Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Android.Packed.37472

Добавлен в вирусную базу Dr.Web: 2018-05-11

Описание добавлено:

Техническая информация

Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
  • Android.DownLoader.683.origin
Сетевая активность:
Подключается к:
  • UDP(DNS) <Google DNS>
  • TCP(HTTP/1.0) 4####.92.62.1:80
  • TCP(HTTP/1.0) pis.al####.com:80
  • TCP(HTTP/1.1) ads.tatat####.com:80
  • TCP(HTTP/1.1) 842.disp####.spcd####.com:80
  • TCP(HTTP/1.1) h####.opensp####.cn:80
  • TCP(HTTP/1.1) etatase####.tatat####.com:80
  • TCP(HTTP/1.1) cdn.app.ne####.####.com:80
  • TCP(HTTP/1.1) d####.opensp####.cn:80
  • TCP(HTTP/1.1) pss.al####.com:80
  • TCP(HTTP/1.1) oss.tatat####.com:80
  • TCP(HTTP/1.1) duo####.tatat####.com:80
  • TCP(HTTP/1.1) pus.al####.com:80
  • TCP(HTTP/1.1) statse####.tatat####.com:1180
  • TCP(HTTP/1.1) 1####.76.224.67:80
  • TCP(HTTP/1.1) a####.u####.com:80
  • TCP(HTTP/1.1) go####.yo####.com:80
  • TCP(HTTP/1.1) tata-v####.img-cn-####.aliy####.com:80
  • TCP(HTTP/1.1) cdn.img.h####.####.com:80
  • TCP(HTTP/1.1) cdn.game####.org:80
  • TCP(TLS/1.0) ho####.h####.top:443
  • TCP(TLS/1.0) pns.al####.com:443
  • UDP 1####.168.64.254:4466
Запросы DNS:
  • a####.u####.com
  • ads.tatat####.com
  • cdn.app.ne####.top
  • cdn.game####.org
  • cdn.img.h####.top
  • d####.opensp####.cn
  • duo####.tatat####.com
  • etatase####.tatat####.com
  • f####.xh####.com
  • go####.yo####.com
  • h####.opensp####.cn
  • ho####.h####.top
  • oss.tatat####.com
  • pis.al####.com
  • pns.al####.com
  • pss.al####.com
  • pus.al####.com
  • statse####.tatat####.com
  • tata-v####.img-cn-####.aliy####.com
Запросы HTTP GET:
  • 842.disp####.spcd####.com/dian/eng/3144page_003.jpg
  • 842.disp####.spcd####.com/dian/eng/3146page_004.jpg
  • 842.disp####.spcd####.com/dian/eng/3148page_005.jpg
  • 842.disp####.spcd####.com/dian/eng/41page_002.jpg
  • cdn.app.ne####.####.com/swenjian/fiv
  • cdn.game####.org/strategy/UnknownDev
  • cdn.game####.org/strategy/base
  • cdn.game####.org/strategy/dev_root
  • cdn.game####.org/strategy/dev_root2
  • cdn.game####.org/strategy/larger4.3
  • cdn.game####.org/strategy/loss_4.3
  • cdn.game####.org/strategy/sul18
  • cdn.game####.org/strategy/symlink-adbd
  • cdn.img.h####.####.com/upload/201805/10/img/20180510210257372.png
  • go####.yo####.com/gorgon/request.s?s=2W2lf####&ydet=####
  • h####.opensp####.cn/launchconfig?t=####&p=LndxZ####
  • oss.tatat####.com/audio/other/rjb_book01.png
  • oss.tatat####.com/audio/xiaoxuejiaocai/2440-02c5351672c8a6d05866fec2ff50...
  • oss.tatat####.com/audio/xiaoxuejiaocai/2495-da797955717a97865a8e9899774c...
  • oss.tatat####.com/audio/xiaoxuejiaocai/T15yJyBvJg1RCvBVdK.jpg
  • oss.tatat####.com/xhz/line/160750_5_31349c19be5653de0e8205ffd076e68a.mp3
  • oss.tatat####.com/xhz/line/160758_6_31349c19be5653de0e8205ffd076e68a.mp3
  • oss.tatat####.com/xiaoxue/diandubook/0b445cf088e991b406ca4d6b01940ee5.jpg
  • oss.tatat####.com/xiaoxue/diandubook/50.jpg
  • oss.tatat####.com/xiaoxue/diandubook/51.jpg
  • oss.tatat####.com/xiaoxue/diandubook/539b030415ef88925fff634b5f1bc93a.jpg
  • oss.tatat####.com/xiaoxue/diandubook/f3c40a224a7ed7ed8dfbf69f21d48661.jpg
  • oss.tatat####.com/xiaoxue/diandubook/ffb28e6cc8cc1d90e4010866c5b2f9ba.jpg
  • pus.al####.com/kernal/sdkcontrol/vod_android-mobile_x86_9.1.1.1220.jpg
  • tata-v####.img-cn-####.aliy####.com/xhz/img/454c4c6bcaf58e222cf601ecefcb...
  • tata-v####.img-cn-####.aliy####.com/xhz/img/6ce8dba119648e2b79c63576c405...
  • tata-v####.img-cn-####.aliy####.com/xhz/img/6f58926458c0cbcfab193ebf69b1...
  • tata-v####.img-cn-####.aliy####.com/xhz/img/83dde272cebdac27b45d40e6c8ff...
  • tata-v####.img-cn-####.aliy####.com/xhz/img/aa3aa53c3312eb854dbc51db08a6...
  • tata-v####.img-cn-####.aliy####.com/xhz/img/d46d895738bc1063681ba287c0f8...
  • tata-v####.img-cn-####.aliy####.com/xhz/img/e317abb5a36ff8069d69eb6d83b8...
  • tata-v####.img-cn-####.aliy####.com/xhz/img/e5c764e9ad18d209ed2c4fd95ab6...
Запросы HTTP POST:
  • a####.u####.com/app_logs
  • ads.tatat####.com/ads/rt.s?id=####
  • d####.opensp####.cn/index.php/clientrequest/clientcollect/isCollect
  • duo####.tatat####.com/tataeraapi/api.s?&h=####
  • duo####.tatat####.com/tataeraapi/api.s?h=####
  • etatase####.tatat####.com/tataeraapi/api.s?h=####&ver=####&pr=####
  • pis.al####.com/p/pcdn/i.php?v=####
  • pss.al####.com/iku/log/acc
  • pss.al####.com/iku/log/acc?ver=####&flag=####&t=####&mytype=####
  • statse####.tatat####.com:1180/stat/api.s?h=####
Изменения в файловой системе:
Создает следующие файлы:
  • /data/data/####/.imprint
  • /data/data/####/.jg.ic
  • /data/data/####/11fcd7e6-c53c-42e4-a5d7-c4ae42844aeb
  • /data/data/####/1245851d-9dbf-4938-b1b4-29d790f32123
  • /data/data/####/1740c449fc10be62df60ba0f18696c9f
  • /data/data/####/322010fe-548e-42b2-b714-e7dcd0f59d56
  • /data/data/####/32edd79a240b5f1e461d069caab1ec3e
  • /data/data/####/4e1a7e95-487e-4110-afbf-73e41eb54f0c
  • /data/data/####/5ac66c09-8611-4061-bd41-26f701b22142.jar
  • /data/data/####/6c98bb20-7a88-4c6f-882c-53a065fbafda
  • /data/data/####/8b6f263391259b7a8e5f58ee71852ca8
  • /data/data/####/Alvin2.xml
  • /data/data/####/AppStore.xml
  • /data/data/####/ContextData.xml
  • /data/data/####/HzActivity.xml
  • /data/data/####/Matrix
  • /data/data/####/RiService.jar
  • /data/data/####/SUBOXLOG_
  • /data/data/####/UmengLocalNotificationStore.db-journal
  • /data/data/####/alldown.xml
  • /data/data/####/b0141e478b25af7c40a8cca8de6c4708
  • /data/data/####/b18a021d11a3004d25017230b681476b
  • /data/data/####/bzwn.db-journal
  • /data/data/####/c2a2d331-ce20-4ed9-ae7e-e087819f9d02
  • /data/data/####/c61913b615fb6224701377a119081f36
  • /data/data/####/c8a6defb-c93d-4eb0-b902-344b02c9037a
  • /data/data/####/cb535d53-68cd-46eb-bbdf-a4de4684ecb8
  • /data/data/####/com.iflytek.id.xml
  • /data/data/####/com.wqff.wqf_preferences.xml
  • /data/data/####/ddexe
  • /data/data/####/debuggerd
  • /data/data/####/device.db
  • /data/data/####/e3dc51b2-957a-41c0-89bc-8bb278b19a5e
  • /data/data/####/ebn.xml
  • /data/data/####/fileWork
  • /data/data/####/ifly_launch_lib.xml
  • /data/data/####/iflytek_state_com.wqff.wqf.xml
  • /data/data/####/install-recovery.sh
  • /data/data/####/jg_so_upgrade_setting.xml
  • /data/data/####/libjiagu.so
