Adware.Gexin.4503

Техническая информация

Вредоносные функции:

Загружает на исполнение код следующих детектируемых угроз:

Adware.Gexin.2.origin

Сетевая активность:

Подключается к:

UDP(DNS) <Google DNS>
TCP(HTTP/1.1) pub-####.qin####.com:80
TCP(HTTP/1.1) a####.u####.com:80
TCP(HTTP/1.1) c-h####.g####.com:80
TCP(HTTP/1.1) img-125####.c####.myqc####.com:80
TCP(HTTP/1.1) t####.c####.q####.####.com:80
TCP(HTTP/1.1) thi####.q####.cn:80
TCP(HTTP/1.1) sdk.o####.p####.####.com:80
TCP(HTTP/1.1) gdv.a.s####.com:80
TCP(TLS/1.0) t####.c####.q####.####.com:443
TCP(TLS/1.0) m.w####.cn:443
TCP(TLS/1.0) img.w####.cn.####.com:443
TCP c####.g####.ig####.com:5225
TCP sdk.o####.t####.####.com:5224

Запросы DNS:

7j####.c####.z0.####.com
a####.u####.com
c####.g####.ig####.com
c-h####.g####.com
img-125####.c####.myqc####.com
img.w####.cn
m.w####.cn
pub-####.qin####.com
pv.s####.com
sdk.c####.ig####.com
sdk.o####.p####.####.com
sdk.o####.t####.####.com
sdk.o####.t####.####.com
sdk.o####.t####.####.net
thi####.q####.cn

Запросы HTTP GET:

gdv.a.s####.com/cityjson?ie=####
img-125####.c####.myqc####.com/game_preview/12.5寸_20180329173802485.png
img-125####.c####.myqc####.com/game_preview/50yuan_32_20180305161642195....
img-125####.c####.myqc####.com/game_preview/chufangerjiantao_20181023232...
img-125####.c####.myqc####.com/game_preview/iphone8_08_20171105173800064...
img-125####.c####.myqc####.com/game_preview/iphone8_08_20171105175628693...
img-125####.c####.myqc####.com/game_preview/iphone_x_06_2017110517385161...
img-125####.c####.myqc####.com/game_preview/iqiyi_20180131152855636.png
img-125####.c####.myqc####.com/game_preview/jd500_20181101114359459.png
img-125####.c####.myqc####.com/game_preview/pms_1505401464.03824312!560x...
img-125####.c####.myqc####.com/game_preview/tencentvideo_201801311530585...
img-125####.c####.myqc####.com/game_preview/xuehuasu_20181024175140518.png
img-125####.c####.myqc####.com/game_preview/youku_20180131154712861.png
img-125####.c####.myqc####.com/game_preview/蓝牙mini音响_20180411135454504.png
img-125####.c####.myqc####.com/game_preview/面包干_20171227115928571.png
pub-####.qin####.com/tdata_EDT356
t####.c####.q####.####.com/config/hz-hzv3.conf
t####.c####.q####.####.com/tdata_MkX219
t####.c####.q####.####.com/tdata_iGj879
thi####.q####.cn/mmopen/vi_32/Hz0NvRUibHS1cvflpLyCb2KI94LibVEbHV1dSMNQia...
thi####.q####.cn/mmopen/vi_32/iapZicJugGMDlqDmP55dYRzN7lz42CaP1rvg537F1i...

Запросы HTTP POST:

a####.u####.com/app_logs
c-h####.g####.com/api.php?format=####&t=####
sdk.o####.p####.####.com/api.php?format=####&t=####

Изменения в файловой системе:

Создает следующие файлы:

/data/data/####/.imprint
/data/data/####/.jg.ic
/data/data/####/00edcd8fdd5cc2c881e359758293c59969e3e185830d4a7....0.tmp
/data/data/####/0105889fd78db2e82187a09d9544ff99568c7359970083b....0.tmp
/data/data/####/01dc54c35a98921c05ddeece0a9856ed185df174ee95b48....0.tmp
/data/data/####/03bb6a89172e5a3fd1899a5a51513c574c85ae5e0a8bcf2....0.tmp
/data/data/####/04320872dba178d09b9da7aef684f62ccad2202a07bd53d....0.tmp
/data/data/####/056d319d85547db04b0c1981788cf65db4142ec2637a8d5....0.tmp
/data/data/####/095854edd67aaf1e80090ed6b0390443a91cc3500776a1e....0.tmp
/data/data/####/0a330a1ecd7c22f83eae187f2e6995bc4adc27246d8b886....0.tmp
/data/data/####/0e92617b4b725b6b1915308cc8da480cf3a550f89d54f86....0.tmp
/data/data/####/0f5d7b03bc7a7e7faedd9fe62fc34a7f2bdaaba87ffb0af....0.tmp
/data/data/####/13a50fd0ba06b3be651a4c043f7dd46a039149a477c41d7....0.tmp
/data/data/####/185a50afda8f1c98df6bfef0df577303dbf854738a1c946....0.tmp
/data/data/####/1b3f78c2e6feb5667814b47f914aab5a80a97bfd800fdd2....0.tmp
/data/data/####/1dab66a802a5450beab438bfaa03eb4d9ec100b04d384c5....0.tmp
/data/data/####/22606565f9abcb15ca21925d94c57690296badf8b0a6ec2....0.tmp
/data/data/####/22b5c98610d1d9587811b2b70ca69b535dcb20d170e852c....0.tmp
/data/data/####/2a2991212043535f475a9e6410ed770791df685498f8494....0.tmp
/data/data/####/2dba39ed70c6fe9d8d586bb4d91d7d050cbc122e1d32dbc....0.tmp
/data/data/####/2f08dbc3a8da37007a53aac65d3e5ffdb31ed6f366b423f....0.tmp
/data/data/####/30d0d12448161ababf7ab643804eff59742ad7ecc786b23....0.tmp
/data/data/####/315463d6d9c56fd95380ed22158d1c22bb27859b1fd8f03....0.tmp
/data/data/####/34233e7e53eae620b299c8dbf6752501567d5b849c7ab6e....0.tmp
/data/data/####/36b91e473c86348f120cff348ff1d6e915de7dce4c540a2....0.tmp
/data/data/####/3cf86b46be5d0b4dfe26c934440fba0628217ff6f55be2b....0.tmp
/data/data/####/3d3c0926277fe99b5cc9fd299c4d702a34184b2c6f9166b....0.tmp
/data/data/####/3dc4b9dac328ade5b3736ac2c621791cf0d092eb5f4cd94....0.tmp
/data/data/####/3fbb3b3a3896b294738addbfec65e219dfbba3a45fb0774....0.tmp
/data/data/####/429897a6bc18e6a8e7bae2e401bbf704e187a0ba1f2ffa3....0.tmp
/data/data/####/44ff619d77e0fe61ebc607a7aee357de618d6049859f89e....0.tmp
/data/data/####/5c405211428a739fcac3d507a1393fbc5e4314bce8994c7....0.tmp
/data/data/####/5c695c712ead98c488ff8b0cf4f6f6632c0b88e69edc57d....0.tmp
/data/data/####/6134131865f85d5a4c4b69e90cd1d5e1b09a128ed3e8b78....0.tmp
/data/data/####/67ca021ea475d4595a412a9466d6793a86721fcaefb37c3....0.tmp
/data/data/####/69c9f9fb0c1c12fdbe8dfab8a4327581cb74512b2d7895d....0.tmp
/data/data/####/6f40cc8919988987cbe9fc81ad98922ee3f627cb4d75241....0.tmp
/data/data/####/70eb5cfbb164808c9c966be8251aab81f14ebe82c518a19....0.tmp
/data/data/####/779bc03cdb3f30dc466dbd4624eff08b3fabc37e0433da5....0.tmp
/data/data/####/8037de421dee750a0a6be1f4ed612250b37887d2e2f4c46....0.tmp
/data/data/####/809507a52808200581cf6612b0f5fd1cf521f861fad4dbb....0.tmp
/data/data/####/8c2a6953b2ee2b633038a1b96afc34bdac11c2e629bdf96....0.tmp
/data/data/####/8cc22e842e6b14b92a3b1714c3fda3622a2c859040286a2....0.tmp
/data/data/####/970639160de881669dcdcf9291040c97aea490e9e41ab3e....0.tmp
/data/data/####/Alvin2.xml
/data/data/####/ContextData.xml
/data/data/####/a04e33e46f43ed48e768067069e40ad14cf01f53ecb276d....0.tmp
/data/data/####/a1952d08b71e2d935b13b991b05b27138e8d65bc7827f7e....0.tmp
/data/data/####/a30097f4c80406bd5ae822dd79453208103c1903e8d273a....0.tmp
/data/data/####/a57afcdd702e0ad629fdedc078ff87be4c999b894ec4268....0.tmp
/data/data/####/a920f5689871645e98db01ff81ff11b7e8885fae427b785....0.tmp
/data/data/####/ab00e83c6ffefe1f33a60fd483ceaa8dd90a0b79c5418a7....0.tmp
/data/data/####/b0e72b65503bc3a8dbddc0c05adc7e399102b533aa2ab13....0.tmp
