Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Android.Packed.40373

Добавлен в вирусную базу Dr.Web: 2018-10-14

Описание добавлено:

Техническая информация

Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
  • Android.DownLoader.743.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
  • UDP(DNS) <Google DNS>
  • TCP(HTTP/1.0) pis.al####.com:80
  • TCP(HTTP/1.1) pus.al####.com:80
  • TCP(HTTP/1.1) scs.opensp####.cn:80
  • TCP(HTTP/1.1) oss.kuyi####.com:80
  • TCP(HTTP/1.1) pss.al####.com:80
  • TCP(HTTP/1.1) d####.opensp####.cn:80
  • TCP(HTTP/1.1) 60.1####.12.146:80
  • TCP(HTTP/1.1) 1####.76.224.67:80
  • TCP(HTTP/1.1) cl####.diy####.cc:80
  • TCP(HTTP/1.1) m####.dnsom####.com:80
  • TCP(HTTP/1.1) f####.kuyi####.com:80
  • TCP(HTTP/1.1) 1####.213.69.195:1028
  • TCP(TLS/1.0) statson####.pu####.b####.com:443
  • TCP(TLS/1.0) api.tui####.b####.com:443
  • TCP(TLS/1.0) pns.al####.com:443
  • UDP 1####.168.111.254:4466
  • TCP sa.tui####.b####.com:5287
Запросы DNS:
  • api.tui####.b####.com
  • cl####.diy####.cc
  • d####.opensp####.cn
  • f####.kuyi####.com
  • iws.opensp####.cn
  • lo####.kuyi####.com
  • m####.dnsom####.com
  • ope####.kuyi####.com
  • oss.kuyi####.com
  • pis.al####.com
  • pns.al####.com
  • proxy####.aliv####.com
  • pss.al####.com
  • pus.al####.com
  • sa.tui####.b####.com
  • scs.opensp####.cn
  • statson####.pu####.b####.com
  • www.b####.com
Запросы HTTP GET:
  • cl####.diy####.cc/common/q_ttstpl?an=####&cn=####&di=####&pi=####&v=####
  • cl####.diy####.cc/resource/cols?a=####&v=####&px=####&p=####&id=####&ct=...
  • cl####.diy####.cc/resource/recm?a=####&v=####&ct=####&tp=####&id=####&re...
  • f####.kuyi####.com/group2/M00/6C/00/rBBGelcZdxSAY1t8AAAFUL6fwHk650.png
  • f####.kuyi####.com/group3/M00/3D/97/rBBGq1rf13OAQjTaAADAYwbPGwk363.jpg
  • f####.kuyi####.com/group3/M00/41/9A/rBBGrFrrq-SAAkmgAAC3pRjeLrA161.jpg
  • f####.kuyi####.com/group3/M00/D7/40/rBBGq1owhDSAU3BiAAA4itB5Hak147.jpg?w...
  • f####.kuyi####.com/group3/M00/D7/47/rBBGrFowhACAbNxyAANQ4qC7rNs228.jpg
  • f####.kuyi####.com/group3/M00/F4/12/rBBGq1pK1b2AevoJAAARKq7pG_E650.png
  • f####.kuyi####.com/group3/M00/F4/12/rBBGq1pK1dSAFdnXAAAUdqSqhJI057.png
  • f####.kuyi####.com/group3/M00/F4/13/rBBGq1pK1i2AKgbKAAAVDH1IiNQ779.png
  • f####.kuyi####.com/group3/M00/F4/13/rBBGq1pK1juAUlH6AAAUpyqTpiQ884.png
  • f####.kuyi####.com/group3/M00/F4/1B/rBBGrFpK1hyAG7FDAAATcPMb7TE219.png
  • m####.dnsom####.com/
  • oss.kuyi####.com/11W2MYCO/rescloud1/a383cf3ff14245ce94ca9d36f92c1778.aac
  • oss.kuyi####.com/11W2MYCO/rescloud1/detailimgV6_20180424145224.jpg
  • oss.kuyi####.com/11W2MYCO/rescloud1/surfaceimgV6_20180424145224.jpg
  • pus.al####.com/kernal/sdkcontrol/vod_android-mobile_x86_9.1.1.1220.jpg
Запросы HTTP POST:
  • cl####.diy####.cc/DiyRing31ClientProxyService/queryhotkeywords.aspx?t=##...
  • cl####.diy####.cc/DiyRing31ClientProxyService/queryrecordexamples.aspx?t...
  • cl####.diy####.cc/DiyRing31ClientProxyService/v5/adduserchannel?t=####&z...
  • cl####.diy####.cc/DiyRing31ClientProxyService/v5/q_cfgs?t=####&zipup=###...
  • cl####.diy####.cc/DiyRing31ClientProxyService/v5/q_col_res?t=####&zipup=...
  • cl####.diy####.cc/DiyRing31ClientProxyService/v5/q_recom_res?t=####&zipu...
  • cl####.diy####.cc/DiyRing31ClientProxyService/v5/q_revbs?t=####&zipup=##...
  • cl####.diy####.cc/DiyRing31ClientProxyService/v5/q_rs_ranklist?t=####&zi...
  • cl####.diy####.cc/DiyRing31ClientProxyService/v5/q_sh_thm?t=####&zipup=#...
  • cl####.diy####.cc/DiyRing31ClientProxyService/v5/q_sh_tip?t=####&zipup=#...
  • cl####.diy####.cc/DiyRing31ClientProxyService/v5/queryalbum?t=####&zipup...
  • cl####.diy####.cc/DiyRing31ClientProxyService/v5/queryalbumcomment?t=###...
  • cl####.diy####.cc/DiyRing31ClientProxyService/v5/queryringwithlink?t=###...
  • cl####.diy####.cc/DiyRing31ClientProxyService/v5/queryuid?t=####&zipup=#...
  • d####.opensp####.cn/index.php/clientrequest/clientcollect/isCollect
  • d####.opensp####.cn/online_param/config_update.php
  • pis.al####.com/p/pcdn/i.php?v=####
  • pss.al####.com/iku/log/acc
  • pss.al####.com/iku/log/acc?ver=####&flag=####&t=####&mytype=####
  • scs.opensp####.cn/scs?logver=####&cmd=####&size=####
Изменения в файловой системе:
Создает следующие файлы:
  • /data/data/####/-1070665175
  • /data/data/####/-1456445070
  • /data/data/####/-1646942636
  • /data/data/####/-1709976734
  • /data/data/####/-278090891-98492709
  • /data/data/####/-278090891206308830
  • /data/data/####/-2780908912100941968
  • /data/data/####/-30882946-1903393822
  • /data/data/####/-398420258
  • /data/data/####/-430822281
  • /data/data/####/-545100323
  • /data/data/####/-629927525563355788
  • /data/data/####/-662262635
  • /data/data/####/-698647370331693660
  • /data/data/####/-698647370569488736
  • /data/data/####/-879966091
  • /data/data/####/-9573712251584642190
  • /data/data/####/-989544238-97287233
  • /data/data/####/09133cypLn6mSrVZI_lr5soDsSw.-123414547.tmp
  • /data/data/####/1162221114
  • /data/data/####/1783369401
  • /data/data/####/1797584654
  • /data/data/####/18317620781848348823
  • /data/data/####/1930691972-1127074860
  • /data/data/####/38040359
  • /data/data/####/38626321120717473
  • /data/data/####/4950320561079200048
  • /data/data/####/501220586
  • /data/data/####/641861648
  • /data/data/####/8z9FL6-pmKWMKMA5kRUza1UlLW4.-1610607069.tmp
  • /data/data/####/AZbU_pX1ZKsTMZvEuYDQC61pNns.249331848.tmp
  • /data/data/####/HkHmCjBvLIZ5TKnx9gmuJdTJ8Os.1757408962.tmp
  • /data/data/####/Jpcs7lXvl7si9MMBatWdphMZ9Tk.650429388.tmp
  • /data/data/####/L34s8dIcCVidzX6HDRfxQemsREU.-1404051618.tmp
  • /data/data/####/L8iikFJIgc_d5WKeqwOm_gqofik.-1198409441.tmp
  • /data/data/####/PhoneShow.xml
  • /data/data/####/SUBOXLOG_
  • /data/data/####/Ssf1sHXaI0rRoGEr_R7gMJHw4YM.-336228676.tmp
  • /data/data/####/TLojcpn6bTdHURxNbCKGzh51L7g.-1280170290.tmp
  • /data/data/####/a06ecbba-601e-456a-8620-bd6791de6669.jar
  • /data/data/####/a26ac999-5793-491a-bb83-5908a153a20f
  • /data/data/####/aPXUjwUABXOXa3Pv2sKpf3TdrzU.1007632169.tmp
  • /data/data/####/com.baidu.pushservice.BIND_CACHE.xml
  • /data/data/####/com.ewytus.push_sync.xml
  • /data/data/####/com.ewytus.self_push_sync.xml
  • /data/data/####/com.ewytus_preferences.xml
  • /data/data/####/com.ewytus_preferences.xml (deleted)
  • /data/data/####/com.iflytek.id.xml
  • /data/data/####/config
  • /data/data/####/config.xml
  • /data/data/####/daemon
  • /data/data/####/e_bJAvjVQJD2fc1nRODbE0QV3Jc.1777678372.tmp
  • /data/data/####/iflytek_cached_com.ewytus
  • /data/data/####/iflytek_state_com.ewytus.xml
  • /data/data/####/libcuid.so
  • /data/data/####/libpcdn_acc.zip
  • /data/data/####/libpcdn_acc_new.so
  • /data/data/####/mivmi.xml
  • /data/data/####/multidex.version.xml
  • /data/data/####/netshow.info.xml
  • /data/data/####/odGvSRvpdDRsYKrrmVHuhmmhi0c.-1663742310.tmp
  • /data/data/####/pcdnconfigs.xml
  • /data/data/####/pst.xml
  • /data/data/####/pushclient.xml
  • /data/data/####/pushinfo.db
  • /data/data/####/pushinfo.db-journal
  • /data/data/####/pushstat_5.5.0.db
  • /data/data/####/pushstat_5.5.0.db-journal
  • /data/data/####/ring_config.xml
  • /data/data/####/settings.xml
  • /data/data/####/start_client_log_file.xml
  • /data/data/####/webview.db-journal
  • /data/media/####/.cuid
  • /data/media/####/.cuid2
  • /data/media/####/94e6ec8d170f3bb30d02aa5e6464713f..temp
  • /data/media/####/TelNo.db
  • /data/media/####/config
  • /data/media/####/iflyworkdir_test
  • /data/media/####/myself.dat
  • /data/media/####/telno.7z
  • /data/media/####/u.data
Другие:
Запускает следующие shell-скрипты:
  • app_process /system/bin com.android.commands.am.Am startservice --user 0 -n <Package>/com.iflytek.ipc.daemon.thirdcompat.ThirdEmptyService
  • chmod 700 <Package Folder>/app_bin/daemon
  • mars_d -p <Package> -s com.iflytek.ipc.daemon.thirdcompat.ThirdEmptyService -p1r 45 -p1w 46 -p2r 47 -p2w 48
  • netstat -ant
Загружает динамические библиотеки:
  • bdpush_V2_7
  • daemon_api20
  • faad
  • imagepipeline
  • libpcdn_acc
  • msc
  • pcdn_acc
  • un7z
Использует следующие алгоритмы для шифрования данных:
  • AES-CBC-PKCS5Padding
  • DES-ECB-PKCS7Padding
Осуществляет доступ к информации о геолокации.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации о настроках APN.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.

Рекомендации по лечению


Android

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке