ПОЛЬЗОВАТЕЛЯМ

Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Android.Packed.40102

Добавлен в вирусную базу Dr.Web: 2018-09-26

Описание добавлено:

Техническая информация

Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
  • Android.DownLoader.743.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
  • UDP(DNS) <Google DNS>
  • TCP(HTTP/1.1) zb####.v.qin####.com:80
  • TCP(HTTP/1.1) na61-####.wagbr####.non####.####.com:80
  • TCP(HTTP/1.1) api.zhuishu####.com:80
  • TCP(HTTP/1.1) gl####.w.kunl####.####.com:80
  • TCP(HTTP/1.1) ad####.m.ta####.com:80
  • TCP(HTTP/1.1) ada####.m.ta####.com:80
  • TCP(TLS/1.0) h####.b####.com:443
Запросы DNS:
  • ad####.m.ta####.com
  • ada####.m.ta####.com
  • api.zhuishu####.com
  • chap####.zhuishu####.com
  • h####.b####.com
  • sta####.zhuishu####.com
  • y####.al####.com
Запросы HTTP GET:
  • ad####.m.ta####.com/rest/gc2?ak=####&av=####&c=####&d=####&sv=####&t=###...
  • api.zhuishu####.com/book-list/5b8a613309545cd659b6aead
  • api.zhuishu####.com/book-list/5ba52b5be70165ef14b6df09
  • api.zhuishu####.com/book-list/tagType
  • api.zhuishu####.com/book-list?duration=####&sort=####&start=####&limit=#...
  • api.zhuishu####.com/book/hot-word
  • api.zhuishu####.com/book/recommend?gender=####
  • api.zhuishu####.com/cats/lv2/statistics
  • api.zhuishu####.com/mix-atoc/54262d86198ede733cfe3d48?view=####
  • api.zhuishu####.com/ranking/gender
  • gl####.w.kunl####.####.com/agent/http://img.1391.com/api/v1/bookcenter/c...
  • gl####.w.kunl####.####.com/avatar/21/68/216867dffb97a8f8676f544a8d8a13cc
  • gl####.w.kunl####.####.com/avatar/cd/53/cd539a27b0f35c435b610e50d7b01e60
  • gl####.w.kunl####.####.com/ranking-cover/142319144267827
  • gl####.w.kunl####.####.com/ranking-cover/142319166399949
  • gl####.w.kunl####.####.com/ranking-cover/142319314350435
  • gl####.w.kunl####.####.com/ranking-cover/142319383473238
  • gl####.w.kunl####.####.com/ranking-cover/144738093413066
  • gl####.w.kunl####.####.com/ranking-cover/144738102858782
  • gl####.w.kunl####.####.com/ranking-cover/144799960841612
  • gl####.w.kunl####.####.com/ranking-cover/144799965747841
  • gl####.w.kunl####.####.com/ranking-cover/14750532964058
  • gl####.w.kunl####.####.com/ranking-cover/147505705336267
  • zb####.v.qin####.com/chapter/http://book.my716.com/getBooks.aspx?method=...
Запросы HTTP POST:
  • ada####.m.ta####.com/rest/sur?ak=####&av=####&c=####&v=####&s=####&d=###...
  • na61-####.wagbr####.non####.####.com/saveWb.json
Изменения в файловой системе:
Создает следующие файлы:
  • /data/data/####/.jg.ic
  • /data/data/####/03851ef6cdcd9141350377d7482fcea1ff293f37a578889....0.tmp
  • /data/data/####/07f26c904f7c7a5c50b06bd787f984f8c9a04973e7a1195....0.tmp
  • /data/data/####/0999dbfa8ef85a9a0944da77a8c50d267fc7e9b85e0b0e7....0.tmp
  • /data/data/####/0a231bd8575dcf72.txt
  • /data/data/####/1d77ea041509fe06.lock
  • /data/data/####/21c22f492aba3de8.lock
  • /data/data/####/2283244b0c3cd9a21db3c6ef5249ca49c2bd4ef41a7c4e2....0.tmp
  • /data/data/####/235174e4216a1c2745e086b28d866567d460ed2834e5376....0.tmp
  • /data/data/####/271f130d622fbdf531f75662fad8e0359e7e27ef2334018....0.tmp
  • /data/data/####/2a226a084f4d457849c6fd538b47b6908574fe79ab8e244....0.tmp
  • /data/data/####/2b2c1e26dde726d0a8b1fcd617ff5fb7a802f44021c8055....0.tmp
  • /data/data/####/35f0ba7235765474c295281fb5a609c4364e07af7cf7042....0.tmp
  • /data/data/####/3bf01c53c479db02efca575d738b1437e45aa9f76194687....0.tmp
  • /data/data/####/4327ccca7d4106e8b531f94d3cfe440ef4912481b3d2988....0.tmp
  • /data/data/####/5552430e9af3d1a9808a17d330668fa0d7807dd0b8cb6ec....0.tmp
  • /data/data/####/62ede8afa40e9034492f3ae95eecaccd0ff91ebdc45969e....0.tmp
  • /data/data/####/641e745301565cf85e7866ae3efb91dd2d56f22218b5761....0.tmp
  • /data/data/####/64253207f61933f6d4c0b57b8a5d1dff50da40ba3daa031....0.tmp
  • /data/data/####/7040363a4204600218adecfa792e634da4f91c782e2cd48....0.tmp
  • /data/data/####/70b33cd84024820c1daef3bb1571c64219f1684f71f9b7c....0.tmp
  • /data/data/####/70cbbeb1b8e978d8fc8eab452255bac246659c44a4f1221....0.tmp
  • /data/data/####/76c948d58f09850f02cb975e0d3a8202f119d2c121a5639....0.tmp
