data/data/####/UTMCConf-336291775.xml
  • /data/data/####/UTMCLog-336291775.xml
  • /data/data/####/a
  • /data/data/####/app_setting_prefs.xml
  • /data/data/####/app_usages.txt
  • /data/data/####/app_usages_cache.txt
  • /data/data/####/box_cp_all_msg.xml
  • /data/data/####/box_cp_states.xml
  • /data/data/####/boxcpdownloads
  • /data/data/####/boxcpdownloads-journal
  • /data/data/####/busybox
  • /data/data/####/config_1.xml
  • /data/data/####/config_1.xml.bak (deleted)
  • /data/data/####/data_0
  • /data/data/####/data_1
  • /data/data/####/data_2
  • /data/data/####/data_3
  • /data/data/####/db_downloader-journal
  • /data/data/####/dij.xml
  • /data/data/####/dim.xml
  • /data/data/####/downloader_pref.xml
  • /data/data/####/f_000001
  • /data/data/####/fcut_appInfo_pre.xml
  • /data/data/####/fcut_conf_pre.xml
  • /data/data/####/fcut_trategy_pre.xml
  • /data/data/####/index
  • /data/data/####/j-id.xml
  • /data/data/####/mid.xml
  • /data/data/####/pdown
  • /data/data/####/pdown-journal
  • /data/data/####/plugin_info
  • /data/data/####/po_download.db-journal
  • /data/data/####/pp.plugin.floatwindow_internal.apk
  • /data/data/####/pp.plugin.lucky.apk
  • /data/data/####/pp.plugin.lucky.apk_1.1_3.apk.tp
  • /data/data/####/pp_db_2-journal
  • /data/data/####/pp_http_db-journal
  • /data/data/####/qui_download.db-journal
  • /data/data/####/release.ini
  • /data/data/####/rp.xml
  • /data/data/####/rs.xml
  • /data/data/####/running_app_name.xml
  • /data/data/####/share_data.xml
  • /data/data/####/short_create.xml
  • /data/data/####/shortoutnamesha.xml
  • /data/data/####/type.xml
  • /data/data/####/vs.xml
  • /data/data/####/webview.db-journal
  • /data/data/####/webviewCookiesChromium.db-journal
  • /data/data/####/xy.xml
  • /data/data/####/ybappInfo_pre.xml
  • /data/data/####/ybconf_pre.xml
  • /data/data/####/yo_fconf_pre.xml
  • /data/data/####/yoappInfo_pre.xml
  • /data/data/####/yoconf_pre.xml
  • /data/data/####/yop_download.db-journal
  • /data/data/####/yotrategy_pre.xml
  • /data/media/####/.nomedia
  • /data/media/####/1.dat
  • /data/media/####/12.dat
  • /data/media/####/12fcbe9b8f8645bf0d33fa775e3d34e4.0
  • /data/media/####/1310f9db59a10f892e3548359ef16f97.t
  • /data/media/####/1525870336291u.jar
  • /data/media/####/1525870336957q.jar
  • /data/media/####/1525870337206u.jar
  • /data/media/####/1525870341137b.jar
  • /data/media/####/2.dat
  • /data/media/####/296347717314c2c0132a162d61227a30.0
  • /data/media/####/3.dat
  • /data/media/####/492c19ea949589d53bae921b1b749383.t
  • /data/media/####/56516275f6133812b9290b15855503e2.0
  • /data/media/####/5a99f890e623ba48dcc077dba6ead200.t
  • /data/media/####/7.dat
  • /data/media/####/782ed721fd1c9ee0898727fa110d8f35.0
  • /data/media/####/8ad7cee8cf70fd57fd733084179e8886.0
  • /data/media/####/8b8656698aaac9696488f640ce728e99.0
  • /data/media/####/8c2cf206afc5993d5fb9ce0f6a703cbe.0
  • /data/media/####/8d80b71637b7b25351e3ef65cfd854b6.0
  • /data/media/####/9a0ec136d0c5d88ba6249066ed39e611.0
  • /data/media/####/9cf0bb5c74bf63f4b9ae9da1dd80334c.0
  • /data/media/####/Alvin2.xml
  • /data/media/####/ContextData.xml
  • /data/media/####/MID.DAT
  • /data/media/####/a07ffb4b2dc6bba5c024f4d619cf03c8.0
  • /data/media/####/ab5d2e3741ac1602c776657dd8b773d7.t
  • /data/media/####/ba223d84a81478fa01915f9c4d2e2627.0
  • /data/media/####/c644239db457f6fea49a8e92362b20ce.0
  • /data/media/####/c8e4d47529bf6fdb044c1366a29bd4dd.0
  • /data/media/####/com.yash.foung.png
  • /data/media/####/cp0.png.dat
  • /data/media/####/cp1.png.dat
  • /data/media/####/gifnoc.ini
  • /data/media/####/journal.1
  • /data/media/####/names.dat
  • /data/media/####/share.dat
  • /data/media/####/st.dat
Другие:
Запускает следующие shell-скрипты:
  • <Package Folder>/amodel/a com.android.browser/com.android.browser.BrowserActivity 0 <Package Folder>/amodel <Package Folder> http://sjzs-api.25pp.com/api/uninstall?content=aW1laT0zNTY1MDcwNTkzNTE4OTVgbW9kZWw9R1QtSTgxOTBgdWlkPWQwODBkM2EzN2IwYmU3YmM3YzE1YzBhNWFjNzZiYzY0YHV1aWQ9ZGVmYXVsdGByb209MThgdmVyPTYuOC43YGNoPVBNXzMxYGFjdGlvbj11bmluc3RhbGxgcHJvZHVjdGlkPTIwMDFgcmVzb2x1dGlvbj02MDAqNzUyYGluc3RhbGx0aW1lPTIwMTgtMDUtMDkgMTI6NTI6MTE= null
  • chmod 755 <Package Folder>/files/busybox
  • chmod 775 <Package Folder>/amodel/a
  • grep <Package Folder>/amodel/a
  • sh
  • sh <Package Folder>/amodel/a com.android.browser/com.android.browser.BrowserActivity 0 <Package Folder>/amodel <Package Folder> http://sjzs-api.25pp.com/api/uninstall?content=aW1laT0zNTY1MDcwNTkzNTE4OTVgbW9kZWw9R1QtSTgxOTBgdWlkPWQwODBkM2EzN2IwYmU3YmM3YzE1YzBhNWFjNzZiYzY0YHV1aWQ9ZGVmYXVsdGByb209MThgdmVyPTYuOC43YGNoPVBNXzMxYGFjdGlvbj11bmluc3RhbGxgcHJvZHVjdGlkPTIwMDFgcmVzb2x1dGlvbj02MDAqNzUyYGluc3RhbGx0aW1lPTIwMTgtMDUtMDkgMTI6NTI6MTE= null
Загружает динамические библиотеки:
  • pppmtools
Использует следующие алгоритмы для шифрования данных:
  • AES-CBC-PKCS5Padding
  • DES
Использует следующие алгоритмы для расшифровки данных:
  • AES-CBC-PKCS5Padding
  • DES
Может автоматически отправлять СМС-сообщения.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Осуществляет доступ к информации о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.

Рекомендации по лечению


Android

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке

Российский разработчик антивирусов Dr.Web с 1992 года
Dr.Web в Реестре Отечественного ПО
Dr.Web совместим с российскими ОС и оборудованием
Dr.Web пользуются в 200+ странах мира
Техническая поддержка 24х7х365 Рус | En

Dr.Web © «Доктор Веб»
2003 — 2022

«Доктор Веб» — российский производитель антивирусных средств защиты информации под маркой Dr.Web. Продукты Dr.Web разрабатываются с 1992 года.

125124, Россия, Москва, 3-я улица Ямского поля, д.2, корп.12А