/data/data/####/b49ffb6021f43ff5ce72e07c20f19d40795f17db818488c....0.tmp
/data/data/####/b58cb7a0ac348c7b3bedd86ae51b08de11f5e124c2a7239....0.tmp
/data/data/####/b79ef17e4e2945ea6f54561da208c14d18fba748b95aedf....0.tmp
/data/data/####/bdd5f4968beb5aec4c4f1408cc6e88a18507c9ac2e40644....0.tmp
/data/data/####/c2e6cc2ed1c2aea57161b7b4937e46c21cf8f407020ce16....0.tmp
/data/data/####/c6eeb720f495a43407dd3286fc4194c5455422fc32dec86....0.tmp
/data/data/####/c863d6ba37ab3ced4aef2b20073b3519a35d737fba1142e....0.tmp
/data/data/####/cb998f7931bfeec65397a915dade60280dd08104f091d6e....0.tmp
/data/data/####/cc.db
/data/data/####/cc.db-journal
/data/data/####/com.wuyukeji.huanlegou.preference.xml
/data/data/####/d290da0f9763e4389f9706942a224f2008343c61c51043b....0.tmp
/data/data/####/d6d0a146b2c4
/data/data/####/d97fbb8ff3ca50c83d2d5b07c811cdfd13e6a7b9a9a5b28....0.tmp
/data/data/####/da331eadee8c299f8c38dbaf03e47c8c4ff169c48bf9cda....0.tmp
/data/data/####/dc8735ca7df0a409feede3df3325ef2c03a5a1d6a3b66d2....0.tmp
/data/data/####/dd4b770cbabd0e39770f01ba073454837eef7cff7510f66....0.tmp
/data/data/####/de362709bc1101d4875a7ffbc7a6ec361a46b4ffb2a3050....0.tmp
/data/data/####/e0179f00d7b13b04abefe35add486917e00b538e33480d6....0.tmp
/data/data/####/e10443b2d5c2d765f5b9f62fb73f5bdf5026f4a7d42a8d6....0.tmp
/data/data/####/e9883e9383d0d5509b8bf614b8d5ff7b4ead40846831011....0.tmp
/data/data/####/exchangeIdentity.json
/data/data/####/exid.dat
/data/data/####/f568c61438111b1f6c90d03d41c0ac061737c6578b4597f....0.tmp
/data/data/####/f5b42afc596d271bf298ef07931867bc29d90f927f7a937....0.tmp
/data/data/####/fec2dc49a64face2f3723bc2cd5898395110cd30b110fa6....0.tmp
/data/data/####/gdaemon_20161017
/data/data/####/getui_sp.xml
/data/data/####/gx_sp.xml
/data/data/####/init.pid
/data/data/####/init_c1.pid
/data/data/####/jg_so_upgrade_setting.xml
/data/data/####/journal.tmp
/data/data/####/libjiagu.so
/data/data/####/push.pid
/data/data/####/pushext.db-journal
/data/data/####/pushg.db-journal
/data/data/####/pushsdk.db-journal
/data/data/####/run.pid
/data/data/####/tdata_MkX219
/data/data/####/tdata_MkX219.jar
/data/data/####/tdata_iGj879
/data/data/####/tdata_iGj879.jar
/data/data/####/ua.db
/data/data/####/ua.db-journal
/data/data/####/umeng_general_config.xml
/data/data/####/umeng_it.cache
/data/data/####/webview.db-journal
/data/media/####/Alvin2.xml
/data/media/####/ContextData.xml
/data/media/####/app.db
/data/media/####/com.getui.sdk.deviceId.db
/data/media/####/com.igexin.sdk.deviceId.db
/data/media/####/com.wuyukeji.huanlegou.bin
/data/media/####/com.wuyukeji.huanlegou.db
/data/media/####/tdata_MkX219
/data/media/####/tdata_iGj879
/data/media/####/test.log

Другие:

Запускает следующие shell-скрипты:

<Package Folder>/files/gdaemon_20161017 0 <Package>/<Package>.push.GeTuiPushServer 25272 300 0
cat /sys/class/net/wlan0/address
chmod 700 <Package Folder>/files/gdaemon_20161017
chmod 755 <Package Folder>/.jiagu/libjiagu.so
mount

Загружает динамические библиотеки:

getuiext2
libjiagu

Использует следующие алгоритмы для шифрования данных:

AES-CBC-PKCS5Padding
AES-CBC-PKCS7Padding
RSA-NONE-OAEPWithSHA1AndMGF1Padding

Использует следующие алгоритмы для расшифровки данных:

AES-CBC-PKCS7Padding

Использует специальную библиотеку для скрытия исполняемого байткода.

Осуществляет доступ к информации о сети.

Осуществляет доступ к информации о телефоне (номер, IMEI и т. д.).

Осуществляет доступ к информации об установленных приложениях.

Добавляет задания в системный планировщик.

Отрисовывает собственные окна поверх других приложений.

Технологии

Термины

Обучение и просвещение

Мифы

Техническая информация

Рекомендации по лечению

Демо бесплатно на 14 дней