Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Android.Xiny.1886

Добавлен в вирусную базу Dr.Web: 2018-05-21

Описание добавлено:

Техническая информация

Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
  • Android.Xiny.84.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
  • UDP(DNS) <Google DNS>
  • TCP(HTTP/1.1) a####.u####.com:80
  • TCP(HTTP/1.1) ser####.guaguaz####.cn:80
  • TCP(HTTP/1.1) s####.j####.cn:80
  • TCP(HTTP/1.1) nav.cn.ron####.com:80
  • TCP(HTTP/1.1) a####.exc.mob.com:80
  • TCP(HTTP/1.1) oc.u####.com:80
  • TCP(HTTP/1.1) api.s####.mob.com:80
  • TCP(HTTP/1.1) i####.sogo####.com.####.com:80
  • TCP(TLS/1.0) www.v####.com:443
  • TCP(TLS/1.0) s####.cn.ron####.com:443
  • TCP 1####.229.215.26:7001
  • TCP 1####.92.22.206:8618
  • UDP s.j####.cn:19000
Запросы DNS:
  • a####.exc.mob.com
  • a####.u####.com
  • api.s####.mob.com
  • i####.sogo####.com
  • nav.cn.ron####.com
  • oc.u####.com
  • s####.cn.ron####.com
  • s####.j####.cn
  • s.j####.cn
  • ser####.guaguaz####.cn
  • www.v####.com
Запросы HTTP GET:
  • i####.sogo####.com.####.com/net/a/04/link?appid=####&url=####
Запросы HTTP POST:
  • a####.exc.mob.com/errconf
  • a####.u####.com/app_logs
  • api.s####.mob.com/conf5
  • api.s####.mob.com/conn
  • api.s####.mob.com/data2
  • api.s####.mob.com/log4
  • api.s####.mob.com/snsconf
  • nav.cn.ron####.com/navipush.json
  • oc.u####.com/v2/check_config_update
  • oc.u####.com/v2/get_update_time
  • s####.j####.cn/v2/report
  • ser####.guaguaz####.cn/app-http/api
Изменения в файловой системе:
Создает следующие файлы:
  • /data/data/####/.imprint
  • /data/data/####/.jg.ic
  • /data/data/####/.lock
  • /data/data/####/.log.lock
  • /data/data/####/.log.ls
  • /data/data/####/COUNTLY_STORE.xml
  • /data/data/####/RongPush.xml
  • /data/data/####/SharedPreferences_ruit.xml
  • /data/data/####/Statistics.xml
  • /data/data/####/ThrowalbeLog.db-journal
  • /data/data/####/cc.ruit.guaguazhuan_preferences.xml
  • /data/data/####/cn.jpush.android.user.profile.xml
  • /data/data/####/cn.jpush.preferences.v2.xml
  • /data/data/####/ggz.db-journal
  • /data/data/####/jpush_device_info.xml
  • /data/data/####/jpush_local_notification.db
  • /data/data/####/jpush_local_notification.db-journal
  • /data/data/####/jpush_stat_cache_history.json
  • /data/data/####/jpush_statistics.db
  • /data/data/####/jpush_statistics.db-journal
  • /data/data/####/libjiagu.so
  • /data/data/####/mob_sdk_exception_1.xml
  • /data/data/####/mobclick_agent_online_setting_cc.ruit.guaguazhuan.xml
  • /data/data/####/share_sdk_1.xml
  • /data/data/####/share_sdk_1.xml (deleted)
  • /data/data/####/share_sdk_1.xml.bak (deleted)
  • /data/data/####/sharesdk.db-journal
  • /data/data/####/umeng_general_config.xml
  • /data/data/####/umeng_it.cache
  • /data/data/####/v5kf_client.xml
  • /data/data/####/v5kf_emoticons.db
  • /data/data/####/v5kf_emoticons.db-journal
  • /data/media/####/.ba
  • /data/media/####/.dk
  • /data/media/####/.lock
  • /data/media/####/.push_deviceid
  • /data/media/####/067503e0abc30a6ee207271999e00842.0
  • /data/media/####/1dbf0ab8baddd387505f626901e4d1e1.0
  • /data/media/####/20db542b1fde216bdb9614b796c22e9d.0
  • /data/media/####/23c94b4e935722867fa6da11e50442f3.0
  • /data/media/####/32f244f7d493551d51682938c57538d6.0
  • /data/media/####/40558dd76bdffa22f579687b24d271f5.0
  • /data/media/####/4f082fa9265ea978a63b66b011323e2b.0
  • /data/media/####/5303655013e5365dd961355a01a8dfb7.0
  • /data/media/####/58359e60974853632cf7f00d726b269b.0
  • /data/media/####/5aa6b1e761ef40b7b211483325791148.0
  • /data/media/####/68935a59bec3eb14c69843e5ed666290.0
  • /data/media/####/7f24a064d4d50c20278b9ae3860b7691.0
  • /data/media/####/881c8d819a42c12202acc325d8ac9cf4.0
  • /data/media/####/8f3c6926ce2bc948b5c13612a1e65a37.0
  • /data/media/####/92d4ec382c0993d2eb854a266f6cd834.0
  • /data/media/####/a2fee58755d6ef24bcc2e2d51f0620f5.0
  • /data/media/####/bf4c27f7a0fb98c3279368eb2b6c75b1.0
  • /data/media/####/cbf68d7decde98d2a8320866d4fe0bf9.0
  • /data/media/####/cde231f538effe71048a5ed7f85d11cb.0
  • /data/media/####/f8a766d1a5a45bd333ae724f20783c0b.0
  • /data/media/####/fb4edafc87074d70e1da65bc1a959f88.0
  • /data/media/####/journal.tmp
Другие:
Запускает следующие shell-скрипты:
  • chmod 755 <Package Folder>/.jiagu/libjiagu.so
Загружает динамические библиотеки:
  • RongIMLib
  • jpush215
  • libjiagu
  • neh
Использует следующие алгоритмы для шифрования данных:
  • AES-ECB-PKCS7Padding
  • DES-CBC-PKCS5Padding
Использует следующие алгоритмы для расшифровки данных:
  • AES-ECB-NoPadding
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации о настроках APN.
Осуществляет доступ к информации об установленных приложениях.
Осуществляет доступ к информации о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.

Рекомендации по лечению


Android

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке