Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Adware.Gexin.7361

Добавлен в вирусную базу Dr.Web: 2019-01-09

Описание добавлено:

Техническая информация

Вредоносные функции:
Выполняет код следующих детектируемых угроз:
  • Adware.Gexin.2.origin
Сетевая активность:
Подключается к:
  • UDP(DNS) <Google DNS>
  • TCP(HTTP/1.1) a####.qq.com:80
  • TCP(HTTP/1.1) sup####.qq.com:80
  • TCP(HTTP/1.1) l####.tbs.qq.com:80
  • TCP(HTTP/1.1) t####.c####.q####.####.com:80
  • TCP(HTTP/1.1) xiu.xi####.com:80
  • TCP(HTTP/1.1) p####.tc.qq.com:80
  • TCP(HTTP/1.1) sdk.o####.p####.####.com:80
  • TCP(HTTP/1.1) dn####.fas####.com:80
  • TCP(HTTP/1.1) c-h####.g####.com:80
  • TCP(HTTP/1.1) openmo####.qq.com:80
  • TCP(HTTP/1.1) www.w####.com:80
  • TCP(HTTP/1.1) appsup####.qq.com:80
  • TCP(HTTP/1.1) 3####.tc.qq.com:80
  • TCP(HTTP/1.1) pub.idq####.com.####.com:80
  • TCP(HTTP/1.1) a####.u####.com:80
  • TCP(HTTP/1.1) ipswitc####.fmscach####.ou####.com:80
  • TCP(HTTP/1.1) c.isds####.qq.com:80
  • TCP(HTTP/1.1) cgi.con####.qq.com:80
  • TCP(SSL/3.0) 9ec8524####.bug####.com:443
  • TCP(TLS/1.0) x####.tc.qq.com:443
  • TCP(TLS/1.0) t####.qq.com:443
  • TCP(TLS/1.0) ssl.ptlo####.qq.com:443
  • TCP(TLS/1.0) pin####.qq.com:443
  • TCP(TLS/1.0) ty.cap####.qq.com:443
  • TCP(TLS/1.0) 9ec8524####.bug####.com:443
  • TCP(TLS/1.0) xui.ptlo####.qq.com:443
  • TCP(TLS/1.0) sup####.qq.com:443
  • TCP(TLS/1.0) ui.ptlo####.qq.com:443
  • TCP(TLS/1.0) ssl.cap####.qq.com:443
  • TCP(TLS/1.0) 1####.217.17.78:443
  • TCP(TLS/1.0) huatuos####.we####.com:443
  • TCP(TLS/1.0) p####.tc.qq.com:443
  • TCP c####.g####.ig####.com:5227
  • TCP sdk.o####.t####.####.com:5224
Запросы DNS:
  • 7j####.c####.z0.####.com
  • 9ec8524####.bug####.com
  • a####.qq.com
  • a####.qq.com
  • a####.u####.com
  • appsup####.qq.com
  • c####.g####.ig####.com
  • c-h####.g####.com
  • c.isds####.qq.com
  • cap####.g####.com
  • cgi.con####.qq.com
  • dn####.fas####.com
  • huatuos####.we####.com
  • i####.dd.qq.com
  • i.g####.cn
  • imgc####.qq.com
  • j####.aq.qq.com
  • l####.tbs.qq.com
  • openmo####.qq.com
  • pin####.qq.com
  • pub.idq####.com
  • q####.qq.com
  • qzones####.g####.cn
  • sdk.c####.ig####.com
  • sdk.o####.p####.####.com
  • sdk.o####.t####.####.com
  • sdk.o####.t####.####.com
  • sdk.o####.t####.####.net
  • ssl.cap####.qq.com
  • ssl.ptlo####.qq.com
  • sup####.qq.com
  • t####.qq.com
  • ty.cap####.qq.com
  • ui.ptlo####.qq.com
  • w####.xi####.com
  • www.w####.com
  • xiu.xi####.com
  • xui.ptlo####.qq.com
Запросы HTTP GET:
  • 3####.tc.qq.com/16891/B82FD7E2F759060B05E2D486364BE1D0.apk?fsname=####&c...
  • 3####.tc.qq.com/imtt.dd.qq.com/16891/B82FD7E2F759060B05E2D486364BE1D0.ap...
  • a####.qq.com/detail/com.tencent.mobileqq?autodownload=####&norecommend=#...
  • appsup####.qq.com/cgi-bin/appstage/mstats_report?report_type=####&platfo...
  • c.isds####.qq.com/code.cgi?domain=####&cgi=####&type=####&code=####&time...
  • cgi.con####.qq.com/qqconnectopen/openapi/policy_conf?sdkv=####&appid=###...
  • dn####.fas####.com/dnionget
  • ipswitc####.fmscach####.ou####.com/vshow/streamname?get_url=####
  • openmo####.qq.com/oauth2.0/m_authorize?status_userip=####&scope=####&red...
  • p####.tc.qq.com/c/=/open/mobile/login/js/login_browser_jump.js
  • p####.tc.qq.com/open/mobile/login/qzsjump.html?status_userip=####&scope=...
  • p####.tc.qq.com/open_proj/qqconnect/h5login/css/jump2.css?t=####
  • p####.tc.qq.com/open_proj/qqconnect/h5login/css/sprite/jump2.png?max_age...
  • pub.idq####.com.####.com/qconn/widget/mobile/login/images/loading.gif?ma...
  • sup####.qq.com/write.shtml?fid=####&ADPUBNO=####
  • t####.c####.q####.####.com/config/hz-hzv3.conf
  • t####.c####.q####.####.com/tdata_BAI450
  • t####.c####.q####.####.com/tdata_YJA893
  • xiu.xi####.com/upload/xiu/0/10/ltkj45699_pixel_56.com_180808093314.jpg
  • xiu.xi####.com/upload/xiu/0/82/qq-vmrwsykjai_pixel_56.com_180226093717.jpg
  • xiu.xi####.com/upload/xiu/1/38/sj-bmnfvmyidb_pixel_56.com_180329125849.jpg
  • xiu.xi####.com/upload/xiu/15/37/qq-jkooxvzksw_pixel_56.com_180308141600....
  • xiu.xi####.com/upload/xiu/16/20/qq-xbhvrqwdpw_pixel_56.com_180918145846....
  • xiu.xi####.com/upload/xiu/18/17/sj-jancxstvxr_pixel_56.com_181222111117....
  • xiu.xi####.com/upload/xiu/23/20/sj-ifzxucolhx_pixel_56.com_181222232956....
  • xiu.xi####.com/upload/xiu/24/31/wx-qierxrtipc_pixel_56.com_181204012846....
  • xiu.xi####.com/upload/xiu/25/69/qq-pkatgajadq_pixel_56.com_180815110803....
  • xiu.xi####.com/upload/xiu/25/73/qq-adalanyctk_pixel_56.com_170922173037....
  • xiu.xi####.com/upload/xiu/29/4/wang5299_pixel_56.com_180706131609.jpg
  • xiu.xi####.com/upload/xiu/4/32/qq-pibhgoibkn_pixel_56.com_180306104356.jpg
  • xiu.xi####.com/upload/xiu/41/71/qq-uvuznogjsc_pixel_56.com_190108223058....
  • xiu.xi####.com/upload/xiu/46/62/wx-edwmfgozev_pixel_56.com_180622081148....
  • xiu.xi####.com/upload/xiu/52/71/sj-acluxwqcxm_pixel_56.com_181003124854....
  • xiu.xi####.com/upload/xiu/53/73/qq-vdlobxohkw_pixel_56.com_181107004140....
  • xiu.xi####.com/upload/xiu/55/40/qianbao5200_pixel_56.com_181222234026.jpg
  • xiu.xi####.com/upload/xiu/6/12/wj77777_pixel_56.com_170217130607.jpg
  • xiu.xi####.com/upload/xiu/62/11/sj-iuevqjzpot_pixel_56.com_190109140609....
  • xiu.xi####.com/upload/xiu/62/29/qq-mvvttulpjr_pixel_56.com_181125170524....
  • xiu.xi####.com/upload/xiu/63/59/wx-ecbzoewcfa_pixel_56.com_181202134752....
  • xiu.xi####.com/upload/xiu/64/82/wx-basiuvcxcf_pixel_56.com_181026072512....
  • xiu.xi####.com/upload/xiu/66/16/sj-cjunvlyvkr_pixel_56.com_181226093901....
  • xiu.xi####.com/upload/xiu/66/65/qq-irlalfkikm_pixel_56.com_180731165748....
  • xiu.xi####.com/upload/xiu/69/30/qq-bnwzmomxgx_pixel_56.com_181124153727....
  • xiu.xi####.com/upload/xiu/69/69/sj-qhgdphzbcn_pixel_56.com_180608122659....
  • xiu.xi####.com/upload/xiu/75/11/qq-okqexdlmrk_pixel_56.com_181117184850....
  • xiu.xi####.com/upload/xiu/77/1/wx-iqefsfetgi_pixel_56.com_181218134554.jpg
  • xiu.xi####.com/upload/xiu/8/86/wx-yfxsdrrecd_pixel_56.com_180620165330.jpg
  • xiu.xi####.com/upload/xiu/80/76/bch1985_union_b_160503110843.jpg
  • xiu.xi####.com/upload/xiu/84/6/qq-ygckccpzhe_pixel_56.com_180606175022.jpg
  • xiu.xi####.com/upload/xiu/90/40/sj-azkisxocxb_pixel_56.com_181224163809....
  • xiu.xi####.com/upload/xiu/93/56/sj-pxqmgygolh_pixel_56.com_181215152356....
  • xiu.xi####.com/upload/xiu/97/69/sj-uihlvajnzz_pixel_56.com_181017104927....
  • xiu.xi####.com/upload/xiu/98/18/qq-zfiderahlb_pixel_56.com_171204115856....
  • xiu.xi####.com/upload/xiu/99/81/sj-xtimbktmxu_pixel_56.com_181227201142....
Запросы HTTP POST:
  • a####.u####.com/app_logs
  • appsup####.qq.com/cgi-bin/appstage/mstats_batch_report
  • c-h####.g####.com/api.php?format=####&t=####
  • l####.tbs.qq.com/ajax?c=####&k=####
  • sdk.o####.p####.####.com/api.php?format=####&t=####
  • www.w####.com/index.php?action=####&do=####
Изменения в файловой системе:
Создает следующие файлы:
  • /data/data/####/.imprint
  • /data/data/####/.jg.ic
  • /data/data/####/08aebb2cc44ac69daff6386f5d8b79690aadca67d8f99c2....0.tmp
  • /data/data/####/0dcef0f5c462afda98b9da44c0e3e0e5f4289f3595db52c....0.tmp
  • /data/data/####/16375233e9edb0244dedb0ac71d65aac08b6db385818852....0.tmp
  • /data/data/####/182e038f260c710aa2a0af62e3244ac3488dabec03d9621....0.tmp
  • /data/data/####/1db0d1167fa28e390d2e3cfca1365a10d1f7f143e8485b7....0.tmp
  • /data/data/####/26d4541a5b097959bddc29643ec3816d20e9fef9812b671....0.tmp
  • /data/data/####/4e489103c02af9f7d665770e3ec1437dc04baa4fa80544e....0.tmp
  • /data/data/####/58acf7d73dfe0451b44e3ced578c4e8adca566c2b648904....0.tmp
  • /data/data/####/5ede0c1731a73175381beec961daca7b9adf7d712479937....0.tmp
  • /data/data/####/67e94a3d3261bf9be1c45e8a12d06ab8ade922d7d662743....0.tmp
  • /data/data/####/69d4207849fc995a3f119ec3442cd5ee30919fc287fed34....0.tmp
  • /data/data/####/6dc734f9a295f81558c9afc823191a5ebeb8073eee49799....0.tmp
  • /data/data/####/710bd5df5d775679623318de91d6638bb57c84782669664....0.tmp
  • /data/data/####/7b4c6521e6c8c3279b79e9337ff9a13dce8bb70eb863c1f....0.tmp
  • /data/data/####/7f11a2fb8ffda8364437970a2930722ea4e324a81a08512....0.tmp
  • /data/data/####/80a25d68ac46f7b0d1100ad75ace434a059abd8f4bdd5bd....0.tmp
  • /data/data/####/9027722b264293cb72a993bab522e19575616df030b9ad7....0.tmp
  • /data/data/####/9185527384de8f5f9730fa4b738ada467e4c2fc50fa568d....0.tmp
  • /data/data/####/94503821521ae3e246709ac31cecea011a1c5f955645137....0.tmp
  • /data/data/####/988bb124115dc7d8dae953a5cefcbcce9bed6959070e512....0.tmp
  • /data/data/####/99d54d02a1aa2b0fc5a9780b7b9e1b27bbcaa09f5e0176d....0.tmp
  • /data/data/####/TrineaAndroidCommon.xml
  • /data/data/####/a1b1619d22fcdd5e6f8f0232b8f4ba0419578aa4c04ff0e....0.tmp
  • /data/data/####/adaf7447e422add0fb8e3c54397e7cc5171aebb4afd93c0....0.tmp
  • /data/data/####/b342d5563202817db8aa0fb170aa6db98e1e063bd7bb142....0.tmp
  • /data/data/####/b8e91effba8902344510ff63770839569c16c2e30f504d7....0.tmp
  • /data/data/####/c251fbc3c514c31a01ecc8b40d28625b74cc3394fa780a7....0.tmp
  • /data/data/####/ca93e7c8ee94e70def203d4cac1a24d93fa8ddab76e0bb6....0.tmp
  • /data/data/####/cc.db
  • /data/data/####/cc.db-journal
  • /data/data/####/cf5ed18afed2d850ce01ecb8a896cb07f13ed5f02711088....0.tmp
  • /data/data/####/com.tencent.open.config.json.1101059477
  • /data/data/####/core_info
  • /data/data/####/d175eaf20936890af93063b5c05151df53c629cf90623a1....0.tmp
  • /data/data/####/d1fa97d8eeccc8766eafc5027ab2413c77a8c6616ad546b....0.tmp
  • /data/data/####/dad2741798a089b7573df69dca805c6f78f5caac57d3751....0.tmp
  • /data/data/####/data_0
  • /data/data/####/data_1
  • /data/data/####/data_2
  • /data/data/####/data_3
  • /data/data/####/dfde7da047fb403e91bc97f3b2b68a75701f41655cc0cc8....0.tmp
  • /data/data/####/e09e8f7b668456f3e007dfa07f7522a04a5386a4d1ae34d....0.tmp
  • /data/data/####/eb13caed5633335e6ddec1a078d7276cc32609b97f17d7d....0.tmp
  • /data/data/####/edd0adfb374a2ecafc8ccac7448e966eda07442121e7acf....0.tmp
  • /data/data/####/exchangeIdentity.json
  • /data/data/####/exid.dat
  • /data/data/####/f5cbdbae13fbae4bee1f15250cb48a6e6373deca507eed5....0.tmp
  • /data/data/####/f_000001
  • /data/data/####/f_000002
  • /data/data/####/f_000003
  • /data/data/####/f_000004
  • /data/data/####/f_000005
  • /data/data/####/f_000006
  • /data/data/####/gdaemon_20161017
  • /data/data/####/getui_sp.xml
  • /data/data/####/gx_sp.xml
  • /data/data/####/https_xui.ptlogin2.qq.com_0.localstorage-journal
  • /data/data/####/index
  • /data/data/####/init.pid
  • /data/data/####/init_c1.pid
  • /data/data/####/journal.tmp
  • /data/data/####/libjiagu616568235.so
  • /data/data/####/libwbsafeedit_x86.so
  • /data/data/####/multidex.version.xml
  • /data/data/####/push.pid
  • /data/data/####/pushext.db-journal
  • /data/data/####/pushg.db-journal
  • /data/data/####/pushsdk.db-journal
  • /data/data/####/run.pid
  • /data/data/####/sdk_report.db
  • /data/data/####/sdk_report.db-journal
  • /data/data/####/secure_lib.xml
  • /data/data/####/tbs_download_config.xml
  • /data/data/####/tbs_download_stat.xml
  • /data/data/####/tbscoreinstall.txt
  • /data/data/####/tbslock.txt
  • /data/data/####/tdata_BAI450
  • /data/data/####/tdata_BAI450.jar
  • /data/data/####/tdata_YJA893
  • /data/data/####/tdata_YJA893.jar
  • /data/data/####/ua.db
  • /data/data/####/ua.db-journal
  • /data/data/####/umeng_general_config.xml
  • /data/data/####/umeng_it.cache
  • /data/data/####/webview.db-journal
  • /data/data/####/webviewCookiesChromium.db-journal
  • /data/media/####/.nomedia
  • /data/media/####/app.db
  • /data/media/####/com.getui.sdk.deviceId.db
  • /data/media/####/com.igexin.sdk.deviceId.db
  • /data/media/####/com.tencent.mobileqq_7.9.5_980.apk
  • /data/media/####/com.wole56.ishow.bin
  • /data/media/####/com.wole56.ishow.db
  • /data/media/####/tdata_BAI450
  • /data/media/####/tdata_YJA893
  • /data/media/####/test.log
Другие:
Запускает следующие shell-скрипты:
  • <Package Folder>/files/gdaemon_20161017 0 <Package>/<Package>.service.DemoPushService 24511 300 0
  • chmod 700 <Package Folder>/files/gdaemon_20161017
  • getprop ro.product.cpu.abi
  • sh <Package Folder>/files/gdaemon_20161017 0 <Package>/<Package>.service.DemoPushService 24511 300 0
Загружает динамические библиотеки:
  • Bugtags
  • getuiext2
  • libjiagu616568235
  • libwbsafeedit_x86
Использует следующие алгоритмы для шифрования данных:
  • AES-CBC-PKCS7Padding
  • RSA-ECB-NoPadding
  • RSA-NONE-OAEPWithSHA1AndMGF1Padding
Использует следующие алгоритмы для расшифровки данных:
  • AES-CBC-PKCS7Padding
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию о настроках APN.
Получает информацию об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.

Рекомендации по лечению

  1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
  2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Скачать Dr.Web

По серийному номеру

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке