Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Adware.Dowgin.3.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) li.ma.ap####.net:80
- TCP(HTTP/1.1) w####.co.kr:80
- TCP(HTTP/1.1) www.broa####.co.kr:80
- TCP(HTTP/1.1) whoisdo####.kr:80
- TCP(TLS/1.0) cdn-####.widerpl####.com.####.net:443
- TCP(TLS/1.0) f####.gst####.com:443
- TCP(TLS/1.0) www.googlet####.com:443
- TCP(TLS/1.0) wild####.b####.com.####.net:443
- TCP(TLS/1.0) mat.ad####.com:443
- TCP(TLS/1.0) t####.blu####.com.####.net:443
- TCP(TLS/1.0) analy####.ad.d####.net:443
- TCP(TLS/1.0) googl####.g.doublec####.net:443
- TCP(TLS/1.0) tpc.googles####.com:443
- TCP(TLS/1.0) t1.dau####.net.####.net:443
- TCP(TLS/1.0) whoisdo####.kr:443
- TCP(TLS/1.0) pag####.googles####.com:443
- TCP(TLS/1.0) www.go####.com:443
- TCP(TLS/1.0) ssp.m####.kr:443
- TCP(TLS/1.0) api.openf####.com:443
- TCP(TLS/1.0) as.kr.widerpl####.####.net:443
- TCP(TLS/1.0) idm.skpl####.com:443
- TCP(TLS/1.0) ssl.dau####.net:443
- TCP(TLS/1.0) trc.tab####.com:443
- TCP(TLS/1.0) ssl.google-####.com:443
- TCP(TLS/1.0) cm.g.doublec####.net:443
- TCP(TLS/1.0) f####.google####.com:443
- TCP(TLS/1.0) a####.widerpl####.com:443
- TCP(TLS/1.0) id####.adm####.co.kr:4450
- TCP(TLS/1.0) adser####.go####.com:443
Запросы DNS:
- a####.widerpl####.com
- a####.widerpl####.com
- adser####.go####.com
- adser####.go####.nl
- analy####.ad.d####.net
- api.openf####.com
- cdn-####.widerpl####.com
- cm.g.doublec####.net
- do####.w####.co.kr
- f####.google####.com
- f####.gst####.com
- googl####.g.doublec####.net
- id####.adm####.co.kr
- idm.skpl####.com
- li.ma.ap####.net
- m.w####.co.kr
- mat.ad####.com
- mt####.go####.com
- pag####.googles####.com
- s####.blu####.com
- ssl.dau####.net
- ssl.google-####.com
- ssp.m####.kr
- t####.b####.com
- t1.dau####.net
- tpc.googles####.com
- trc.tab####.com
- w####.co.kr
- whoisdo####.kr
- www.broa####.co.kr
- www.go####.com
- www.googlet####.com
Запросы HTTP GET:
- w####.co.kr/
- whoisdo####.kr/
- whoisdo####.kr/forward.php?domain=####
- whoisdo####.kr/forward/
- www.broa####.co.kr/
- www.broa####.co.kr/m/en/
Запросы HTTP POST:
- li.ma.ap####.net/3ntcs/e10d/pf7
- li.ma.ap####.net/3ntcs/e10d/qf7
- li.ma.ap####.net/3ntcs/e10d/sf7
- li.ma.ap####.net/3ntcs/e10d/tf7
- li.ma.ap####.net/3ntcs/e10d/wf7
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/_mgsctn_r.xml
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/f_000001
- /data/data/####/f_000002
- /data/data/####/f_000003
- /data/data/####/f_000004
- /data/data/####/f_000005
- /data/data/####/f_000006
- /data/data/####/f_000007
- /data/data/####/f_000008
- /data/data/####/f_000009
- /data/data/####/f_00000a
- /data/data/####/index
- /data/data/####/of_prefs
- /data/data/####/package kvcht.fqrxp.xyqb.ncdat.dex (deleted)
- /data/data/####/package kvcht.fqrxp.xyqb.ncdat.jar
- /data/data/####/sliding.dat
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/media/####/manifest.db
- /data/media/####/manifest.db-journal
Другие:
Загружает динамические библиотеки:
- gdx
Использует следующие алгоритмы для шифрования данных:
- DES
- PBEWithSHA256And256BitAES-CBC-BC
Использует следующие алгоритмы для расшифровки данных:
- DES
- PBEWithSHA256And256BitAES-CBC-BC
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Получает информацию о запущенных приложениях.
Отрисовывает собственные окна поверх других приложений.
