ПОЛЬЗОВАТЕЛЯМ

Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Android.Packed.38143

Добавлен в вирусную базу Dr.Web: 2018-05-24

Описание добавлено:

Техническая информация

Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
  • Android.DownLoader.570.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
  • UDP(DNS) <Google DNS>
  • TCP(HTTP/1.1) a####.u####.com:80
  • TCP(HTTP/1.1) ts.k####.cn:80
  • TCP(HTTP/1.1) m####.k####.cn:80
  • TCP(HTTP/1.1) oc.u####.com:80
  • TCP(HTTP/1.1) c####.k####.cn.####.net:80
  • TCP(HTTP/1.1) as.e####.com:80
  • TCP v.m####.com:7701
  • TCP v.m####.com:7702
  • TCP v.m####.com:7703
Запросы DNS:
  • a####.u####.com
  • as.e####.com
  • c####.k####.cn
  • m####.k####.cn
  • oc.u####.com
  • ts.k####.cn
  • v.m####.com
Запросы HTTP GET:
  • as.e####.com/as?m=####&v=####&k=####&pkg=####&json=####
  • c####.k####.cn.####.net/tingshu/catIcon/1.png
  • c####.k####.cn.####.net/tingshu/catIcon/16.png
  • c####.k####.cn.####.net/tingshu/catIcon/2.png
  • c####.k####.cn.####.net/tingshu/catIcon/27.png
  • c####.k####.cn.####.net/tingshu/catIcon/44.png
  • c####.k####.cn.####.net/tingshu/catIcon/59.png
  • c####.k####.cn.####.net/tingshu/catIcon/8.png
  • c####.k####.cn.####.net/tingshu/catIcon/97.png
  • c####.k####.cn.####.net/tingshu/catIcon/98.png
  • c####.k####.cn.####.net/tingshu/img/13/100102113a.jpg
  • c####.k####.cn.####.net/tingshu/img/24/111624a.jpg
  • c####.k####.cn.####.net/tingshu/img/29/e5l1yq.jpg
  • c####.k####.cn.####.net/tingshu/img/3/100102803.jpg
  • c####.k####.cn.####.net/tingshu/img/30/100132030.jpg
  • c####.k####.cn.####.net/tingshu/img/40/100100540A.jpg
  • c####.k####.cn.####.net/tingshu/img/45/100103245a.jpg
  • c####.k####.cn.####.net/tingshu/img/46/100100146a.jpg
  • c####.k####.cn.####.net/tingshu/img/55/100136555.jpg
  • c####.k####.cn.####.net/tingshu/img/58/100112058.jpg
  • c####.k####.cn.####.net/tingshu/img/59/100100359.jpg
  • c####.k####.cn.####.net/tingshu/img/6/100000506s.jpg
  • c####.k####.cn.####.net/tingshu/img/72/100103172q.jpg
  • c####.k####.cn.####.net/tingshu/img/72/100130372.jpg
  • c####.k####.cn.####.net/tingshu/img/78/100129878.jpg
  • c####.k####.cn.####.net/tingshu/img/80/100100180.jpg
  • c####.k####.cn.####.net/tingshu/img/82/100102782.jpg
  • c####.k####.cn.####.net/tingshu/img/92/100103392.jpg
  • c####.k####.cn.####.net/tingshu/img/94/424794a.jpg
  • c####.k####.cn.####.net/tingshu/img/95/100103095.jpg
  • c####.k####.cn.####.net/tingshu/img/96/100136596.jpg
  • m####.k####.cn/mobi.s?f=####&q=XWGUx####
  • ts.k####.cn/service/gethome.php?act=####
  • ts.k####.cn/service/getlist.v31.php?act=####
  • ts.k####.cn/service/getlist.v31.php?act=####&pos=####
Запросы HTTP POST:
  • a####.u####.com/app_logs
  • oc.u####.com/check_config_update
Изменения в файловой системе:
Создает следующие файлы:
  • /data/data/####/.imprint
  • /data/data/####/.jg.ic
  • /data/data/####/23.xml
  • /data/data/####/23356507059351895.xml
  • /data/data/####/24356507059351895.xml
  • /data/data/####/25356507059351895.xml
  • /data/data/####/360.db-journal
  • /data/data/####/896382.jar
  • /data/data/####/Alvin2.xml
  • /data/data/####/AppStore.xml
  • /data/data/####/ContextData.xml
  • /data/data/####/da.jar
  • /data/data/####/fjgq.free.novle.nightlistenbook_preferences.xml
  • /data/data/####/fjgq.free.novle.nightlistenbook_preferences.xml.bak
  • /data/data/####/kw_tingshu.db-journal
  • /data/data/####/libjiagu.so
  • /data/data/####/mobclick_agent_online_setting_fjgq.free.novle.n...ok.xml
  • /data/data/####/umeng_general_config.xml
  • /data/data/####/umeng_it.cache
  • /data/data/####/umeng_message_state.xml
  • /data/data/####/uuid.xml
  • /data/data/####/webview.db-journal
  • /data/media/####/.nomedia
  • /data/media/####/.setting.dat
  • /data/media/####/104263205
  • /data/media/####/105010748
  • /data/media/####/1147985540
  • /data/media/####/1376978974
  • /data/media/####/1a06cj8k17lrbm1mun2jvprjx.tmp
  • /data/media/####/1kk2u9gcal44j6acaujta9ehp.tmp
  • /data/media/####/1nkoqr8gpd8e10e9oceo1x1x5.tmp
  • /data/media/####/1to707mxwublgnx0kdg7i8ygq.tmp
  • /data/media/####/2kjwoz1mukzvtii2w6xjb0hg.tmp
  • /data/media/####/2mkruxxtf8qd45ls79ywhs36p.tmp
  • /data/media/####/2su9re2l47awl8chbsu72c5h9.tmp
  • /data/media/####/2t4rwfo3l23vo7qqit9dlr77g.tmp
  • /data/media/####/2tin1s6pkgv5nis4davuy5q20.tmp
  • /data/media/####/2z16cq1oguw1d6jypkwi27tw7.tmp
  • /data/media/####/3d9g6dljim54tu0v3ann2lok9.tmp
  • /data/media/####/439o2atq69l2lfnbpq6a8vt8k.tmp
  • /data/media/####/43y31s3xe5og4vthpe3ml1ymz.tmp
  • /data/media/####/4g7uo03eu0ttgs8txs4xvfi5l.tmp
  • /data/media/####/4tul91sestf1swz47xd5rhfvp.tmp
  • /data/media/####/544d51un2rlhffrrvp6bkmgp7.tmp
  • /data/media/####/55dd56rf50y19kzqdco8yhlk1.tmp
  • /data/media/####/5br8k67j4wfphukx4umzn8js3.tmp
  • /data/media/####/5k20zryun0lmrawr0zekpyra6.tmp
  • /data/media/####/5tlx8yxjh9x7o536kgwd6hm68.tmp
  • /data/media/####/5vcg8gcj98ictuhqyvriyhgp9.tmp
  • /data/media/####/5yxpx2r7l7cuskl5oqdud5xc4.tmp
  • /data/media/####/611skgf6x9szbp5tql8zq5uay.tmp
  • /data/media/####/7e60m1t4hmkvrfid30q6be5w6.tmp
  • /data/media/####/7f4xenr8lztls85xpjetdoxm5.tmp
  • /data/media/####/Alvin2.xml
  • /data/media/####/ContextData.xml
  • /data/media/####/g1joosi29gcwy9eh5hwmkhe4.tmp
  • /data/media/####/j52s8mzi5cpfuisab6mq2bdv.tmp
  • /data/media/####/kef8365vdlfd2rvy4bi5orbe.tmp
  • /data/media/####/n9smm5cjht41ngc74g1qlxch.tmp
  • /data/media/####/test.aac
  • /data/media/####/x2wgpqoftbqjckjd11porjbv.tmp
Другие:
Запускает следующие shell-скрипты:
  • chmod 755 <Package Folder>/.jiagu/libjiagu.so
Загружает динамические библиотеки:
  • fg
  • libjiagu
  • okjbvcde345789oijhgfdr6
Использует следующие алгоритмы для шифрования данных:
  • AES-CBC-PKCS5Padding
Использует следующие алгоритмы для расшифровки данных:
  • AES-CBC-PKCS5Padding
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.

Рекомендации по лечению


Android

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке

Российский разработчик антивирусов Dr.Web с 1992 года
Dr.Web в Реестре Отечественного ПО
Dr.Web совместим с российскими ОС и оборудованием
Dr.Web пользуются в 200+ странах мира
Техническая поддержка 24х7х365 Рус | En

© «Доктор Веб»
2003 — 2022

«Доктор Веб» — российский производитель антивирусных средств защиты информации под маркой Dr.Web. Продукты Dr.Web разрабатываются с 1992 года.

125124, Россия, Москва, 3-я улица Ямского поля, д.2, корп.12А