ПОЛЬЗОВАТЕЛЯМ

Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Android.Packed.37413

Добавлен в вирусную базу Dr.Web: 2018-05-10

Описание добавлено:

Техническая информация

Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
  • Android.DownLoader.683.origin
Сетевая активность:
Подключается к:
  • UDP(DNS) <Google DNS>
  • TCP(HTTP/1.0) 4####.92.62.1:80
  • TCP(HTTP/1.0) pis.al####.com:80
  • TCP(HTTP/1.1) a####.u####.com:80
  • TCP(HTTP/1.1) cdn.app.4####.####.com:80
  • TCP(HTTP/1.1) pus.al####.com:80
  • TCP(HTTP/1.1) and####.b####.qq.com:80
  • TCP(HTTP/1.1) pss.al####.com:80
  • TCP(HTTP/1.1) cdn.img.h####.####.com:80
  • TCP(HTTP/1.1) cdn.game####.org:80
  • TCP(HTTP/1.1) 1####.76.224.67:80
  • TCP(TLS/1.0) v####.4####.top:443
  • TCP(TLS/1.0) pns.al####.com:443
  • UDP 1####.168.68.254:4466
Запросы DNS:
  • a####.u####.com
  • and####.b####.qq.com
  • cdn.app.4####.top
  • cdn.game####.org
  • cdn.img.h####.top
  • pis.al####.com
  • pns.al####.com
  • pss.al####.com
  • pus.al####.com
  • v####.4####.top
Запросы HTTP GET:
  • cdn.app.4####.####.com/swenjian/you
  • cdn.game####.org/strategy/base
  • cdn.game####.org/strategy/loss_4.3
  • cdn.game####.org/strategy/sul18
  • cdn.img.h####.####.com/upload/201805/8/img/20180508175440871.png
  • pus.al####.com/kernal/sdkcontrol/vod_android-mobile_x86_9.1.1.1220.jpg
Запросы HTTP POST:
  • a####.u####.com/app_logs
  • and####.b####.qq.com/rqd/async
  • pis.al####.com/p/pcdn/i.php?v=####
  • pss.al####.com/iku/log/acc
  • pss.al####.com/iku/log/acc?ver=####&flag=####&t=####&mytype=####
Изменения в файловой системе:
Создает следующие файлы:
  • /data/data/####/.imprint
  • /data/data/####/0214e19d-4085-4439-9c18-072404df7f93
  • /data/data/####/1940dc02-eeee-4247-b307-85c47c515911.jar
  • /data/data/####/32edd79a240b5f1e461d069caab1ec3e
  • /data/data/####/52390892-ca8f-47e9-9be2-941c03a176a4
  • /data/data/####/7c6eb14b-72d9-45d4-94c6-62cf3410d44b
  • /data/data/####/88579e5f-379f-4148-8860-418dfc0b0ec8
  • /data/data/####/Matrix
  • /data/data/####/SUBOXLOG_
  • /data/data/####/alldown.xml
  • /data/data/####/bugly_db_legu-journal
  • /data/data/####/ddexe
  • /data/data/####/debuggerd
  • /data/data/####/exchangeIdentity.json
  • /data/data/####/fileWork
  • /data/data/####/h.jar
  • /data/data/####/h.xml
  • /data/data/####/install-recovery.sh
  • /data/data/####/libnfix.so
  • /data/data/####/libpcdn_acc.zip
  • /data/data/####/libpcdn_acc_new.so
  • /data/data/####/libshella-2.8.so
  • /data/data/####/libufix.so
  • /data/data/####/local_crash_lock
  • /data/data/####/mivmi.xml
  • /data/data/####/mix.dex
  • /data/data/####/native_record_lock
  • /data/data/####/pcdnconfigs.xml
  • /data/data/####/pidof
  • /data/data/####/security_info
  • /data/data/####/su
  • /data/data/####/supolicy
  • /data/data/####/toolbox
  • /data/data/####/umeng_general_config.xml
  • /data/data/####/umeng_it.cache
  • /data/data/####/vmeni1.db-journal
  • /data/data/####/wsroot.sh
  • /data/media/####/2a2f7a3feef67
  • /data/media/####/cl.tmp
  • /data/media/####/myself.dat
Другие:
Запускает следующие shell-скрипты:
  • /system/bin/sh -c getprop ro.aa.romver
  • /system/bin/sh -c getprop ro.board.platform
  • /system/bin/sh -c getprop ro.build.fingerprint
  • /system/bin/sh -c getprop ro.build.nubia.rom.name
  • /system/bin/sh -c getprop ro.build.rom.id
  • /system/bin/sh -c getprop ro.build.tyd.kbstyle_version
  • /system/bin/sh -c getprop ro.build.version.emui
  • /system/bin/sh -c getprop ro.build.version.opporom
  • /system/bin/sh -c getprop ro.gn.gnromvernumber
  • /system/bin/sh -c getprop ro.lenovo.series
  • /system/bin/sh -c getprop ro.lewa.version
  • /system/bin/sh -c getprop ro.meizu.product.model
  • /system/bin/sh -c getprop ro.miui.ui.version.name
  • /system/bin/sh -c getprop ro.vivo.os.build.display.id
  • /system/bin/sh -c type su
  • chmod 700 <Package Folder>/tx_shell/libnfix.so
  • chmod 700 <Package Folder>/tx_shell/libshella-2.8.so
  • chmod 700 <Package Folder>/tx_shell/libufix.so
  • chmod 777 Matrix ddexe debuggerd fileWork install-recovery.sh pidof su supolicy toolbox wsroot.sh
  • getprop ro.aa.romver
  • getprop ro.board.platform
  • getprop ro.build.fingerprint
  • getprop ro.build.nubia.rom.name
  • getprop ro.build.rom.id
  • getprop ro.build.tyd.kbstyle_version
  • getprop ro.build.version.emui
  • getprop ro.build.version.opporom
  • getprop ro.gn.gnromvernumber
  • getprop ro.lenovo.series
  • getprop ro.lewa.version
  • getprop ro.meizu.product.model
  • getprop ro.miui.ui.version.name
  • getprop ro.vivo.os.build.display.id
  • getprop ro.yunos.version
  • logcat -d -v threadtime
  • sh
Загружает динамические библиотеки:
  • Bugly
  • libnfix
  • libpcdn_acc
  • libshella-2.8
  • libufix
  • monodroid
  • nfix
  • pcdn_acc
  • ufix
Использует следующие алгоритмы для шифрования данных:
  • AES-GCM-NoPadding
  • RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
  • AES-GCM-NoPadding
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Осуществляет доступ к информации о запущенных приложениях.
Отрисовывает собственные окна поверх других приложений.

Рекомендации по лечению


Android

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке

Российский разработчик антивирусов Dr.Web с 1992 года
Dr.Web в Реестре Отечественного ПО
Dr.Web совместим с российскими ОС и оборудованием
Dr.Web пользуются в 200+ странах мира
Техническая поддержка 24х7х365 Рус | En

Dr.Web © «Доктор Веб»
2003 — 2022

«Доктор Веб» — российский производитель антивирусных средств защиты информации под маркой Dr.Web. Продукты Dr.Web разрабатываются с 1992 года.

125124, Россия, Москва, 3-я улица Ямского поля, д.2, корп.12А