ПОЛЬЗОВАТЕЛЯМ

Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Android.Packed.39278

Добавлен в вирусную базу Dr.Web: 2018-08-29

Описание добавлено:

Техническая информация

Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
  • Android.DownLoader.743.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
  • UDP(DNS) <Google DNS>
  • TCP(HTTP/1.0) pis.al####.com:80
  • TCP(HTTP/1.1) a####.u####.com:80
  • TCP(HTTP/1.1) statson####.pu####.b####.com:80
  • TCP(HTTP/1.1) api.tui####.b####.com:80
  • TCP(HTTP/1.1) pus.al####.com:80
  • TCP(HTTP/1.1) av####.bbs.du####.com:80
  • TCP(HTTP/1.1) att.bbs.du####.com:80
  • TCP(HTTP/1.1) 1####.76.224.67:80
  • TCP(HTTP/1.1) m####.h####.com:80
  • TCP(HTTP/1.1) pss.al####.com:80
  • TCP(HTTP/1.1) ti####.c####.l####.####.com:80
  • TCP(HTTP/1.1) bbs.du####.com:80
  • TCP(TLS/1.0) co####.h####.com:443
  • TCP(TLS/1.0) pns.al####.com:443
  • TCP(TLS/1.0) l####.4####.top:443
  • TCP sa.tui####.b####.com:5287
Запросы DNS:
  • a####.u####.com
  • api.tui####.b####.com
  • att.bbs.du####.com
  • av####.bbs.du####.com
  • bbs.du####.com
  • cdn.app.h####.top
  • co####.h####.com
  • l####.4####.top
  • m####.h####.com
  • pis.al####.com
  • pns.al####.com
  • pss.al####.com
  • pus.al####.com
  • sa.tui####.b####.com
  • statson####.pu####.b####.com
Запросы HTTP GET:
  • att.bbs.du####.com/forum/201512/24/111453tvzczvv7u6osta56.jpg
  • att.bbs.du####.com/forum/201601/26/113440z1myu3h6qhfeu31l.jpg
  • att.bbs.du####.com/forum/201601/26/113554vd6vmw3mu6tztova.jpg
  • att.bbs.du####.com/forum/201601/26/113555bcv7vqza6b116t6v.jpg
  • att.bbs.du####.com/forum/201601/26/113555cbhcckz0bj99h60b.jpg
  • att.bbs.du####.com/forum/201601/26/11355603q0i135z3xrt13y.jpg
  • att.bbs.du####.com/forum/201601/26/113556fisq7m1idzgdy0sm.jpg
  • att.bbs.du####.com/forum/201601/26/113556jjzjdrcyn1tc14ij.jpg
  • att.bbs.du####.com/forum/201601/26/113556osib2ofjjor0ejr0.jpg
  • att.bbs.du####.com/forum/201601/26/113556syjtcpy8up0lgjkg.jpg
  • att.bbs.du####.com/forum/201609/22/1114053l3s94xwq23t77tl.png
  • att.bbs.du####.com/forum/201701/12/145602md00ztii94ya4bmy.png
  • att.bbs.du####.com/forum/201804/18/165911vhwbhl25exibdoar.png
  • att.bbs.du####.com/forum/201804/18/1659125aoodgb6uy8dr9q9.png
  • att.bbs.du####.com/forum/201804/18/171624bwnz6mnyjntnnlwj.png
  • att.bbs.du####.com/forum/201804/18/1716254t4latpcr4r3apmf.png
  • att.bbs.du####.com/forum/201804/18/171626x76aj27ogg88pgp7.png
  • att.bbs.du####.com/forum/201804/18/171718tlvtgcnevvvvtafw.png
  • att.bbs.du####.com/forum/201808/29/1157571kfo5bsyyhsbfyes.jpg.thumb.jpg
  • att.bbs.du####.com/forum/201808/29/120656ahdldya6lbs6a1l6.jpg.thumb.jpg
  • att.bbs.du####.com/forum/201808/29/1231457997hcsc9nshhmi7.png.thumb.jpg
  • att.bbs.du####.com/forum/201808/29/123145h8ipi7n88qbt7oz8.jpg.thumb.jpg
  • av####.bbs.du####.com/002/22/98/02_avatar_middle.jpg
  • av####.bbs.du####.com/045/35/99/80_avatar_middle.jpg
  • av####.bbs.du####.com/062/20/82/27_avatar_middle.jpg
  • av####.bbs.du####.com/065/61/01/02_avatar_middle.jpg
  • bbs.du####.com/api/mobile/?module=####&version=####
  • bbs.du####.com/api/mobile/?module=####&version=####&fid=####&page=####
  • bbs.du####.com/api/mobile/?module=####&version=####&page=####&pid=####&t...
  • bbs.du####.com/api/mobile/?module=####&version=####&parsesmile=####&page...
  • bbs.du####.com/api/mobile/?module=####&version=####&platform=####&user_i...
  • bbs.du####.com/api/mobile/?module=####&version=####&type=####
  • pus.al####.com/kernal/sdkcontrol/vod_android-mobile_x86_9.1.1.1220.jpg
  • ti####.c####.l####.####.com/swenjian/321
  • ti####.c####.l####.####.com/swenjian/321m
Запросы HTTP POST:
  • a####.u####.com/app_logs
  • api.tui####.b####.com/rest/2.0/channel/4567579735370535013
  • api.tui####.b####.com/rest/2.0/channel/channel
  • m####.h####.com/c.gif?act=####&smkdata=####&EC=####&appkey=####&item=###...
  • pis.al####.com/p/pcdn/i.php?v=####
  • pss.al####.com/iku/log/acc
  • pss.al####.com/iku/log/acc?ver=####&flag=####&t=####&mytype=####
  • statson####.pu####.b####.com/pushlog_special
Изменения в файловой системе:
Создает следующие файлы:
  • /data/data/####/-1018741680-1706253920
  • /data/data/####/.imprint
  • /data/data/####/.jg.ic
  • /data/data/####/1648260290-688031431
  • /data/data/####/1962680822663747630
  • /data/data/####/1962680822663747690
  • /data/data/####/5DB7VH3SgHOkuw9ljBoZwDeugiU.-1154684251.tmp
  • /data/data/####/68JgkbpU-vKMio8ppNzbNvsW9aQ.-929079035.tmp
  • /data/data/####/70fBEWauWRj9F95sBd2YVqb1sH0.1195723905.tmp
  • /data/data/####/8ulj-GBQ_1iNUwDs1KnK4nEvUhM.18975474.tmp
  • /data/data/####/97619233100346066
  • /data/data/####/AJ8twnIA2GZiUv5osIgBcWxyHAw.985009710.tmp
  • /data/data/####/Atid.jar
  • /data/data/####/Atid.xml
  • /data/data/####/B1hiRDZEpHJgUkXN0ak--DyalUM.-2146253856.tmp
  • /data/data/####/DmYO4DDNpgQ5Ub-YOIV61C8cXrI.784735394.tmp
  • /data/data/####/GZUxuTfndF8tyYXijhtTbm9s75A.-924480747.tmp
  • /data/data/####/G_dytg7DxeOJBsZLvXD7Hk7BQFo.1605666336.tmp
  • /data/data/####/GneVVaMSZgPzSE4BTA1PTEYwrfs.-367449616.tmp
  • /data/data/####/Q-TArS8dbleB5n_x9CFagvM0skA.662202677.tmp
  • /data/data/####/Rqbb.xml
  • /data/data/####/RwQJSSdxsyirZLuL0lCtEscpzE8.-2047127490.tmp
  • /data/data/####/SUBOXLOG_
  • /data/data/####/Wql9Rwhyqxxm7uSnvGxszn2iTxw.-1448776472.tmp
  • /data/data/####/acc1M8ydclJKngvObTjj5qRg5os.-1776562453.tmp
  • /data/data/####/b23448f7-0838-44c3-adc6-093f532c38cf
  • /data/data/####/bbs_preferences.xml
  • /data/data/####/bindcache.xml
  • /data/data/####/bzwn.db-journal
  • /data/data/####/comment_edit.xml
  • /data/data/####/cwjipjcpiwquhocw.qpcwpijachuwq.abcbwoiuusucwa.p...nc.xml
  • /data/data/####/cwjipjcpiwquhocw.qpcwpijachuwq.abcbwoiuusucwa.s...nc.xml
  • /data/data/####/e5BLAw2rEu6SqG984hbP-J_jWY0.-199829154.tmp
  • /data/data/####/ebn.xml
  • /data/data/####/enl08XonWBkPzpjNpz2Os4Uh53g.557521496.tmp
  • /data/data/####/exchangeIdentity.json
  • /data/data/####/f49mPXyz9tj5f02FqpsFxCfm98k.1965609022.tmp
  • /data/data/####/faaf3249-2232-4f87-96dc-90322267d480.jar
  • /data/data/####/hd_default_pref.xml
