Adware.Gexin.617

Техническая информация

Вредоносные функции:

Загружает на исполнение код следующих детектируемых угроз:

Adware.Gexin.2.origin

Сетевая активность:

Подключается к:

UDP(DNS) <Google DNS>
TCP(HTTP/1.1) c-h####.g####.com:80
TCP(HTTP/1.1) a.appj####.com:80
TCP(HTTP/1.1) 61.1####.246.70:86
TCP(HTTP/1.1) sdk.o####.p####.####.com:80
TCP(HTTP/1.1) sni.c####.q####.####.net:80
TCP c####.g####.ig####.com:5225
TCP sdk.o####.t####.####.com:5224

Запросы DNS:

7j####.c####.z0.####.com
a.appj####.com
c####.g####.ig####.com
c-h####.g####.com
c.sz.gt.####.com
sdk.c####.ig####.com
sdk.o####.p####.####.com
sdk.o####.t####.####.com
sdk.o####.t####.####.com
sdk.o####.t####.####.net

Запросы HTTP GET:

sni.c####.q####.####.net/config/hz-hzv3.conf
sni.c####.q####.####.net/tdata_SzD730
sni.c####.q####.####.net/tdata_ZCi456

Запросы HTTP POST:

a.appj####.com/ad-service/ad/mark
c-h####.g####.com/api.php?format=####&t=####
sdk.o####.p####.####.com/api.php?format=####&t=####

Изменения в файловой системе:

Создает следующие файлы:

/data/data/####/.jg.ic
/data/data/####/.log.lock
/data/data/####/.log.ls
/data/data/####/H5F174DCD.xml
/data/data/####/clientid_igexin.xml
/data/data/####/data_0
/data/data/####/data_1
/data/data/####/data_2
/data/data/####/data_3
/data/data/####/gdaemon_20161017
/data/data/####/index
/data/data/####/init.pid
/data/data/####/init_c1.pid
/data/data/####/jg_app_update_settings_random.xml
/data/data/####/libjiagu.so
/data/data/####/pdr.xml
/data/data/####/push.pid
/data/data/####/pushext.db-journal
/data/data/####/pushg.db-journal
/data/data/####/pushsdk.db-journal
/data/data/####/run.pid
/data/data/####/tdata_SzD730
/data/data/####/tdata_SzD730.jar
/data/data/####/tdata_ZCi456
/data/data/####/tdata_ZCi456.jar
/data/data/####/webview.db-journal
/data/data/####/webviewCookiesChromium.db-journal
/data/data/####/webviewCookiesChromiumPrivate.db-journal
/data/media/####/.nomedia
/data/media/####/0.gif
/data/media/####/0000000000000001.db-journal
/data/media/####/1.gif
/data/media/####/1.html
/data/media/####/10.gif
/data/media/####/100.gif
/data/media/####/101.gif
/data/media/####/102.gif
/data/media/####/103.gif
/data/media/####/104.gif
/data/media/####/105.gif
/data/media/####/106.gif
/data/media/####/107.gif
/data/media/####/108.gif
/data/media/####/109.gif
/data/media/####/11.gif
/data/media/####/110.gif
/data/media/####/111.gif
/data/media/####/112.gif
/data/media/####/113.gif
/data/media/####/114.gif
/data/media/####/115.gif
/data/media/####/116.gif
/data/media/####/117.gif
/data/media/####/118.gif
/data/media/####/119.gif
/data/media/####/12.gif
/data/media/####/120.gif
/data/media/####/121.gif
/data/media/####/122.gif
/data/media/####/123.gif
/data/media/####/124.gif
/data/media/####/125.gif
/data/media/####/126.gif
/data/media/####/127.gif
/data/media/####/128.gif
/data/media/####/129.gif
/data/media/####/13.gif
/data/media/####/130.gif
/data/media/####/131.gif
/data/media/####/132.gif
/data/media/####/133.gif
/data/media/####/134.gif
/data/media/####/14.gif
/data/media/####/15.gif
/data/media/####/16.gif
/data/media/####/17.gif
/data/media/####/18.gif
/data/media/####/19.gif
/data/media/####/2.gif
/data/media/####/2.html
/data/media/####/20.gif
/data/media/####/21.gif
/data/media/####/22.gif
/data/media/####/23.gif
/data/media/####/24.gif
/data/media/####/25.gif
/data/media/####/26.gif
/data/media/####/27.gif
/data/media/####/28.gif
/data/media/####/29.gif
/data/media/####/3.gif
/data/media/####/3.html
/data/media/####/30.gif
/data/media/####/31.gif
/data/media/####/32.gif
/data/media/####/33.gif
/data/media/####/34.gif
/data/media/####/35.gif
/data/media/####/36.gif
/data/media/####/37.gif
/data/media/####/38.gif
/data/media/####/39.gif
/data/media/####/4.gif
/data/media/####/40.gif
/data/media/####/41.gif
/data/media/####/42.gif
/data/media/####/43.gif
/data/media/####/44.gif
/data/media/####/45.gif
/data/media/####/46.gif
/data/media/####/47.gif
/data/media/####/48.gif
/data/media/####/49.gif
/data/media/####/5.gif
/data/media/####/50.gif
/data/media/####/51.gif
/data/media/####/52.gif
/data/media/####/53.gif
/data/media/####/54.gif
/data/media/####/55.gif
/data/media/####/56.gif
/data/media/####/57.gif
/data/media/####/58.gif
/data/media/####/59.gif
/data/media/####/6.gif
/data/media/####/60.gif
/data/media/####/61.gif
/data/media/####/62.gif
/data/media/####/63.gif
/data/media/####/64.gif
/data/media/####/65.gif
/data/media/####/66.gif
/data/media/####/67.gif
/data/media/####/68.gif
/data/media/####/69.gif
/data/media/####/7.gif
/data/media/####/70.gif
/data/media/####/71.gif
/data/media/####/72.gif
/data/media/####/73.gif
/data/media/####/74.gif
/data/media/####/75.gif
/data/media/####/76.gif
/data/media/####/77.gif
/data/media/####/78.gif
/data/media/####/79.gif
/data/media/####/8.gif
/data/media/####/80.gif
/data/media/####/81.gif
/data/media/####/82.gif
/data/media/####/83.gif
/data/media/####/84.gif
/data/media/####/85.gif
/data/media/####/86.gif
/data/media/####/87.gif
/data/media/####/88.gif
/data/media/####/89.gif
/data/media/####/9.gif
/data/media/####/90.gif
/data/media/####/91.gif
/data/media/####/92.gif
/data/media/####/93.gif
/data/media/####/94.gif
/data/media/####/95.gif
/data/media/####/96.gif
/data/media/####/97.gif
/data/media/####/98.gif
/data/media/####/99.gif
/data/media/####/Chart-1.0.1-beta.4.js
/data/media/####/Chart.js
/data/media/####/Chart.min.js
/data/media/####/Complete.js
/data/media/####/Databases.db-journal
/data/media/####/ForgetPassword.html
/data/media/####/LitJSON.dll
/data/media/####/Login.html
/data/media/####/Login.js
/data/media/####/ModEmp.html
/data/media/####/ModPhone.html
/data/media/####/ModPwd.html
/data/media/####/ModifyEmail.js
/data/media/####/ModifyPwd.js
/data/media/####/Person.js
/data/media/####/README.txt
/data/media/####/Report.js
/data/media/####/Scene.js
/data/media/####/SelectScene.html
/data/media/####/SelectScene.js
/data/media/####/User.html
/data/media/####/User.js
/data/media/####/align_left.gif
/data/media/####/align_right.gif
/data/media/####/align_top.gif
/data/media/####/anchor.gif
/data/media/####/anchor.js
/data/media/####/app.db
/data/media/####/app.js
/data/media/####/autoheight.js
/data/media/####/background.png
/data/media/####/baidumap.js
/data/media/####/banner_03.png
/data/media/####/bground_02.png
/data/media/####/blank.gif
/data/media/####/blue_03.png
/data/media/####/business1_03.png
/data/media/####/business2_03.png
/data/media/####/business3_03.png
/data/media/####/business4_03.png
/data/media/####/business5_03.png
/data/media/####/business6_03.png
/data/media/####/business7_03.png
/data/media/####/business8_03.png
/data/media/####/check.css
/data/media/####/check.html
/data/media/####/check.js
/data/media/####/checkMessageStatus.js
/data/media/####/checkMessageStatus2.js
/data/media/####/check_07.png
/data/media/####/check_blue.png
/data/media/####/check_green.png
/data/media/####/check_info.html
/data/media/####/check_red.png
/data/media/####/checkinfo.js
/data/media/####/chenge_03.png
/data/media/####/clearhtml.js
/data/media/####/code.js
/data/media/####/com.getui.sdk.deviceId.db
/data/media/####/com.igexin.sdk.deviceId.db
/data/media/####/common.css
/data/media/####/common.js
/data/media/####/complete.html
/data/media/####/completeOrDelay.html
/data/media/####/completeOrDelay.js
/data/media/####/componentStatus.js
/data/media/####/component_status.html
/data/media/####/danger_07.png
/data/media/####/date.css
/data/media/####/date.js
/data/media/####/default.css
/data/media/####/default.png
/data/media/####/delayTimeDate.js
/data/media/####/delete_03.png
/data/media/####/demo.aspx
/data/media/####/detection.html
/data/media/####/detection.js
/data/media/####/detection_info.html
/data/media/####/detection_info.js
/data/media/####/editor.gif
/data/media/####/emoticons.js
/data/media/####/ep_system36.apk
/data/media/####/faultAnalysis.html
/data/media/####/faultAnalysis.js
/data/media/####/faultAnalysis2.html
/data/media/####/faultAnalysis2.js
/data/media/####/faultDiagnosis.js
/data/media/####/faultDiagnosis2.js
/data/media/####/file-16.gif
/data/media/####/file-64.gif
/data/media/####/file__0.localstorage-journal
/data/media/####/file_manager_json.ashx
/data/media/####/filemanager.js
/data/media/####/flash.gif
/data/media/####/flash.js
/data/media/####/folder-16.gif
/data/media/####/folder-64.gif
/data/media/####/forget.css
/data/media/####/getEmp.js
/data/media/####/getToken.js
/data/media/####/go-up.gif
/data/media/####/green_03.png
/data/media/####/handover.html
/data/media/####/handover.js
/data/media/####/handover2.css
/data/media/####/handover2.html
/data/media/####/handover2info.html
/data/media/####/handover2info.js
/data/media/####/handover_homepage.js
/data/media/####/handover_homepg.css
/data/media/####/handover_homepg.html
/data/media/####/handover_homepg2.html
/data/media/####/handover_info.html
/data/media/####/handover_pg.js
/data/media/####/handover_pg2.js
/data/media/####/handoverinfo.js
/data/media/####/headBg_02.png
/data/media/####/home_03.png
/data/media/####/homepage.css
/data/media/####/homepage.html
/data/media/####/icon-ext.png
/data/media/####/icon.png
/data/media/####/iconfont-tianjia.png
/data/media/####/image.js
/data/media/####/image.png
/data/media/####/image_03.png
/data/media/####/img_06.png
/data/media/####/img_061.png
/data/media/####/index.html
/data/media/####/info.html
/data/media/####/insertfile.js
/data/media/####/io.dcloud.YiSen.db
/data/media/####/jiaojie.css
/data/media/####/jquery-1.11.1.js
/data/media/####/jquery-1.11.1.min.js
/data/media/####/jquery.js
/data/media/####/jquery.md5.js
/data/media/####/kindeditor-all-min.js
/data/media/####/kindeditor-min.js
/data/media/####/kindeditor.js
/data/media/####/laydate.css
/data/media/####/laydate.js
/data/media/####/layer.css
/data/media/####/layer.ext.css
/data/media/####/layer.ext.js
/data/media/####/layer.js
/data/media/####/less.js
/data/media/####/license.txt
/data/media/####/line.css
/data/media/####/lineChart.html
/data/media/####/lineChart.js
/data/media/####/lineheight.js
/data/media/####/link.js
/data/media/####/listinfo.js
/data/media/####/loading-0.gif
/data/media/####/loading-1.gif
/data/media/####/loading-2.gif
/data/media/####/loading.gif
/data/media/####/login.css
/data/media/####/logo_03.png
/data/media/####/mail.css
/data/media/####/mail.html
/data/media/####/maintain.html
/data/media/####/maintain.js
/data/media/####/maintain_info.html
/data/media/####/maintaininfo.js
/data/media/####/manage_03.png
/data/media/####/manageactive_03.png
/data/media/####/manifest.json
/data/media/####/map.html
/data/media/####/map.js
/data/media/####/media.gif
/data/media/####/media.js
/data/media/####/message.js
/data/media/####/message_info.html
/data/media/####/messageinfo.js
/data/media/####/messagemananger.html
/data/media/####/messages.html
/data/media/####/mobilesize.js
/data/media/####/modifyEmail.html
/data/media/####/modifyJob.html
/data/media/####/modifyMaintain.html
/data/media/####/modifyMaintain.js
/data/media/####/modifyRepair.html
/data/media/####/modifyRepair.js
/data/media/####/msgdetail.js
/data/media/####/mui.enterfocus.js
/data/media/####/mui.locker.js
/data/media/####/mui.min.css
/data/media/####/mui.min.js
/data/media/####/mui_push.js
/data/media/####/mui_push2.js
/data/media/####/multiimage.js
/data/media/####/nav.js
/data/media/####/navimg_03.png
/data/media/####/navimg_03_09.png
/data/media/####/navimg_06.png
/data/media/####/navimg_09.png
/data/media/####/navimg_09_03.png
/data/media/####/navimg_09_12.png
/data/media/####/navimgg_06.png
/data/media/####/newselect.css
/data/media/####/no_18.png
/data/media/####/noload.png
/data/media/####/off_13.png
/data/media/####/on_10.png
/data/media/####/orderTime.html
/data/media/####/orderTime.js
/data/media/####/orderTimeDate.js
/data/media/####/pagebreak.js
/data/media/####/photo_03.png
/data/media/####/plainpaste.js
/data/media/####/prettify.css
/data/media/####/prettify.js
/data/media/####/preview.js
/data/media/####/pullToRefresh.css
/data/media/####/push.png
/data/media/####/qihoo.png
/data/media/####/qq.css
/data/media/####/qq.png
/data/media/####/quickformat.js
/data/media/####/radius0.png
/data/media/####/radius1.png
/data/media/####/radius2.png
/data/media/####/radius3.png
/data/media/####/radius4.png
/data/media/####/radius5.png
/data/media/####/radius6.png
/data/media/####/red_03.png
/data/media/####/refresh.png
/data/media/####/repair.html
/data/media/####/repair.js
/data/media/####/repair_info.html
/data/media/####/repairinfo.js
/data/media/####/report.css
/data/media/####/report.html
/data/media/####/right_05.png
/data/media/####/right_07.png
/data/media/####/right_14.png
/data/media/####/right_ok.png
/data/media/####/rm.gif
/data/media/####/select-files-en.png
/data/media/####/select-files-zh_CN.png
/data/media/####/selectdate.css
/data/media/####/selectdate.html
/data/media/####/selectdate.js
/data/media/####/sendMaintain.html
/data/media/####/sendMaintain.js
/data/media/####/sendNewCheck.html
/data/media/####/sendNewCheck.js
/data/media/####/sendNewMaintain.html
/data/media/####/sendNewMaintain.js
/data/media/####/sendNewRepair.html
/data/media/####/sendNewRepair.js
/data/media/####/sendRepair.html
/data/media/####/sendRepair.js
/data/media/####/sendTask.html
/data/media/####/sendTask.js
/data/media/####/sendmessage.js
/data/media/####/sendmessages.html
/data/media/####/sentPushInfoTest.html
/data/media/####/shebeitu.jpg
/data/media/####/simple.css
/data/media/####/sinaweibo.png
/data/media/####/static.gif
/data/media/####/statistical.css
/data/media/####/statistical.html
/data/media/####/statistical.js
/data/media/####/statistical2.css
/data/media/####/statisticalCopy.css
/data/media/####/statisticalCopy.js
/data/media/####/style.css
/data/media/####/styles.css
/data/media/####/success.jpg
/data/media/####/swfupload.swf
/data/media/####/table.js
/data/media/####/table01.css
/data/media/####/task.html
/data/media/####/task.js
/data/media/####/task_info.html
/data/media/####/taskinfo.js
/data/media/####/tdata_SzD730
/data/media/####/tdata_ZCi456
/data/media/####/template.js
/data/media/####/test.log
/data/media/####/upload_json.ashx
/data/media/####/user-photo.png
/data/media/####/user_06_06.png
/data/media/####/verification.html
/data/media/####/verification.js
/data/media/####/verification_info.html
/data/media/####/verificationinfo.js
/data/media/####/weixin.png
/data/media/####/wordpaste.js
/data/media/####/workControl.html
/data/media/####/wrong_06.png
/data/media/####/yellow_06.png
/data/media/####/zh_CN.js

Другие:

Запускает следующие shell-скрипты:

<Package Folder>/files/gdaemon_20161017 0 <Package>/com.igexin.sdk.PushService 24431 300 0
chmod 700 <Package Folder>/files/gdaemon_20161017
chmod 755 <Package Folder>/.jiagu/libjiagu.so
sh <Package Folder>/files/gdaemon_20161017 0 <Package>/com.igexin.sdk.PushService 24431 300 0

Загружает динамические библиотеки:

getuiext2
libjiagu

Использует следующие алгоритмы для шифрования данных:

RSA-NONE-OAEPWithSHA1AndMGF1Padding

Использует специальную библиотеку для скрытия исполняемого байткода.

Осуществляет доступ к информации о телефоне (номер, imei и тд.).

Осуществляет доступ к информации об установленных приложениях.

Добавляет задания в системный планировщик.

Отрисовывает собственные окна поверх других приложений.

Технологии

Термины

Обучение и просвещение

Мифы

Техническая информация

Рекомендации по лечению

Демо бесплатно на 14 дней