  • /data/data/####/7e67dd0291745c4082e8ec0034bfb4d417d75e947d0d86a....0.tmp
  • /data/data/####/82c7abcedfe1f17d44ade455bf3472d1d7052b88e566187....0.tmp
  • /data/data/####/8c25b7b9868c51eea2577eb625853bd9680ddba58ad2da9....0.tmp
  • /data/data/####/8d376d32fc0e8d9a58b63db2f8f5685431400f48598aac7....0.tmp
  • /data/data/####/8dc1ad0081ef587941557d3599f0e1900482f144f4b0d01....0.tmp
  • /data/data/####/8fc09cd02fa4df0c2411d3299ce95b10b421d70226f3aaa....0.tmp
  • /data/data/####/930a31b34bd52c08.lock
  • /data/data/####/Alvin2.xml
  • /data/data/####/ContextData.xml
  • /data/data/####/SGMANAGER_DATA2.tmp
  • /data/data/####/UTCommon.xml
  • /data/data/####/__Baidu_Stat_SDK_SendRem.xml
  • /data/data/####/__local_ap_info_cache.json
  • /data/data/####/__local_last_session.json
  • /data/data/####/__local_stat_cache.json
  • /data/data/####/__send_data_1537992140193
  • /data/data/####/ad4d962bb79118b6d9be51e7b9b1eb770e411fce88a623e....0.tmp
  • /data/data/####/afe15d6e8382774cef44712842e8586411f60ce8df24365....0.tmp
  • /data/data/####/ap.Lock
  • /data/data/####/b6f3cbde7cc403956bf478e527cb590d4b89792e192ecc6....0.tmp
  • /data/data/####/baidu_mtj_sdk_record.xml
  • /data/data/####/c0ff4008fc8f1bfb1737dc1afefa1240ac9483e4f724d4e....0.tmp
  • /data/data/####/com.quicklyfreebooks.new_preference.xml
  • /data/data/####/com.quicklyfreebooks.new_preferences.xml
  • /data/data/####/config.xml
  • /data/data/####/e6223e0d27038ada2fe8cfdc06ab4427cce7ce7ae1e3754....0.tmp
  • /data/data/####/e630fc2aafc50b14d11e7e94bee1aa9ab86ab1ce0776245....0.tmp
  • /data/data/####/e920f03bcaa325c4b47bbf3b6fdc54e938e5a484aede0d4....0.tmp
  • /data/data/####/f1457f082411ff8cda8638ce1809c3c06bc84547a3f70e8....0.tmp
  • /data/data/####/f80c0a1a2219949ccd551b97d7afadb51ba5decf32f99e6....0.tmp
  • /data/data/####/ffd7619797278c5118078c988cbec5ff63a08f2d3e5c41b....0.tmp
  • /data/data/####/journal.tmp
  • /data/data/####/libcuid.so
  • /data/data/####/libjiagu-1744086689.so
  • /data/data/####/libsgmainso-5.1.81.so.tmp
  • /data/data/####/lock.lock
  • /data/data/####/sp.lock
  • /data/data/####/ut.db
  • /data/data/####/ut.db-journal
  • /data/media/####/-1202141503
  • /data/media/####/-1741312354
  • /data/media/####/-249715954
  • /data/media/####/-703259647
  • /data/media/####/-892738503
  • /data/media/####/-943431157
  • /data/media/####/.confd
  • /data/media/####/.confd-journal
  • /data/media/####/.cuid
  • /data/media/####/.cuid2
  • /data/media/####/.timestamp
  • /data/media/####/1.txt
  • /data/media/####/1541366825
  • /data/media/####/2.txt
  • /data/media/####/3.txt
  • /data/media/####/4.txt
  • /data/media/####/411477508
  • /data/media/####/5.txt
  • /data/media/####/511371249
  • /data/media/####/6c709c11d2d46a7b
  • /data/media/####/Alvin2.xml
  • /data/media/####/ContextData.xml
  • /data/media/####/dd7893586a493dc3
  • /data/media/####/hid.dat
Другие:
Запускает следующие shell-скрипты:
  • /system/bin/cat /proc/cpuinfo
  • chmod 755 <Package Folder>/.jiagu/libjiagu-1744086689.so
  • getprop ro.build.display.id
  • getprop ro.build.version.emui
  • getprop ro.build.version.opporom
  • getprop ro.miui.ui.version.name
  • getprop ro.smartisan.version
  • getprop ro.vivo.os.version
Загружает динамические библиотеки:
  • crash_analysis
  • libjiagu-1744086689
  • sgmainso-5.1
  • ut_c_api
Использует следующие алгоритмы для шифрования данных:
  • AES-CBC-PKCS5Padding
  • AES-ECB-PKCS5Padding
  • RSA-ECB-PKCS1Padding
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Осуществляет доступ к информации о запущенных приложениях.
Отрисовывает собственные окна поверх других приложений.

Рекомендации по лечению


Android

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке

Российский разработчик антивирусов Dr.Web с 1992 года
Dr.Web в Реестре Отечественного ПО
Dr.Web совместим с российскими ОС и оборудованием
Dr.Web пользуются в 200+ странах мира
Техническая поддержка 24х7х365 Рус | En

© «Доктор Веб»
2003 — 2022

«Доктор Веб» — российский производитель антивирусных средств защиты информации под маркой Dr.Web. Продукты Dr.Web разрабатываются с 1992 года.

125124, Россия, Москва, 3-я улица Ямского поля, д.2, корп.12А