Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Adware.Gexin.2.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) c-h####.g####.com:80
- TCP(HTTP/1.1) st####.dc####.net.cn:80
- TCP(HTTP/1.1) wb.110.ta####.com:80
- TCP(HTTP/1.1) zhg.ali####.com:80
- TCP(HTTP/1.1) t####.c####.q####.####.com:80
- TCP(HTTP/1.1) gd3.al####.com:80
- TCP(HTTP/1.1) ad####.m.ta####.com:80
- TCP(HTTP/1.1) app.huishen####.xyz:80
- TCP(HTTP/1.1) sdk.o####.p####.####.com:80
- TCP(HTTP/1.1) wild####.al####.com.####.net:80
- TCP(HTTP/1.1) ada####.m.ta####.com:80
- TCP(TLS/1.0) nbsdk-b####.al####.com:443
- TCP(TLS/1.0) gd3.al####.com:443
- TCP(TLS/1.0) wild####.al####.com.####.net:443
- TCP c####.g####.ig####.com:5225
- TCP sdk.o####.t####.####.com:5224
Запросы DNS:
- 7j####.c####.z0.####.com
- ad####.m.ta####.com
- ada####.m.ta####.com
- app.huishen####.xyz
- c####.g####.ig####.com
- c-h####.g####.com
- gd1.al####.com
- gd3.al####.com
- gd4.al####.com
- img.al####.com
- nbsdk-b####.al####.com
- pub-####.qin####.com
- sdk.c####.ig####.com
- sdk.o####.p####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.net
- st####.dc####.net.cn
- wb.110.ta####.com
- y####.al####.com
Запросы HTTP GET:
- ad####.m.ta####.com/rest/gc2?ak=####&av=####&c=####&d=####&sv=####&t=###...
- app.huishen####.xyz/api/gather/gather/goods_lists?cid=####&page=####
- app.huishen####.xyz/api/gather/gather/goods_lists?type=####&page=####
- app.huishen####.xyz/api/gather/gather/goods_lists?type=####&price=####&s...
- app.huishen####.xyz/api/gather/gather/goods_lists?type=####&qiang_start=...
- app.huishen####.xyz/api/gather/gather/hot
- app.huishen####.xyz/api/home/activity/read
- app.huishen####.xyz/api/home/slides/1
- app.huishen####.xyz/api/home/slides/3
- app.huishen####.xyz/api/portal/lists/getCategoryPostLists?cid=####
- app.huishen####.xyz/upload/admin/20180630/93755f0f7f273dc836f12793e39d33...
- app.huishen####.xyz/upload/admin/20180630/d89d39475610cba5db304e2094b119...
- app.huishen####.xyz/upload/admin/20180705/13c7b12c0fe001ba0f754bef2d2ec0...
- gd3.al####.com/imgextra/i1/2130323028/TB25lddmWmWBuNjy1XaXXXCbXXa_!!2130...
- gd3.al####.com/imgextra/i3/2246410394/TB26qgYfamWBuNjy1XaXXXCbXXa_!!2246...
- gd3.al####.com/imgextra/i4/1594539670/TB2aZlEnCYTBKNjSZKbXXXJ8pXa_!!1594...
- gd3.al####.com/imgextra/i7/TB1VjttqVuWBuNjSspnYXF1NVXa_M2.SS2
- t####.c####.q####.####.com/tdata_EDT356
- t####.c####.q####.####.com/tdata_Soq141
- t####.c####.q####.####.com/tdata_vxj811
- wild####.al####.com.####.net/bao/uploaded/i2/708148770/TB20u2IcjZnyKJjSZ...
- wild####.al####.com.####.net/imgextra/i1/1715165947/TB28Js3vAomBKNjSZFqX...
- wild####.al####.com.####.net/imgextra/i1/1961713766/TB2JyhoiStYBeNjSspkX...
- wild####.al####.com.####.net/imgextra/i1/2086880461/TB1l2LJl8mWBuNkSndVX...
- wild####.al####.com.####.net/imgextra/i1/2340975214/TB2fVwFEf1TBuNjy0FjX...
- wild####.al####.com.####.net/imgextra/i1/2455089067/TB2pwTotYSYBuNjSspfX...
- wild####.al####.com.####.net/imgextra/i1/2529923709/TB2rKe8e0HO8KJjSZFtX...
- wild####.al####.com.####.net/imgextra/i1/2560103286/TB21P_QkVXXXXcQXXXXX...
- wild####.al####.com.####.net/imgextra/i1/2561728178/O1CN012AHZTu5intpHiX...
- wild####.al####.com.####.net/imgextra/i1/2577210520/TB1hlZeH41YBuNjy1zcX...
- wild####.al####.com.####.net/imgextra/i1/2658765830/TB2bbSJj1uSBuNjy1XcX...
- wild####.al####.com.####.net/imgextra/i1/3852320469/TB2qT7Md5QnBKNjSZFmX...
- wild####.al####.com.####.net/imgextra/i1/686259717/TB2N5MHDf5TBuNjSspmXX...
- wild####.al####.com.####.net/imgextra/i1/688699661/TB26CfHxfiSBuNkSnhJXX...
- wild####.al####.com.####.net/imgextra/i1/695320823/O1CN011HwyPuvbOUxgO9a...
- wild####.al####.com.####.net/imgextra/i1/715470002/O1CN011BsxEsmJFPOR8Ky...
- wild####.al####.com.####.net/imgextra/i2/1823294231/TB2RyZ5bTmWBKNjSZFBX...
- wild####.al####.com.####.net/imgextra/i2/2063676422/TB2j2MJofImBKNjSZFlX...
- wild####.al####.com.####.net/imgextra/i2/2136254517/TB2PkYXrQCWBuNjy0FaX...
- wild####.al####.com.####.net/imgextra/i2/2377530054/TB2KQMmdjgy_uJjSZTEX...
- wild####.al####.com.####.net/imgextra/i2/2453600100/TB2MTQbsSBjpuFjSsplX...
- wild####.al####.com.####.net/imgextra/i2/2558564626/TB2ENw8AFuWBuNjSszbX...
- wild####.al####.com.####.net/imgextra/i2/357223207/TB2QIRPwXGWBuNjy0FbXX...
- wild####.al####.com.####.net/imgextra/i2/3695936531/TB2LBj6k1GSBuNjSspbX...
- wild####.al####.com.####.net/imgextra/i2/860807319/TB2t8Lbo7CWBuNjy0FaXX...
- wild####.al####.com.####.net/imgextra/i2/TB10nHBNXXXXXbfXFXXXXXXXXXX_!!0...
- wild####.al####.com.####.net/imgextra/i3/1734370125/TB2gl2qsndYBeNkSmLyX...
- wild####.al####.com.####.net/imgextra/i3/2273169452/TB25eK5bBgXBuNjt_hNX...
- wild####.al####.com.####.net/imgextra/i3/416205457/TB2RBhfu9BjpuFjSsplXX...
- wild####.al####.com.####.net/imgextra/i4/1739823762/O1CN011df2SHLecJo1Ap...
- wild####.al####.com.####.net/imgextra/i4/1767787154/TB1d_4QFeuSBuNjSsziX...
- wild####.al####.com.####.net/imgextra/i4/1918358341/TB2BxNbrrZnBKNjSZFrX...
- wild####.al####.com.####.net/imgextra/i4/2019442806/TB2HBXBeTdYBeNkSmLyX...
- wild####.al####.com.####.net/imgextra/i4/2791669155/O1CN012HV2RBKFRxUF7V...
- wild####.al####.com.####.net/imgextra/i4/298295234/TB25T_KtVXXXXaqXpXXXX...
- wild####.al####.com.####.net/imgextra/i4/2982986820/TB2gJCqnIIrBKNjSZK9X...
- wild####.al####.com.####.net/imgextra/i4/2986913374/O1CN011anKmRyfTN6tBm...
- wild####.al####.com.####.net/imgextra/i4/3072157647/TB2NsGYBHSYBuNjSspiX...
- wild####.al####.com.####.net/imgextra/i4/3371255541/TB2IzFZBxWYBuNjy1zkX...
- wild####.al####.com.####.net/imgextra/i4/3954152303/O1CN011SsoaWAYmjp08b...
- wild####.al####.com.####.net/imgextra/i4/475434833/TB2IxpdbHdvt1JjSZFuXX...
- wild####.al####.com.####.net/imgextra/i4/679559267/TB2hf1XkxGYBuNjy0FnXX...
Запросы HTTP POST:
- ada####.m.ta####.com/rest/sur?ak=####&av=####&c=####&v=####&s=####&d=###...
- app.huishen####.xyz/api/home/activity/yongjincommission
- app.huishen####.xyz/api/user/agent/invite
- app.huishen####.xyz/api/user/profit/index
- c-h####.g####.com/api.php?format=####&t=####
- sdk.o####.p####.####.com/api.php?format=####&t=####
- st####.dc####.net.cn/device/location
- wb.110.ta####.com/api/update.do
- zhg.ali####.com/saveWb.json
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/0a231bd8575dcf72.txt
- /data/data/####/1d77ea041509fe06.lock
- /data/data/####/21c22f492aba3de8.lock
- /data/data/####/8ef9c457b3bbb403.lock
- /data/data/####/930a31b34bd52c08.lock
- /data/data/####/AlibcLinkPartner.xml
- /data/data/####/Alvin2.xml
- /data/data/####/ContextData.xml
- /data/data/####/SGMANAGER_DATA2.tmp
- /data/data/####/Snow.js
- /data/data/####/ThreeCanvas.js
- /data/data/####/UTCommon.xml
- /data/data/####/aboutus.html
- /data/data/####/adv-2.png
- /data/data/####/aliTradeConfigSP.xml
- /data/data/####/ap.Lock
- /data/data/####/app.js
- /data/data/####/area-index.html
- /data/data/####/asdasdasd.xml
- /data/data/####/asdasdasd_storages.xml
- /data/data/####/avatar.png
- /data/data/####/avatarhh.png
- /data/data/####/awardRotate.js
- /data/data/####/baa2ca6d1b4e
- /data/data/####/back.png
- /data/data/####/ban.jpg
- /data/data/####/banner1.png
- /data/data/####/beijixing.jks
- /data/data/####/bg-fs.jpg
- /data/data/####/bg-fx.jpg
- /data/data/####/bg-hb.png
- /data/data/####/bg-jf.png
- /data/data/####/bg-luck.jpg
- /data/data/####/bg-qd.jpg
- /data/data/####/bg-rw.jpg
- /data/data/####/bg-serch.png
- /data/data/####/bg-user-t.png
- /data/data/####/bg-user.png
- /data/data/####/bg-yhq.png
- /data/data/####/bottom.png
- /data/data/####/cbd.jpg
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/ceshishare.html
- /data/data/####/check.js
- /data/data/####/check_login.js
- /data/data/####/checkbak.js
- /data/data/####/cities.js
- /data/data/####/clientid_igexin.xml
- /data/data/####/clipboard.min.js
- /data/data/####/close.png
- /data/data/####/collection-a.png
- /data/data/####/collection.png
- /data/data/####/com.zjg.lingshuo_preferences.xml
- /data/data/####/common.js
- /data/data/####/cophui.css
- /data/data/####/copy.html
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/dd-1.png
- /data/data/####/dd-2.png
- /data/data/####/dd-3.png
- /data/data/####/dd-4.png
- /data/data/####/demo.css
- /data/data/####/detail.css
- /data/data/####/ewm.png
- /data/data/####/f_000001
- /data/data/####/f_000002
- /data/data/####/f_000003
- /data/data/####/f_000004
- /data/data/####/f_000005
- /data/data/####/f_000006
- /data/data/####/f_000007
- /data/data/####/f_000008
- /data/data/####/f_000009
- /data/data/####/f_00000a
- /data/data/####/f_00000b
- /data/data/####/f_00000c
- /data/data/####/f_00000d
- /data/data/####/f_00000e
- /data/data/####/f_00000f
- /data/data/####/f_000010
- /data/data/####/f_000011
- /data/data/####/f_000012
- /data/data/####/f_000013
- /data/data/####/f_000014
- /data/data/####/f_000015
- /data/data/####/f_000016
- /data/data/####/f_000017
- /data/data/####/f_000018
- /data/data/####/f_000019
- /data/data/####/f_00001a
- /data/data/####/f_00001b
- /data/data/####/f_00001c
- /data/data/####/f_00001d
- /data/data/####/f_00001e
- /data/data/####/f_00001f
- /data/data/####/f_000020
- /data/data/####/f_000021
- /data/data/####/f_000022
- /data/data/####/f_000023
- /data/data/####/f_000024
- /data/data/####/f_000025
- /data/data/####/f_000026
- /data/data/####/f_000027
- /data/data/####/f_000028
- /data/data/####/f_000029
- /data/data/####/f_00002a
- /data/data/####/f_00002b
- /data/data/####/f_00002c
- /data/data/####/f_00002d
- /data/data/####/f_00002e
- /data/data/####/f_00002f
- /data/data/####/f_000030
- /data/data/####/f_000031
- /data/data/####/f_000032
- /data/data/####/f_000033
- /data/data/####/f_000034
- /data/data/####/f_000035
- /data/data/####/fans-ban.png
- /data/data/####/file__0.localstorage-journal
- /data/data/####/fl-1.png
- /data/data/####/fl-2.png
- /data/data/####/fl-3.png
- /data/data/####/fl-4.png
- /data/data/####/fl-5.png
- /data/data/####/fx-1.png
- /data/data/####/fx-2.png
- /data/data/####/fx-3.png
- /data/data/####/fx-4.png
- /data/data/####/fx-5.png
- /data/data/####/fx-kj.png
- /data/data/####/fx-qq.png
- /data/data/####/fx-tit.png
- /data/data/####/fx-xz-a.png
- /data/data/####/fx-xz.png
- /data/data/####/gdaemon_20161017
- /data/data/####/getui_sp.xml
- /data/data/####/gonggao.png
- /data/data/####/gwc.png
- /data/data/####/gx_sp.xml
- /data/data/####/gz.jpg
- /data/data/####/h.min.js
- /data/data/####/help-1.png
- /data/data/####/help-2.png
- /data/data/####/help-3.png
- /data/data/####/help-4.png
- /data/data/####/hero-1.png
- /data/data/####/hero-2.png
- /data/data/####/hero-3.png
- /data/data/####/hh-1.png
- /data/data/####/hh-2.png
- /data/data/####/hh-3.png
- /data/data/####/hls.min.js
- /data/data/####/home-search.html
- /data/data/####/home.html
- /data/data/####/home.js
- /data/data/####/homeupdate.html
- /data/data/####/html5Geo.xml
- /data/data/####/html5video.js
- /data/data/####/hui-accordion.js
- /data/data/####/hui-form.js
- /data/data/####/hui-image-cuter.js
- /data/data/####/hui-image-preview.js
- /data/data/####/hui-picker.js
- /data/data/####/hui-popover-msg.js
- /data/data/####/hui-refresh-load-more.js
- /data/data/####/hui-select-beautify.js
- /data/data/####/hui-star.js
- /data/data/####/hui-swipe.js
- /data/data/####/hui-tab.js
- /data/data/####/hui-touch-pwd.js
- /data/data/####/hui-water-fall.js
- /data/data/####/hui.css
- /data/data/####/hui.js
- /data/data/####/hy-1-a.png
- /data/data/####/hy-2-a.png
- /data/data/####/hy-2.png
- /data/data/####/hy-3-a.png
- /data/data/####/hy-3.png
- /data/data/####/hy-4-a.png
- /data/data/####/hy-4.png
- /data/data/####/icon-1.png
- /data/data/####/icon-10.png
- /data/data/####/icon-11.png
- /data/data/####/icon-12.png
- /data/data/####/icon-13.png
- /data/data/####/icon-14.png
- /data/data/####/icon-15.png
- /data/data/####/icon-16.png
- /data/data/####/icon-17.png
- /data/data/####/icon-18.png
- /data/data/####/icon-19.png
- /data/data/####/icon-2.png
- /data/data/####/icon-20.png
- /data/data/####/icon-21.png
- /data/data/####/icon-22.png
- /data/data/####/icon-23.png
- /data/data/####/icon-24.png
- /data/data/####/icon-25.png
- /data/data/####/icon-26.png
- /data/data/####/icon-3.png
- /data/data/####/icon-4.png
- /data/data/####/icon-5.png
- /data/data/####/icon-6.png
- /data/data/####/icon-7.png
- /data/data/####/icon-8.png
- /data/data/####/icon-9.png
- /data/data/####/icon1.jpg
- /data/data/####/icon1.png
- /data/data/####/icon10.jpg
- /data/data/####/icon10.png
- /data/data/####/icon11.png
- /data/data/####/icon12.png
- /data/data/####/icon13.png
- /data/data/####/icon13b.png
- /data/data/####/icon14.png
- /data/data/####/icon14b.png
- /data/data/####/icon15.png
- /data/data/####/icon15b.png
- /data/data/####/icon16.png
- /data/data/####/icon16b.png
- /data/data/####/icon17.png
- /data/data/####/icon17b.png
- /data/data/####/icon18.png
- /data/data/####/icon19.png
- /data/data/####/icon2.jpg
- /data/data/####/icon2.png
- /data/data/####/icon20.png
- /data/data/####/icon21.png
- /data/data/####/icon22.png
- /data/data/####/icon23.png
- /data/data/####/icon24.png
- /data/data/####/icon25.png
- /data/data/####/icon26.png
- /data/data/####/icon27.png
- /data/data/####/icon28.png
- /data/data/####/icon29.png
- /data/data/####/icon3.jpg
- /data/data/####/icon3.png
- /data/data/####/icon30.png
- /data/data/####/icon31.png
- /data/data/####/icon32.png
- /data/data/####/icon33.png
- /data/data/####/icon34.png
- /data/data/####/icon35.png
- /data/data/####/icon36.png
- /data/data/####/icon37.png
- /data/data/####/icon38.png
- /data/data/####/icon39.png
- /data/data/####/icon4.jpg
- /data/data/####/icon4.png
- /data/data/####/icon40.png
- /data/data/####/icon41.png
- /data/data/####/icon42.png
- /data/data/####/icon43.png
- /data/data/####/icon5.jpg
- /data/data/####/icon5.png
- /data/data/####/icon6.jpg
- /data/data/####/icon6.png
- /data/data/####/icon60.png
- /data/data/####/icon7.jpg
- /data/data/####/icon7.png
- /data/data/####/icon8.jpg
- /data/data/####/icon8.png
- /data/data/####/icon9.jpg
- /data/data/####/icon9.png
- /data/data/####/iconfont.eot
- /data/data/####/iconfont.svg
- /data/data/####/iconfont.ttf
- /data/data/####/iconfont.woff
- /data/data/####/in-1.png
- /data/data/####/in-2.png
- /data/data/####/in-3.png
- /data/data/####/in-4.png
- /data/data/####/in-5.png
- /data/data/####/in-6.png
- /data/data/####/in-fl-1.png
- /data/data/####/in-fl-1.png.png
- /data/data/####/in-fl-10.png
- /data/data/####/in-fl-2.png
- /data/data/####/in-fl-3.png
- /data/data/####/in-fl-4.png
- /data/data/####/in-fl-5.png
- /data/data/####/in-fl-6.png
- /data/data/####/in-fl-7.png
- /data/data/####/in-fl-8.png
- /data/data/####/in-fl-9.png
- /data/data/####/inc-1.png
- /data/data/####/inc-2.png
- /data/data/####/inc-3.png
- /data/data/####/inc-4.png
- /data/data/####/inc-5.jpg
- /data/data/####/inc-bg.png
- /data/data/####/index
- /data/data/####/index.css
- /data/data/####/index.html
- /data/data/####/index.js
- /data/data/####/indexbak.html
- /data/data/####/indexbak.js
- /data/data/####/indexz.css
- /data/data/####/init.pid
- /data/data/####/init_c1.pid
- /data/data/####/invite-details.html
- /data/data/####/invite-fans.html
- /data/data/####/invite-fans.js
- /data/data/####/invite-fsorder.html
- /data/data/####/invite-index.html
- /data/data/####/invite-order.html
- /data/data/####/invite-profit.html
- /data/data/####/invite-question.html
- /data/data/####/jf-text.jpg
- /data/data/####/jq22.css
- /data/data/####/jq22.js
- /data/data/####/jquery-1.10.2.min.js
- /data/data/####/jquery-1.11.1.min.js
- /data/data/####/jquery-2.1.4.min.js
- /data/data/####/jquery.hiSlider.min.css
- /data/data/####/jquery.hiSlider.min.js
- /data/data/####/jx-bg.png
- /data/data/####/kf-tel.png
- /data/data/####/lailogo.png
- /data/data/####/libnfix.so
- /data/data/####/libsgmainso-5.1.81.so.tmp
- /data/data/####/libsgsecuritybodyso-5.1.25.so.tmp
- /data/data/####/libshella-2.9.0.2.so
- /data/data/####/libufix.so
- /data/data/####/limit-index.html
- /data/data/####/list.css
- /data/data/####/list.html
- /data/data/####/list_public.js
- /data/data/####/load.gif
- /data/data/####/lock.lock
- /data/data/####/logo.png
- /data/data/####/logoshare.png
- /data/data/####/manifest.json
- /data/data/####/message-index.html
- /data/data/####/mix.dex
- /data/data/####/mobclick_agent_cached_com.zjg.lingshuo94
- /data/data/####/money.html
- /data/data/####/moneyrank.html
- /data/data/####/movie.ogg
- /data/data/####/ms-ban.png
- /data/data/####/mui-icons-extra.ttf
- /data/data/####/mui.css
- /data/data/####/mui.enterfocus.js
- /data/data/####/mui.js
- /data/data/####/mui.locker.js
- /data/data/####/mui.min.css
- /data/data/####/mui.min.js
- /data/data/####/mui.picker.css
- /data/data/####/mui.picker.min.css
- /data/data/####/mui.picker.min.js
- /data/data/####/mui.poppicker.css
- /data/data/####/mui.poppicker.js
- /data/data/####/mui.ttf
- /data/data/####/muwu.jpg
- /data/data/####/nav-1-a.png
- /data/data/####/nav-1.png
- /data/data/####/nav-2-a.png
- /data/data/####/nav-2.png
- /data/data/####/nav-3-a.png
- /data/data/####/nav-3.png
- /data/data/####/nav-4-a.png
- /data/data/####/nav-4.png
- /data/data/####/nav-5-a.png
- /data/data/####/nav-5.png
- /data/data/####/new_study.html
- /data/data/####/newindex.css
- /data/data/####/news-1.png
- /data/data/####/news-2.png
- /data/data/####/news.png
- /data/data/####/onesdk_device.xml
- /data/data/####/online-server.html
- /data/data/####/opinion.html
- /data/data/####/order-index.html
- /data/data/####/page.html
- /data/data/####/pdr.xml
- /data/data/####/ph-bg.jpg
- /data/data/####/ph-btn.png
- /data/data/####/ph-hg-1.png
- /data/data/####/ph-hg-2.png
- /data/data/####/ph-hg-3.png
- /data/data/####/ph-t.png
- /data/data/####/playvideo.png
- /data/data/####/pos-1.png
- /data/data/####/pro-1.png
- /data/data/####/pro-2.png
- /data/data/####/pro-3.png
- /data/data/####/pro-4.png
- /data/data/####/pro-5.png
- /data/data/####/pro-6.png
- /data/data/####/problem.jpg
- /data/data/####/publick.js
- /data/data/####/push.pid
- /data/data/####/pushext.db-journal
- /data/data/####/pushg.db-journal
- /data/data/####/pushsdk.db-journal
- /data/data/####/px-a.png
- /data/data/####/px.png
- /data/data/####/pyq.html
- /data/data/####/qiandao.png
- /data/data/####/qiandao_day.png
- /data/data/####/qiandao_icon.png
- /data/data/####/qiandao_js.js
- /data/data/####/qiandao_style.css
- /data/data/####/qqlogin.png
- /data/data/####/ranking.html
- /data/data/####/rem.js
- /data/data/####/right.png
- /data/data/####/rm-1.png
- /data/data/####/rm-2.png
- /data/data/####/rm-3.png
- /data/data/####/rm-4.png
- /data/data/####/rm-5.png
- /data/data/####/run.pid
- /data/data/####/rw-1.png
- /data/data/####/rw-2.png
- /data/data/####/rw-3.png
- /data/data/####/rw-4.png
- /data/data/####/sc-a.png
- /data/data/####/sc.png
- /data/data/####/search-index - bak.html
- /data/data/####/search-index.html
- /data/data/####/search-index.js
- /data/data/####/search-indexbak.js
- /data/data/####/search.css
- /data/data/####/search.html
- /data/data/####/serch.png
- /data/data/####/shai.html
- /data/data/####/share-index.html
- /data/data/####/share.html
- /data/data/####/sharefriend.png
- /data/data/####/sharehaibao.html
- /data/data/####/sharetblm-index.html
- /data/data/####/show-index.html
- /data/data/####/shuijiao.jpg
- /data/data/####/sign-index.html
- /data/data/####/sign-index.js
- /data/data/####/sp.lock
- /data/data/####/splash.png
- /data/data/####/splash1.png
- /data/data/####/splash2.png
- /data/data/####/splash3.png
- /data/data/####/story.html
- /data/data/####/stream_permission.xml
- /data/data/####/style.css
- /data/data/####/sweet-alert.css
- /data/data/####/sweet-alert.min.js
- /data/data/####/tb.js
- /data/data/####/tb.png
- /data/data/####/tbPlugin.js
- /data/data/####/tdata_Soq141
- /data/data/####/tdata_Soq141.jar
- /data/data/####/tdata_vxj811
- /data/data/####/tdata_vxj811.jar
- /data/data/####/time.html
- /data/data/####/timestamp
- /data/data/####/timg.png
- /data/data/####/tj-a.png
- /data/data/####/tj-b.png
- /data/data/####/tj-c.png
- /data/data/####/tj-d.png
- /data/data/####/to_alltb.html
- /data/data/####/to_alltbbak.html
- /data/data/####/to_play.html
- /data/data/####/to_tb.html
- /data/data/####/to_tbbak.html
- /data/data/####/top.png
- /data/data/####/tq-1.png
- /data/data/####/tq-2.png
- /data/data/####/tq-3.png
- /data/data/####/tq-4.png
- /data/data/####/tx-1.png
- /data/data/####/tx-2.png
- /data/data/####/tx-3.png
- /data/data/####/tx-4.png
- /data/data/####/tx-5.png
- /data/data/####/tx-6.png
- /data/data/####/umeng_general_config.xml
- /data/data/####/update.js
- /data/data/####/upload.png
- /data/data/####/url.js
- /data/data/####/user-1.png
- /data/data/####/user-10.png
- /data/data/####/user-11.png
- /data/data/####/user-12.png
- /data/data/####/user-2.png
- /data/data/####/user-3.png
- /data/data/####/user-4.png
- /data/data/####/user-5.png
- /data/data/####/user-6.png
- /data/data/####/user-7.png
- /data/data/####/user-8.png
- /data/data/####/user-9.png
- /data/data/####/user-account.html
- /data/data/####/user-agent.html
- /data/data/####/user-apply.html
- /data/data/####/user-avatar.html
- /data/data/####/user-bag-log.html
- /data/data/####/user-center.html
- /data/data/####/user-center.js
- /data/data/####/user-change-mobile.html
- /data/data/####/user-change-pwd.html
- /data/data/####/user-collection-gl.html
- /data/data/####/user-collection.html
- /data/data/####/user-config.html
- /data/data/####/user-contact.html
- /data/data/####/user-data.html
- /data/data/####/user-edit.html
- /data/data/####/user-forget.html
- /data/data/####/user-help.html
- /data/data/####/user-invite-ewm.html
- /data/data/####/user-invite-ewm.js
- /data/data/####/user-invite-friend.html
- /data/data/####/user-invite-friend.js
- /data/data/####/user-invite-friendbak2.html
- /data/data/####/user-jifenbao-mx.html
- /data/data/####/user-jifenbao-tx.html
- /data/data/####/user-jifenbao-tx.js
- /data/data/####/user-jifenbao.html
- /data/data/####/user-level.html
- /data/data/####/user-login.html
- /data/data/####/user-money-mx.html
- /data/data/####/user-money-mx.js
- /data/data/####/user-money-tx.html
- /data/data/####/user-money-tx.js
- /data/data/####/user-money.html
- /data/data/####/user-moneybak.html
- /data/data/####/user-news.html
- /data/data/####/user-order.html
- /data/data/####/user-profit.js
- /data/data/####/user-reg.html
- /data/data/####/user-safe.html
- /data/data/####/user-score-buy.html
- /data/data/####/user-score-buy.js
- /data/data/####/user-show-submit.html
- /data/data/####/user-show-submit.js
- /data/data/####/user-show-submit1.html
- /data/data/####/user-wds.html
- /data/data/####/ut.db
- /data/data/####/ut.db-journal
- /data/data/####/video-1.png
- /data/data/####/video-2.png
- /data/data/####/video.css
- /data/data/####/video.html
- /data/data/####/videobak.html
- /data/data/####/videoplay.html
- /data/data/####/videoplaybak.html
- /data/data/####/wanfa.html
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/data/####/webviewCookiesChromium.db-journal (deleted)
- /data/data/####/webviewCookiesChromiumPrivate.db-journal
- /data/data/####/wxlogin.png
- /data/data/####/xin-a.png
- /data/data/####/xin.png
- /data/data/####/xszn.jpg
- /data/data/####/yhj.png
- /data/data/####/yhq-1.png
- /data/data/####/yq-1.png
- /data/data/####/yq-2.png
- /data/data/####/yq-3.png
- /data/data/####/yq-4.png
- /data/data/####/yq-5.png
- /data/data/####/yq-6.png
- /data/data/####/yq-bg.png
- /data/data/####/yq-hb.png
- /data/data/####/yuantiao.jpg
- /data/data/####/zfb.png
- /data/data/####/zq-1.png
- /data/data/####/zq-2.png
- /data/data/####/zq-3.png
- /data/data/####/zq-4.png
- /data/media/####/6c709c11d2d46a7b
- /data/media/####/Alvin2.xml
- /data/media/####/ContextData.xml
- /data/media/####/app.db
- /data/media/####/com.getui.sdk.deviceId.db
- /data/media/####/com.igexin.sdk.deviceId.db
- /data/media/####/com.zjg.lingshuo.bin
- /data/media/####/com.zjg.lingshuo.db
- /data/media/####/dd7893586a493dc3
- /data/media/####/hid.dat
- /data/media/####/tdata_Soq141
- /data/media/####/tdata_vxj811
- /data/media/####/temp.arm
- /data/media/####/test.log
Другие:
Запускает следующие shell-скрипты:
- <Package Folder>/files/gdaemon_20161017 0 <Package>/io.dcloud.feature.apsGt.GTNormalPushService 24615 300 0
- cat /sys/class/net/wlan0/address
- chmod 700 <Package Folder>/files/gdaemon_20161017
- chmod 700 <Package Folder>/tx_shell/libnfix.so
- chmod 700 <Package Folder>/tx_shell/libshella-2.9.0.2.so
- chmod 700 <Package Folder>/tx_shell/libufix.so
- getprop ro.yunos.version
- mount
- sh <Package Folder>/files/gdaemon_20161017 0 <Package>/io.dcloud.feature.apsGt.GTNormalPushService 24615 300 0
Загружает динамические библиотеки:
- getuiext2
- libnfix
- libshella-2.9.0.2
- libufix
- nfix
- sgmainso-5.1
- sgsecuritybodyso-5.1
- ufix
- ut_c_api
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- RSA-NONE-OAEPWithSHA1AndMGF1Padding
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Осуществляет доступ к информации о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