  • /data/data/####/hd_default_pref_-1012577297.xml
  • /data/data/####/hd_default_pref_-293060976.xml
  • /data/data/####/hdcltid.xml
  • /data/data/####/hdcommon_config_cache_pref.xml
  • /data/data/####/hdcommon_config_cache_pref_-1012577297.xml
  • /data/data/####/hdcommon_config_cache_pref_-293060976.xml
  • /data/data/####/hdid.bck
  • /data/data/####/hdid_v2
  • /data/data/####/hdstatis_cache_c27515f9
  • /data/data/####/itNHRWHh05y3bfsCodx2CRLa7dM.1936064219.tmp
  • /data/data/####/libjiagu.so
  • /data/data/####/libpcdn_acc.zip
  • /data/data/####/libpcdn_acc_new.so
  • /data/data/####/mobclick_agent_cached_cwjipjcpiwquhocw.qpcwpija...cwa298
  • /data/data/####/n4OkiynykjK2Y1dCb05k-tw29Dk.518042531.tmp
  • /data/data/####/pcdnconfigs.xml
  • /data/data/####/pcdnconfigs.xml.bak
  • /data/data/####/pst.xml
  • /data/data/####/pushstat_4.6.0.db
  • /data/data/####/pushstat_4.6.0.db-journal
  • /data/data/####/r1N1WMvV_gQM7MuQJVnkho0ilRU.2088744452.tmp
  • /data/data/####/tIBFDe1CbwLmQzuXmiSj-2rpAaA.1209249324.tmp
  • /data/data/####/umeng_general_config.xml
  • /data/data/####/umeng_it.cache
  • /data/data/####/uwNUS31xC_bXFgNl7znI4a5mxuo.1830644633.tmp
  • /data/data/####/vDxFnqplmdCwWAPrlBNjIvdV-eQ.-994903471.tmp
  • /data/data/####/vLR7zhbDwfSHi5SCMxJAVEOWYMU.-1646574980.tmp
  • /data/data/####/w82aQoYWoI9PLUFcklbCELEMWL0.-1186498319.tmp
  • /data/data/####/webview.db-journal
  • /data/data/####/webviewCookiesChromium.db-journal
  • /data/data/####/webviewCookiesChromiumPrivate.db-journal
  • /data/media/####/.cuid
  • /data/media/####/.nomedia
  • /data/media/####/Device
  • /data/media/####/Device_v2
  • /data/media/####/Global
  • /data/media/####/apps
  • /data/media/####/hdcltid.ini
  • /data/media/####/hdstatis_20180829.log
  • /data/media/####/myself.dat
  • /data/media/####/pushlappv2.db
  • /data/media/####/pushlappv2.db-journal
Другие:
Запускает следующие shell-скрипты:
  • chmod 755 <Package Folder>/.jiagu/libjiagu.so
  • ps
Загружает динамические библиотеки:
  • bdpush_V2_5
  • bitmaps
  • hiidostatisjni
  • libjiagu
  • libpcdn_acc
  • memchunk
  • pcdn_acc
Использует следующие алгоритмы для шифрования данных:
  • AES-CBC-NoPadding
  • AES-CBC-PKCS5Padding
  • DES
  • RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
  • AES-CBC-PKCS5Padding
  • DES
  • RSA-ECB-PKCS1Padding
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Осуществляет доступ к информации о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.

Рекомендации по лечению


Android

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке

Российский разработчик антивирусов Dr.Web с 1992 года
Dr.Web в Реестре Отечественного ПО
Dr.Web совместим с российскими ОС и оборудованием
Dr.Web пользуются в 200+ странах мира
Техническая поддержка 24х7х365 Рус | En

Dr.Web © «Доктор Веб»
2003 — 2022

«Доктор Веб» — российский производитель антивирусных средств защиты информации под маркой Dr.Web. Продукты Dr.Web разрабатываются с 1992 года.

125124, Россия, Москва, 3-я улица Ямского поля, д.2, корп.12А