  • /data/data/####/libpcdn_acc.zip
  • /data/data/####/libpcdn_acc_new.so
  • /data/data/####/mobclick_agent_online_setting_com.wqff.wqf.xml
  • /data/data/####/pcdnconfigs.xml
  • /data/data/####/pidof
  • /data/data/####/root3
  • /data/data/####/shareadsdk.xml
  • /data/data/####/statistics-journal
  • /data/data/####/su
  • /data/data/####/supolicy
  • /data/data/####/toolbox
  • /data/data/####/umeng_general_config.xml
  • /data/data/####/umeng_it.cache
  • /data/data/####/umeng_message_state.xml
  • /data/data/####/webview.db-journal
  • /data/data/####/wqf.xml
  • /data/data/####/wsroot.sh
  • /data/media/####/-1053729485.tmp
  • /data/media/####/-1189081812.tmp
  • /data/media/####/-17316826.tmp
  • /data/media/####/-1779241059.tmp
  • /data/media/####/-2127358824.tmp
  • /data/media/####/-391280509.tmp
  • /data/media/####/-603199319.tmp
  • /data/media/####/-651687993.tmp
  • /data/media/####/.2F6E2C5B63F0F83B
  • /data/media/####/.nomedia
  • /data/media/####/1004723140.tmp
  • /data/media/####/1322768328.tmp
  • /data/media/####/1370415479.tmp
  • /data/media/####/1693041121.tmp
  • /data/media/####/1718609436.tmp
  • /data/media/####/1868420164.tmp
  • /data/media/####/1869265131.tmp
  • /data/media/####/1917321240.tmp
  • /data/media/####/2054484280.tmp
  • /data/media/####/261254872.tmp
  • /data/media/####/314977764.tmp
  • /data/media/####/447388315.tmp
  • /data/media/####/510948618.tmp
  • /data/media/####/511872139.tmp
  • /data/media/####/55EF491E14F30D50D226594BF5C9CF0C
  • /data/media/####/6301AD59F1C7190B624C4547D67706DD
  • /data/media/####/Alvin2.xml
  • /data/media/####/ContextData.xml
  • /data/media/####/diandu_563.txt
  • /data/media/####/diandu_563_simple.txt
  • /data/media/####/e82134ad92409
  • /data/media/####/iflyworkdir_test
  • /data/media/####/im316.tmp
  • /data/media/####/myself.dat
Другие:
Запускает следующие shell-скрипты:
  • chmod 755 <Package Folder>/.jiagu/libjiagu.so
  • chmod 777 Matrix ddexe debuggerd device.db fileWork install-recovery.sh pidof root3 su supolicy toolbox wsroot.sh
  • chmod 777 Matrix ddexe debuggerd fileWork install-recovery.sh pidof su supolicy toolbox wsroot.sh
  • sh
Загружает динамические библиотеки:
  • libjiagu
  • libpcdn_acc
  • msc
  • pcdn_acc
Использует следующие алгоритмы для шифрования данных:
  • AES-CBC-PKCS5Padding
  • DES
Использует следующие алгоритмы для расшифровки данных:
  • AES-CBC-PKCS5Padding
  • DES
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Осуществляет доступ к информации о запущенных приложениях.
Отрисовывает собственные окна поверх других приложений.

Рекомендации по лечению


Android

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке

Российский разработчик антивирусов Dr.Web с 1992 года
Dr.Web в Реестре Отечественного ПО
Dr.Web совместим с российскими ОС и оборудованием
Dr.Web пользуются в 120+ странах мира
Техническая поддержка 24х7х365 Рус | En

© «Доктор Веб»
2003 — 2023

«Доктор Веб» — российский производитель антивирусных средств защиты информации под маркой Dr.Web. Продукты Dr.Web разрабатываются с 1992 года.

125124, Россия, Москва, 3-я улица Ямского поля, д.2, корп.12А