Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Android.RemoteCode.747

Добавлен в вирусную базу Dr.Web: 2018-09-06

Описание добавлено:

Техническая информация

Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
  • Android.RemoteCode.41.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
  • UDP(DNS) <Google DNS>
  • TCP(HTTP/1.1) yua####.oss-cn-####.aliy####.com:80
  • TCP(HTTP/1.1) up####.sdk.jig####.cn:80
  • TCP(HTTP/1.1) aexcep####.b####.qq.com:8012
  • TCP(HTTP/1.1) p####.tc.qq.com:80
  • TCP(HTTP/1.1) and####.b####.qq.com:80
  • TCP(HTTP/1.1) y####.oss-cn-####.aliy####.com:80
  • TCP(HTTP/1.1) s####.e.qq.com:80
  • TCP(HTTP/1.1) 1####.25.82.88:8484
  • TCP(HTTP/1.1) mi.g####.qq.com:80
  • TCP(TLS/1.0) s####.j####.cn:443
  • TCP 1####.229.215.15:7005
  • UDP s.j####.cn:19000
Запросы DNS:
  • aexcep####.b####.qq.com
  • and####.b####.qq.com
  • imgc####.qq.com
  • mi.g####.qq.com
  • s####.e.qq.com
  • s####.j####.cn
  • s.j####.cn
  • sis.j####.io
  • up####.sdk.jig####.cn
  • y####.oss-cn-####.aliy####.com
  • yua####.oss-cn-####.aliy####.com
Запросы HTTP GET:
  • mi.g####.qq.com/gdt_mview.fcg?posw=####&posh=####&count=####&r=####&data...
  • p####.tc.qq.com/qzone/biz/gdt/mod/android/AndroidAllInOne/proguard/his/r...
  • y####.oss-cn-####.aliy####.com/image/iconTomcat.png
  • yua####.oss-cn-####.aliy####.com/newsData/news/photo/1513218597217.jpg
  • yua####.oss-cn-####.aliy####.com/newsData/news/photo/1516351743704.jpg
  • yua####.oss-cn-####.aliy####.com/newsData/news/photo/1516589897970.jpg
  • yua####.oss-cn-####.aliy####.com/newsData/news/photo/1517196567392.jpg
  • yua####.oss-cn-####.aliy####.com/newsData/news/photo/1520588127425.jpg
  • yua####.oss-cn-####.aliy####.com/newsData/news/photo/1521617662733.jpg
  • yua####.oss-cn-####.aliy####.com/newsData/news/photo/1521787433054.jpg
  • yua####.oss-cn-####.aliy####.com/newsData/news/photo/1523614881451.jpg
  • yua####.oss-cn-####.aliy####.com/newsData/news/photo/1523615099939.jpg
  • yua####.oss-cn-####.aliy####.com/newsData/news/photo/1523863021755.jpg
  • yua####.oss-cn-####.aliy####.com/newsData/news/photo/1523863735656.jpg
  • yua####.oss-cn-####.aliy####.com/newsData/news/photo/1536073684337.jpeg
  • yua####.oss-cn-####.aliy####.com/newsData/news/photo/1536077915252.jpg
  • yua####.oss-cn-####.aliy####.com/newsData/news/photo/1536077915408.jpg
  • yua####.oss-cn-####.aliy####.com/newsData/news/photo/1536077915554.jpg
  • yua####.oss-cn-####.aliy####.com/newsData/news/photo/1536077978842.jpeg
  • yua####.oss-cn-####.aliy####.com/newsData/news/photo/1536078022149.jpeg
  • yua####.oss-cn-####.aliy####.com/newsData/news/photo/1536078022239.jpeg
  • yua####.oss-cn-####.aliy####.com/newsData/news/photo/1536078022385.jpeg
  • yua####.oss-cn-####.aliy####.com/newsData/news/photo/1536104446402.jpg
  • yua####.oss-cn-####.aliy####.com/newsData/news/photo/1536104446562.jpeg
  • yua####.oss-cn-####.aliy####.com/newsData/news/photo/1536104446713.jpeg
  • yua####.oss-cn-####.aliy####.com/userData/user/image/1535163555076.jpeg
  • yua####.oss-cn-####.aliy####.com/userData/user/image/1535634655372.jpg
  • yua####.oss-cn-####.aliy####.com/userData/user/image/1535810162904.jpeg
Запросы HTTP POST:
  • aexcep####.b####.qq.com:8012/rqd/async
  • and####.b####.qq.com/rqd/async
  • s####.e.qq.com/activate
  • s####.e.qq.com/msg
  • up####.sdk.jig####.cn/v1/push/sdk/postlist
Изменения в файловой системе:
Создает следующие файлы:
  • /data/data/####/056b83bf70bdc4d635b02ccb29cfecefc23ae1046883faf....0.tmp
  • /data/data/####/06997a139e33230093acd66017cd6b94db57261bb407c53....0.tmp
  • /data/data/####/0bf91add1af5be3058c9abeae0941316a106e37d9e603f6....0.tmp
  • /data/data/####/0ebcdcc970fceb27c1c61ec0f78871827badf950b78c854....0.tmp
  • /data/data/####/15aa8a0cc668e1d8788b1515c5af0f9b2073eab83c99772....0.tmp
  • /data/data/####/18ab052e1801cf205c84b77a64b838a29af27bcd3564d41....0.tmp
  • /data/data/####/1c0bae9a5a33ea37df24eb7423bdae38fcf45a994f1d011....0.tmp
  • /data/data/####/247a3b0b6d5f0ad8c7dc80b64713105097d388382a236cf....0.tmp
  • /data/data/####/2db725400410d11956ac8fff4cfc863d55d4c867ef5b4ee....0.tmp
  • /data/data/####/33d6266854ee38a8ac5c9855876af929f29d9d35e383bc1....0.tmp
  • /data/data/####/3c66df40f4898fe147fd404c39d4623ef6d492f0a1e4d24....0.tmp
  • /data/data/####/3e7608e142aa57c46e05b6ab6bb85e2309dff538171d07c....0.tmp
  • /data/data/####/421e6e4f7d65f2923c86e9d67ed34a72c33850e096977f3....0.tmp
  • /data/data/####/42332e850495b98b2b69547e048d9a6c45bd1a20b5ba3e1....0.tmp
  • /data/data/####/42420e84a71d39962be463d21d958650086b7ba0c793376....0.tmp
  • /data/data/####/48b111a2db1101ad5686616cda255f6aa63d67eef587159....0.tmp
  • /data/data/####/4c863a59581e93bbee5b356f089251074888ba621739c12....0.tmp
  • /data/data/####/510c83899b965e56354f40168229dc8a6217268e399d802....0.tmp
  • /data/data/####/56d5e2a903077e2cdf21ead20048b3909841bdfa1d24243....0.tmp
  • /data/data/####/56eecf0b8aaa37afe57366adfeb67033e61442502250cce....0.tmp
  • /data/data/####/583ec0bc51b04aa69790720cd04d31b6aa288e9d401ceeb....0.tmp
  • /data/data/####/5a75ee45919052147726d40452aea3e67e875d1df8d7e3a....0.tmp
  • /data/data/####/5f500077eaa72bca6d96ea5551c8f6e7162853c0dd0b8a9....0.tmp
  • /data/data/####/6193f98e76186050fb5f0d728e2e881618734d069922eaa....0.tmp
  • /data/data/####/626c2945c8ae84f74cf19bc3ec39883f5fd8f66387ac430....0.tmp
  • /data/data/####/628df7d090a636414b5d4fbbfc38045bcd3d427aba35588....0.tmp
  • /data/data/####/707fbccaa2d651eeb0102ea9a1b43d2de1e393165c4f5fe....0.tmp
  • /data/data/####/76134d488bab0b6aa3e508baec1900c5cd7af01210e7d38....0.tmp
  • /data/data/####/7f92c3edd6ad23f23ed74ab1897680d4c7861a876b541ae....0.tmp
  • /data/data/####/81eec3f0ab837a484a5aeb6ec984f27cd95a8cd58bea964....0.tmp
  • /data/data/####/86c6d296cc1fbfd43983ca8d997e436f9367e98ba0ddccb....0.tmp
  • /data/data/####/8ccceefb4c6ae6b3bf04fd8a867b2337580d8329dfd80c5....0.tmp
  • /data/data/####/96864cfe7bf78391e7320b1e18331872b0bcdfc975760a5....0.tmp
  • /data/data/####/BuglySdkInfos.xml
  • /data/data/####/GDTSDK.db
  • /data/data/####/GDTSDK.db-journal
  • /data/data/####/JPushSA_Config.xml
  • /data/data/####/a5cd38f0d5b647611b13567ff35ccb7d4c411105fb6fa85....0.tmp
  • /data/data/####/a62aebbaee002846e79e68525d1e90aad867eef2eb01238....0.tmp
  • /data/data/####/a66b6e9c504707371889338e07aab4400b68780d6a18d73....0.tmp
  • /data/data/####/aee9bca2a0aced7a277c853b344f2eb1b40bf70b731f577....0.tmp
  • /data/data/####/appPackageNames_v2
  • /data/data/####/b003288174355436365608af6beb74c9bc7cc3254d1a79f....0.tmp
  • /data/data/####/b0797d1af7a14e56bb1a949e711c03f92ed463d70ada4f0....0.tmp
  • /data/data/####/b1a33b80d11d3501c428f890e4a1e7c177fce5af48f6284....0.tmp
  • /data/data/####/b3cdc8fc5eb48d58ab936293e3979718e76e3f662b2d5d9....0.tmp
  • /data/data/####/bugly_db_legu-journal
  • /data/data/####/c1e6683699dcd38246c44830991819f40154176637175ea....0.tmp
  • /data/data/####/c27253f40a01d70c8c03271a8f3706118f260778558a120....0.tmp
  • /data/data/####/c8690e2c2091935ccb338083c673635e7ce908b648b235d....0.tmp
  • /data/data/####/cee5c84243f9fa9557c71a83694bfc2bb2f3cc6c10217ed....0.tmp
  • /data/data/####/cn.jpush.android.user.profile.xml
  • /data/data/####/cn.jpush.preferences.v2.rid.xml
  • /data/data/####/cn.jpush.preferences.v2.xml
  • /data/data/####/d95cbb29f09e16c0ccfbf6f72ba5c336b93c6c267369de9....0.tmp
  • /data/data/####/data_0
  • /data/data/####/data_1
  • /data/data/####/data_2
  • /data/data/####/data_3
  • /data/data/####/dd9e21477b7face3bcc868b9dc57a3135569babdb134990....0.tmp
  • /data/data/####/devCloudSetting.cfg
  • /data/data/####/devCloudSetting.sig
  • /data/data/####/e4f5140e97a5e8ec8e9b068d19df580317a34bd8f66bccf....0.tmp
  • /data/data/####/ebb3aa61d8824fd0bdb97e00f2ad614b9a209a62c0ff455....0.tmp
  • /data/data/####/f0a2cc66a725a653de7d3db6a3b74621aa77c87713e1a03....0.tmp
  • /data/data/####/f20efbaebe59fd4d9e22d45f58ed5f2cb35c894514558b7....0.tmp
  • /data/data/####/f_000001
  • /data/data/####/f_000002
  • /data/data/####/f_000003
  • /data/data/####/fadb8c7bc0a409d76d06d5e75651fc2f8e0695f348e31ca....0.tmp
  • /data/data/####/ffb25ef71f358642141ef252cd2a82425273ed49e748a9c....0.tmp
  • /data/data/####/finalsjb.xml
  • /data/data/####/finalspz.xml
  • /data/data/####/gdt_plugin.jar
  • /data/data/####/gdt_plugin.jar.sig
  • /data/data/####/gdt_plugin.tmp
  • /data/data/####/gdt_plugin.tmp.sig
  • /data/data/####/gdt_suid
  • /data/data/####/index
  • /data/data/####/journal.tmp
  • /data/data/####/jpush_device_info.xml
  • /data/data/####/jpush_local_notification.db
  • /data/data/####/jpush_local_notification.db-journal
  • /data/data/####/jpush_local_notification.db-wal
  • /data/data/####/jpush_stat_cache.json
  • /data/data/####/jpush_stat_cache_history.json
  • /data/data/####/jpush_statistics.db
  • /data/data/####/jpush_statistics.db-journal
  • /data/data/####/jpush_statistics.db-shm (deleted)
  • /data/data/####/jpush_statistics.db-wal
  • /data/data/####/libnfix.so
  • /data/data/####/libshella-2.9.0.2.so
  • /data/data/####/libufix.so
  • /data/data/####/local_crash_lock
  • /data/data/####/mix.dex
  • /data/data/####/native_record_lock
  • /data/data/####/sdkCloudSetting.cfg
  • /data/data/####/sdkCloudSetting.sig
  • /data/data/####/security_info
  • /data/data/####/share_data.xml
  • /data/data/####/ua.db
  • /data/data/####/ua.db-journal
  • /data/data/####/umeng_general_config.xml
  • /data/data/####/update_lc
  • /data/data/####/wakeup_cache.json
  • /data/data/####/webview.db-journal
  • /data/data/####/webviewCookiesChromium.db-journal
  • /data/data/####/webviewCookiesChromium.db-journal (deleted)
  • /data/media/####/.push_deviceid
Другие:
Запускает следующие shell-скрипты:
  • /system/bin/sh -c getprop ro.aa.romver
  • /system/bin/sh -c getprop ro.board.platform
  • /system/bin/sh -c getprop ro.build.fingerprint
  • /system/bin/sh -c getprop ro.build.nubia.rom.name
  • /system/bin/sh -c getprop ro.build.rom.id
  • /system/bin/sh -c getprop ro.build.tyd.kbstyle_version
  • /system/bin/sh -c getprop ro.build.version.emui
  • /system/bin/sh -c getprop ro.build.version.opporom
  • /system/bin/sh -c getprop ro.gn.gnromvernumber
  • /system/bin/sh -c getprop ro.lenovo.series
  • /system/bin/sh -c getprop ro.lewa.version
  • /system/bin/sh -c getprop ro.meizu.product.model
  • /system/bin/sh -c getprop ro.miui.ui.version.name
  • /system/bin/sh -c getprop ro.vivo.os.build.display.id
  • /system/bin/sh -c type su
  • chmod 700 <Package Folder>/tx_shell/libnfix.so
  • chmod 700 <Package Folder>/tx_shell/libshella-2.9.0.2.so
  • chmod 700 <Package Folder>/tx_shell/libufix.so
  • getprop ro.aa.romver
  • getprop ro.board.platform
  • getprop ro.build.fingerprint
  • getprop ro.build.nubia.rom.name
  • getprop ro.build.rom.id
  • getprop ro.build.tyd.kbstyle_version
  • getprop ro.build.version.emui
  • getprop ro.build.version.opporom
  • getprop ro.gn.gnromvernumber
  • getprop ro.lenovo.series
  • getprop ro.lewa.version
  • getprop ro.meizu.product.model
  • getprop ro.miui.ui.version.name
  • getprop ro.vivo.os.build.display.id
  • getprop ro.yunos.version
  • logcat -d -v threadtime
Загружает динамические библиотеки:
  • Bugly
  • jcore119
  • libnfix
  • libshella-2.9.0.2
  • libufix
  • nfix
  • ufix
Использует следующие алгоритмы для шифрования данных:
  • AES-CBC-PKCS7Padding
  • AES-ECB-PKCS7Padding
  • AES-GCM-NoPadding
  • RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
  • AES-ECB-NoPadding
  • AES-ECB-PKCS7Padding
  • AES-GCM-NoPadding
  • RSA-ECB-PKCS1Padding
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.

Рекомендации по лечению


Android

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке