Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Adware.Ninebox.4.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) pic.b####.com.####.com:80
- TCP(HTTP/1.1) oc.u####.com:80
- TCP(HTTP/1.1) mo####.b####.com:80
- TCP(HTTP/1.1) log.b####.com:80
- TCP(TLS/1.0) and####.cli####.go####.com:443
Запросы DNS:
- a####.u####.com
- and####.cli####.go####.com
- feed####.u####.com
- log.b####.com
- mo####.b####.com
- mt####.go####.com
- oc.u####.com
- pic.b####.com
Запросы HTTP GET:
- mo####.b####.com/bbs/home
- mo####.b####.com/chosen/home
- mo####.b####.com/chosen/recommend
- mo####.b####.com/collect/
- mo####.b####.com/package/49840/
- mo####.b####.com/package/49981/
- mo####.b####.com/package/49984/
- mo####.b####.com/package/50728/
- mo####.b####.com/package_count
- mo####.b####.com/page/
- mo####.b####.com/page/home
- mo####.b####.com/search/hot_word
- mo####.b####.com/skin
- mo####.b####.com/user/message/?page=####
- mo####.b####.com/user/message?page=####
- mo####.b####.com/user/message_num
- pic.b####.com.####.com//0c5ff27a68a7152bb4176dbe27e71e0d.jpg@0e_100w_100...
- pic.b####.com.####.com//1292a5a801abd03951cb31905ba5f26e.png
- pic.b####.com.####.com//3077a049f1aee0dafb92ff331c5b5db5.jpeg
- pic.b####.com.####.com//32a23255b278268f42074c8ca69d72d2.jpeg
- pic.b####.com.####.com//912f9d79cea7872445428a3279642528.jpeg
- pic.b####.com.####.com//b95a548d6a516aa573d4dd2b255fc928.jpeg
- pic.b####.com.####.com//beceb9b1cfd6ecffb6b3d2e33d239c16.jpg@0e_100w_100...
- pic.b####.com.####.com//c505accb343eb8edc1fca49dbf08d223.jpeg
- pic.b####.com.####.com//d70cb65d4f79918b9b31e92d32dd32f4.jpeg
- pic.b####.com.####.com//ead16ec985b65ab91be2d44459671628.jpeg
- pic.b####.com.####.com//ec6005a8740099027229c631661f4682.jpeg
- pic.b####.com.####.com//f2ea8cb37f44f910d0eacf81e2966e9e.png
- pic.b####.com.####.com//f376e3406e12e9ad73bc38fd88b8ec0a.jpg
- pic.b####.com.####.com//f5d35e466ef213f03cb1355ed1b0e938.jpeg
- pic.b####.com.####.com//fa8475407ec711f51f49724f31e4b6f1.jpg@0e_100w_100...
- pic.b####.com.####.com/0413354b20741c75828460b0b808a03f.jpg
- pic.b####.com.####.com/04940d3ffad5cc7ec4cbd7b58dca34f4.jpg@0e_100w_100h...
- pic.b####.com.####.com/05447ebd2fbc44abce4f5c45b7ca4f51.jpg@0e_100w_100h...
- pic.b####.com.####.com/06cd4cfa325278a146bfed88c34317d2.jpg@0e_100w_100h...
- pic.b####.com.####.com/07c6337609a9ddfdd7058edc982b876d.png@0e_100w_100h...
- pic.b####.com.####.com/0a83964070bc5cf70f856d80f3f0afe1.jpg@0e_100w_100h...
- pic.b####.com.####.com/10377e8a85396e73f7b19f386a09c456.gif
- pic.b####.com.####.com/1567fe086c282ff959dafa88ea06a3cf.jpg@0e_100w_100h...
- pic.b####.com.####.com/15f70932ee65f367922460302356b369.jpg@0e_100w_100h...
- pic.b####.com.####.com/1af251a5e3f208240f021bb0cc323852.jpg
- pic.b####.com.####.com/23349ac8495eaa5ec1024c963cc9088e.jpg@0e_100w_100h...
- pic.b####.com.####.com/2419d21ec68285d65842ffef82472afc.gif@0e_100w_100h...
- pic.b####.com.####.com/2b02ecb48ee146c628875d0f68fdc7da.jpg@0e_100w_100h...
- pic.b####.com.####.com/30331dade1ae803eb0f19940b4b517a6.png
- pic.b####.com.####.com/343443d4746987b331bb994407b90d3b.jpg@0e_100w_100h...
- pic.b####.com.####.com/386585657d656881be4b501d98728616.jpg
- pic.b####.com.####.com/3bb98702e7dae594ed9132e717645cb6.jpg@0e_100w_100h...
- pic.b####.com.####.com/40a7cdca707e0e593f1d64ef53e4abd0.jpg@0e_100w_100h...
- pic.b####.com.####.com/40cce9e16a42d312d567ec3b9700ec05.png
- pic.b####.com.####.com/44aef24e4239a600a7c82816e1f08305.gif
- pic.b####.com.####.com/44ff55fc8cda0b6041c97ff00086eefe.jpg@0e_100w_100h...
- pic.b####.com.####.com/46f90117e90a3cffe77b87e637c66128.jpg@0e_100w_100h...
- pic.b####.com.####.com/4819f0220602de8b1bf4847d96276e9d.jpg@0e_100w_100h...
- pic.b####.com.####.com/4b25dd0d1bce9655369be88a5adf1fad.jpg@0e_100w_100h...
- pic.b####.com.####.com/4d5e35df01db462cbda80e5fb01688fa.jpg@0e_100w_100h...
- pic.b####.com.####.com/50bc3958dd009a8bf4d34cb82c4998b0.png
- pic.b####.com.####.com/51d0d87075dd4e0edc2a4bef59259085.png@0e_100w_100h...
- pic.b####.com.####.com/56cc95c957241d6d29b9d0e6797e7a2f.png
- pic.b####.com.####.com/57ff7f89c98d7995b31ca76bac3c24ab.jpg@0e_100w_100h...
- pic.b####.com.####.com/58f94094358af25b739133b5539271e7.gif@0e_100w_100h...
- pic.b####.com.####.com/5b04f7ea6d4f1eb7094470dacd13466b.png
- pic.b####.com.####.com/5cb90777959e13ec920da671127c5369.jpg
- pic.b####.com.####.com/638e77e49ee05c831be16cdca524272c.png
- pic.b####.com.####.com/65e9aa601c1f2dca0d5d470ec06bac6f.jpg
- pic.b####.com.####.com/68fe0e621548bdb7e2c31a7e0176ab91.gif@0e_100w_100h...
- pic.b####.com.####.com/69d5e70caa19c36b063b916c2138b86c.jpg
- pic.b####.com.####.com/6c5db973c78d5c3a236561621e674303.jpg@0e_100w_100h...
- pic.b####.com.####.com/6e6b9fd313d710895b23faa958f82029.jpg@0e_100w_100h...
- pic.b####.com.####.com/703d70ccd79011c1ea294a5dd316f5de.jpg@0e_100w_100h...
- pic.b####.com.####.com/734cdffecbd50c5f3bd8605928d771b9.jpg@0e_100w_100h...
- pic.b####.com.####.com/74c1b377b144aa47c12f3f44bd08c322.jpg@0e_100w_100h...
- pic.b####.com.####.com/76422404d77dfd87e44f1b5d9107531d.jpg@0e_100w_100h...
- pic.b####.com.####.com/76aace01b0a5b8d7821a292d1403e9fe.jpg@0e_100w_100h...
- pic.b####.com.####.com/77dd11e8f8b21a366650c51d84258013.png
- pic.b####.com.####.com/7a18535270002917cd0fe23b1a1d4874.jpg@0e_100w_100h...
- pic.b####.com.####.com/7b946b1a3292e0c39b3d6e322251cbb7.jpg
- pic.b####.com.####.com/7f5623efd50775e1ea31d6838f8f2ed5.jpg@0e_100w_100h...
- pic.b####.com.####.com/7fe1bb0d9fddb6fbf3318c14ec860ead.jpg@0e_100w_100h...
- pic.b####.com.####.com/8514fca75ba9a0fccbfa85d11b4acb80.jpg
- pic.b####.com.####.com/87bf6e36df98643b4274d9cadf128ef8.jpg
- pic.b####.com.####.com/87d9852e1cf2fed565f0f11ea10f64c8.jpg@0e_100w_100h...
- pic.b####.com.####.com/885de82243b348c6b32df18b2c24cd4a.png
- pic.b####.com.####.com/88b7e6088e29b73107ac950285606bfc.jpg
- pic.b####.com.####.com/8acb2df9a0f230bd5ad9c302cd561f32.jpg@0e_100w_100h...
- pic.b####.com.####.com/8d83075a04e5d13a75b294856cda9a5f.gif@0e_100w_100h...
- pic.b####.com.####.com/8f2471de454ffeb30dc2bb1e6a1c69e4.jpg@0e_100w_100h...
- pic.b####.com.####.com/95a64c5da3ece9693beade8c5e4d0747.jpg@0e_100w_100h...
- pic.b####.com.####.com/97123ac71cdbe07e26792b9b4e457e9f.jpg@0e_100w_100h...
- pic.b####.com.####.com/998d1c9c0541825af6e6825dc35e5e9c.jpg@0e_100w_100h...
- pic.b####.com.####.com/9ad3c816e7cd30567a6b45a997e646bf.gif@0e_100w_100h...
- pic.b####.com.####.com/9c3ac85414abe29da4e8664699cb6454.gif@0e_100w_100h...
- pic.b####.com.####.com/9ef7eaed92ac351fe217968ace96cfc4.jpg@0e_100w_100h...
- pic.b####.com.####.com/a04e5bdbdc81082938de7264df592ba1.jpg@0e_100w_100h...
- pic.b####.com.####.com/a0d4b46979f5fbe48849f86e56bea2dd.jpg@0e_100w_100h...
- pic.b####.com.####.com/a30a4d6d2771a11b96e6935c0550ba06.jpg@0e_100w_100h...
- pic.b####.com.####.com/a4c0527e910e07b5c807afa08b3173f0.jpg
- pic.b####.com.####.com/a5214db29ab4f178ea8af227b10dcfe6.jpeg@0e_100w_100...
- pic.b####.com.####.com/a9fdd856a48e2a3ed24f315b1c8cadd5.jpg@0e_100w_100h...
- pic.b####.com.####.com/ab2ec47b7f0cade927c9f6672c82b0e8.jpg@0e_100w_100h...
- pic.b####.com.####.com/ac4f736c065bd1a6a12581889bd01954.jpg@0e_100w_100h...
- pic.b####.com.####.com/b25af5da8f4edec2621e6e1652235ec8.jpg@0e_100w_100h...
- pic.b####.com.####.com/b74fb03864291d8abf9efea2bd7f814c.jpg@0e_100w_100h...
- pic.b####.com.####.com/b9d2871e62358ca481eddd15825078ee.png
- pic.b####.com.####.com/bc328ef0bbc466ff38ceba8d40f4d606.jpg@0e_100w_100h...
- pic.b####.com.####.com/c29a5112bfab1e77f73f723951f0f9f9.gif@0e_100w_100h...
- pic.b####.com.####.com/c463a246c84ea87e318949a58184e4a9.jpg@0e_100w_100h...
- pic.b####.com.####.com/c653df6fae1ba28e70b7b03eb683f618.jpg@0e_100w_100h...
- pic.b####.com.####.com/cfdf4edddba595d237c81e8d1326dec3.jpg@0e_100w_100h...
- pic.b####.com.####.com/d0d3b25a522c1244d9de2263a40fd428.jpg@0e_100w_100h...
- pic.b####.com.####.com/d2f9ce6410b13066aa0a94861fb5b0da.jpg@0e_100w_100h...
- pic.b####.com.####.com/d300c72635616ac6b66140e9d7d75b1e.gif@0e_100w_100h...
- pic.b####.com.####.com/da4fa19d52744dca6b46f5bb8b6e73b9.jpg@0e_100w_100h...
- pic.b####.com.####.com/dfbfca3c556d309cfe230fd7ba968467.png
- pic.b####.com.####.com/e2bce3d361a5392578c567721be53842.jpg@0e_100w_100h...
- pic.b####.com.####.com/e4daba9c5514118d7caaf85bd7ed4905.jpg
- pic.b####.com.####.com/e8d83cb85f6a6db7c2ba29d9b28f9ac6.jpg
- pic.b####.com.####.com/e8f6f8df929e7ea92762d9082bb16e25.gif@0e_100w_100h...
- pic.b####.com.####.com/ebc50eef1ffadbd57a7fc9db9368da38.jpg@0e_100w_100h...
- pic.b####.com.####.com/ebf036f817a713bbb6560d5e98a28c9e.jpg@0e_100w_100h...
- pic.b####.com.####.com/ee8a84247559399f2166eb30a1722f0e.jpg@0e_100w_100h...
- pic.b####.com.####.com/f0a4eb1900fbb4df9178cd664211e69b.gif@0e_100w_100h...
- pic.b####.com.####.com/f853103f6459f37e340892c548f073ab.jpg@0e_100w_100h...
- pic.b####.com.####.com/f86d33784dfa65f84846087dca0886c4.jpg@0e_100w_100h...
- pic.b####.com.####.com/fb751fa72cf2acd3c6f9b19777b45002.png
- pic.b####.com.####.com/fbe5b0c952092d50f47272195e9e02a9.jpg@0e_100w_100h...
Запросы HTTP POST:
- a####.u####.com/app_logs
- log.b####.com/collect/action
- mo####.b####.com/package/watch
- mo####.b####.com/sign_in
- oc.u####.com/check_config_update
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imprint
- /data/data/####/1540316956277.jar
- /data/data/####/1540316956337.jar
- /data/data/####/1540316956345.jar
- /data/data/####/1540316956399.jar
- /data/data/####/1540316956578.jar
- /data/data/####/Alvin2.xml
- /data/data/####/AppStore.xml
- /data/data/####/ContextData.xml
- /data/data/####/DEFAULT_EMOTIONS.xml
- /data/data/####/LocationType.xml
- /data/data/####/RunInFixTimeUtil.xml
- /data/data/####/account.xml
- /data/data/####/afinalCache.0
- /data/data/####/afinalCache.1
- /data/data/####/afinalCache.idx
- /data/data/####/classifyTab.xml
- /data/data/####/com.yuelian.qqemotion.LOCAL_USER.xml
- /data/data/####/com.yuelian.qqemotion.SP_MY_TOPIC_INFO.xml
- /data/data/####/concern_data.xml
- /data/data/####/dij.xml
- /data/data/####/dim.xml
- /data/data/####/handpickdata.xml
- /data/data/####/hotSearchSp.xml
- /data/data/####/j-id.xml
- /data/data/####/lastPullSP.xml
- /data/data/####/mid.xml
- /data/data/####/mobclick_agent_cached_com.yuelian.qqemotionfd98
- /data/data/####/mobclick_agent_online_setting_com.yuelian.qqemotionfd.xml
- /data/data/####/qqemot.db-journal
- /data/data/####/rec_data.xml
- /data/data/####/requested.xml
- /data/data/####/runEveryDay.xml
- /data/data/####/search_dictionary.db
- /data/data/####/search_dictionary.db-journal
- /data/data/####/spTopicDepartment.xml
- /data/data/####/starToBeCommitted.xml
- /data/data/####/suggest_data.xml
- /data/data/####/topic.xml
- /data/data/####/type.xml
- /data/data/####/umeng_feedback_conversations.xml
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_message_state.xml
- /data/data/####/xy.xml
- /data/media/####/12.dat
- /data/media/####/Alvin2.xml
- /data/media/####/ContextData.xml
- /data/media/####/MID.DAT
- /data/media/####/names.dat
- /data/media/####/share.dat
Другие:
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
Использует следующие алгоритмы для расшифровки данных:
- DES
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации об установленных приложениях.
Осуществляет доступ к информации о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
