Adware.Gexin.7662

Техническая информация

Вредоносные функции:

Выполняет код следующих детектируемых угроз:

Adware.Gexin.2.origin

Осуществляет доступ к приватному интерфейсу ITelephony.

Сетевая активность:

Подключается к:

UDP(DNS) <Google DNS>
TCP(HTTP/1.1) c-h####.g####.com:80
TCP(HTTP/1.1) a####.u####.com:80
TCP(HTTP/1.1) qin####.com.www.####.com:80
TCP(HTTP/1.1) t####.c####.q####.####.com:80
TCP(HTTP/1.1) h####.opensp####.cn:80
TCP(HTTP/1.1) c.appj####.com:80
TCP(HTTP/1.1) a.appj####.com:80
TCP(HTTP/1.1) oss.newairc####.com:80
TCP(HTTP/1.1) sdk.o####.p####.####.com:80
TCP(HTTP/1.1) h5.newairc####.com:80
TCP(HTTP/1.1) d####.opensp####.cn:80
TCP(TLS/1.0) s####.ml####.cc:443
TCP(TLS/1.0) 1####.217.168.238:443
TCP(TLS/1.0) oss.newairc####.com:443
TCP c####.g####.ig####.com:5225
TCP sdk.o####.t####.####.com:5224

Запросы DNS:

7j####.c####.z0.####.com
a####.u####.com
a.appj####.com
c####.g####.ig####.com
c-h####.g####.com
c.appj####.com
d####.opensp####.cn
h####.opensp####.cn
h5.newairc####.com
img.newairc####.com
mt####.go####.com
oss.newairc####.com
pub-####.qin####.com
s####.ml####.cc
sdk.c####.ig####.com
sdk.o####.p####.####.com
sdk.o####.t####.####.com
sdk.o####.t####.####.com
sdk.o####.t####.####.net

Запросы HTTP GET:

h####.opensp####.cn/launchconfig?t=####&p=YW50b####
h5.newairc####.com/api/getArticles?sid=####&cid=####&lastFileID=####&row...
h5.newairc####.com/api/getColumns?sid=####&cid=####
h5.newairc####.com/api/getConfig?sid=####
oss.newairc####.com/st/pic/201706/06/2f7ef8a1-e0d4-4e59-954e-583c1a3ff17...
oss.newairc####.com/st/pic/201706/06/73a81cba-2c71-457f-9cd9-26cf3f6b950...
oss.newairc####.com/st/pic/201706/06/b24fcbd8-61c0-4bcf-8350-49399711ffb...
oss.newairc####.com/st/pic/201706/16/1346adf2-0814-4691-bff3-5f9858bfd35...
oss.newairc####.com/st/pic/201706/16/7bf83fef-cab1-4cf9-b5eb-e2d39691b36...
oss.newairc####.com/st/pic/201706/16/832abc0c-f77e-4ec8-bdf3-62ab9c98d08...
oss.newairc####.com/st/pic/201706/16/a073d659-577e-4954-92e5-d010e9298ff...
oss.newairc####.com/st/pic/201711/17/0d2729e5-1a3e-4397-a1e0-e3be7732d00...
oss.newairc####.com/st/pic/201711/28/a3c011d6-0152-4297-9609-9d96d81c1a2...
oss.newairc####.com/st/pic/201712/05/456722ee-ec10-41ed-bf00-57fef807835...
oss.newairc####.com/st/pic/201802/14/75ca3215-4f06-4096-a7a6-0928d50cf8b...
qin####.com.www.####.com/tdata_EDT369
t####.c####.q####.####.com/config/hz-hzv3.conf
t####.c####.q####.####.com/tdata_Bbr255
t####.c####.q####.####.com/tdata_Soq141
t####.c####.q####.####.com/tdata_vxj811

Запросы HTTP POST:

a####.u####.com/app_logs
a.appj####.com/jiagu/check/upgrade
c-h####.g####.com/api.php?format=####&t=####
c.appj####.com/ad/splash/stats.html
d####.opensp####.cn/index.php/clientrequest/clientcollect/isCollect
sdk.o####.p####.####.com/api.php?format=####&t=####

Изменения в файловой системе:

Создает следующие файлы:

/data/data/####/-1312716470
/data/data/####/-1383854799
/data/data/####/-1383854823
/data/data/####/-1383854824
/data/data/####/-1383854825
/data/data/####/.imprint
/data/data/####/.jg.ic
/data/data/####/010a68c2831c98da3bcfdf712ba17cc0732468cd0503340....0.tmp
/data/data/####/038c764be201904f33e7a19be770eb17daa18850bfb9d16....0.tmp
/data/data/####/094e82e4f5c9ffc2318fc3fe2fd8a2d372eca24776c2921....0.tmp
/data/data/####/0f7501971e578490557b8e6f4780886a462df7db49bec53....0.tmp
/data/data/####/116812915cc2f33941f07d01eef89c10b7f882a30f66f0a....0.tmp
/data/data/####/119050693
/data/data/####/1389023919
/data/data/####/150070500
/data/data/####/1695857311
/data/data/####/181090307
/data/data/####/187188def00210dab1e7c841de56ff0b945a904b5ca9d1a....0.tmp
/data/data/####/1eff89a3099a2fe248701bb8f4e590186a0fe0db0c827a6....0.tmp
/data/data/####/2014322311
/data/data/####/20a776088a47134ba7f24fde7b31730ac6562a484188555....0.tmp
/data/data/####/24aa10cf8513b5c74e24ae0a7775d03fe39f19bd0ef2f09....0.tmp
/data/data/####/30028f03203c2b8b2370718139b722f7e9160667fc1f872....0.tmp
/data/data/####/32e52c878a52962a03e5c3ddba3572efd9fa1db56750548....0.tmp
/data/data/####/331d74da3401eab9319fa149a65915719219cae45038002....0.tmp
/data/data/####/348ef1d032a1a2073918b12d29a4b52c4c407ba3e1ea738....0.tmp
/data/data/####/3523ce548281c9144d9374472f86cd944babf5a34b341ba....0.tmp
/data/data/####/35c42d6e7e2f0d34f1ad3d30487b4357d533837170117ee....0.tmp
/data/data/####/3627269f34f9a9244a12144cf5083fac132ab9e0c6c728c....0.tmp
/data/data/####/37fa50a38ed251d20855c5c1eb1522305d9b5630db4bfb7....0.tmp
/data/data/####/38632eee14e1ca363ed4ae9928011b612f333a165b8c8c3....0.tmp
/data/data/####/386967948
/data/data/####/38fa0816871be037b67d7a153618d3ea6276bd8ce93ed15....0.tmp
/data/data/####/3f33900a479d12cf692469ed98297bd3e1f451ba81738fd....0.tmp
/data/data/####/3f9dde7770fde409eb786e2b2542e1ded8bd95eeded032e....0.tmp
/data/data/####/47783e0567cf6f43e5fa4160c9e2a7fb8010e65be86f9da....0.tmp
/data/data/####/480025906f1189fb42100586bab3edb6a867d602aac903e....0.tmp
/data/data/####/492260573
/data/data/####/49f3d5a6d1360dd4361a4550ebf8cf8274fc3a3e04ccfb9....0.tmp
/data/data/####/4e32d4e5826d34caf742a7d7bddab973022cc064ca9140d....0.tmp
/data/data/####/50dec7002defa55d1ab12574442dcb8c8fc9c00948e76ba....0.tmp
/data/data/####/53c32e9cb960e9a8701225158c34fa38ff27096f00d1adc....0.tmp
/data/data/####/54b17308aca704f5a18c447f9a4255e4601d34461575572....0.tmp
/data/data/####/5539c66875a34019c2bf5f13fff0456f85824c46d8c6b8f....0.tmp
/data/data/####/56370f906ed79e380515847e33a74a401a0388dd82c9a54....0.tmp
/data/data/####/57bd0b8211e2e401390295dab382669eb93f02f5f137f6f....0.tmp
/data/data/####/57f515f034cbbb9affadd56ce0eb2a3dae6fea2da547f81....0.tmp
/data/data/####/5a49bfcd95d1d5a082e1974659d595e4692bac5c0ff98a6....0.tmp
/data/data/####/5acb142b94028647e6b51831d6f1f277367ccb863746518....0.tmp
/data/data/####/607b2850fb90c222c1ced42a1cf73266227770b9d2c1538....0.tmp
/data/data/####/65db472b4474cf30ffc0035520755b97aba0e17cd36878b....0.tmp
/data/data/####/688a68897a68eb40383ead79f9cdd938e5cd55a9154957d....0.tmp
/data/data/####/7114a5ffeb7892c0cafb93ddd01c3fbfd1b05ed5c75e8f0....0.tmp
/data/data/####/720863b073101b6a051c65cdc112a75c40f8e68de0620ee....0.tmp
/data/data/####/722668100
/data/data/####/75cbf0003e6169bfee15d9e1c049e7e37e5917d983fde9a....0.tmp
/data/data/####/765b261b88416d01b0b85e2484bcfa5a3dc10aeb86b51ad....0.tmp
/data/data/####/7b660604769355cd2399789461247aff04b4902a9c23fe2....0.tmp
/data/data/####/802461dac218fb2588ad1911c39991a0274d94fe7462fa4....0.tmp
/data/data/####/925565675
/data/data/####/975c9f586d38299665338ece0d6083b24c58c9205f79e38....0.tmp
/data/data/####/9a5f7fa12797140a93c63bbca3059c8c698186fc46e0c95....0.tmp
/data/data/####/FZLTXHK-GBK_YS.ttf
/data/data/####/a0ce6e0df0ed96191cbd219a85d61f3613ec6af80b63517....0.tmp
/data/data/####/a3f870ba84b75e50f40ed2bed334ff895901484237a57b4....0.tmp
/data/data/####/a5873a8db904ceaf477ff399a6a163fcc3406de850f5017....0.tmp
/data/data/####/a5a56d36c9b9f7c4af8c0f0ab14b5f8b4bf49409ca0c297....0.tmp
/data/data/####/a8aee957782d74a13043f2553202124e87daed7615f3e4e....0.tmp
/data/data/####/ad_show_time.xml
/data/data/####/amazeui.min.css
/data/data/####/amazeui.min.js
/data/data/####/angular1.4.6.min.js
/data/data/####/b2772debbf95640cabec74019e0f8236c564bfced22ee62....0.tmp
/data/data/####/base.css
/data/data/####/bcb4dcf6008b38a01e103c520872146f2a4e154d4ffbe0e....0.tmp
/data/data/####/beff8230d219356d560969d811a9ae59ebc0b92827b5d55....0.tmp
/data/data/####/c67d1a13e063eb4e5a29a6716a135b29d527c380a655b5c....0.tmp
/data/data/####/cad65d44bd2f99456ed75306c59f5c39674547b4250c028....0.tmp
/data/data/####/cc.db
/data/data/####/cc.db-journal
/data/data/####/cf28e13ed6e71fdd05aec57837073db47aa93e05cb32ae4....0.tmp
/data/data/####/columnId.xml
/data/data/####/com.iflytek.id.xml
/data/data/####/com.iflytek.msc.xml
/data/data/####/core_info
/data/data/####/d9112731c7a9c3162d06f010b338e42bd6b71cf72173588....0.tmp
/data/data/####/db_founder0-journal
/data/data/####/dd7d745ef062fde70829472d60acf8111fee7a92d663a83....0.tmp
/data/data/####/de0bdd26401f0d1dba4a57536d551c43fb5dd6965af7f38....0.tmp
/data/data/####/e50d4fb32183fd347dda0ecbbedd9ed9384746de057653b....0.tmp
/data/data/####/e6aaea697c7a
/data/data/####/ee0fb87cbb352f5cf8035bfceaa6fc8a37deee2933a0ba4....0.tmp
/data/data/####/exchangeIdentity.json
/data/data/####/exid.dat
/data/data/####/f8a5c9d1c7a0d74bd64b8c50d9b85a6a45ad310f4992dff....0.tmp
/data/data/####/ff484f663cb98585804ab353fc0b408a38e6a758d0fb273....0.tmp
/data/data/####/fontawesome-webfont.ttf
/data/data/####/gdaemon_20161017
/data/data/####/getui_sp.xml
/data/data/####/great_button.png
/data/data/####/great_cancel_button.png
/data/data/####/gx_sp.xml
/data/data/####/helpMsg.xml
/data/data/####/icon-images.png
/data/data/####/icon_audio_play.png
/data/data/####/icon_file.png
/data/data/####/icon_file_down.png
/data/data/####/icon_meta_voice.png
/data/data/####/icon_selector_normal.png
/data/data/####/icon_selector_press.png
/data/data/####/ifly_launch_lib.xml
/data/data/####/iflytek_state_com.founder.shantou.xml
/data/data/####/init.pid
/data/data/####/init_c1.pid
/data/data/####/jg_app_update_settings_random.xml
/data/data/####/journal.tmp
/data/data/####/jquery.min2.2.0.js
/data/data/####/js.combine.min.js
/data/data/####/libjiagu.so
/data/data/####/loading.png
/data/data/####/multidex.version.xml
/data/data/####/mwsdk_analytics.db-journal
/data/data/####/news_detail.html
/data/data/####/persistent_data.xml
/data/data/####/play.png
/data/data/####/push.pid
/data/data/####/pushext.db-journal
/data/data/####/pushg.db-journal
/data/data/####/pushk.db-journal
/data/data/####/pushsdk.db-journal
/data/data/####/reader.db
/data/data/####/reader.db-journal
/data/data/####/run.pid
/data/data/####/sanjiaoxing.png
/data/data/####/tbs_download_config.xml
/data/data/####/tbscoreinstall.txt
/data/data/####/tbslock.txt
/data/data/####/tdata_Bbr255
/data/data/####/tdata_Bbr255.jar
/data/data/####/tdata_Soq141
/data/data/####/tdata_Soq141.jar
/data/data/####/tdata_vxj811
/data/data/####/tdata_vxj811.jar
/data/data/####/ua.db
/data/data/####/ua.db-journal
/data/data/####/umeng_general_config.xml
/data/data/####/umeng_it.cache
/data/data/####/video.png
/data/media/####/.nomedia
/data/media/####/app.db
/data/media/####/com.founder.shantou.bin
/data/media/####/com.founder.shantou.db
/data/media/####/com.getui.sdk.deviceId.db
/data/media/####/com.igexin.sdk.deviceId.db
/data/media/####/iflyworkdir_test
/data/media/####/journal.tmp
/data/media/####/localTemplate.zip
/data/media/####/tdata_Bbr255
/data/media/####/tdata_Soq141
/data/media/####/tdata_vxj811
/data/media/####/test.log

Другие:

Запускает следующие shell-скрипты:

<Package Folder>/files/gdaemon_20161017 0 <Package>/<Package>.push.GeTuiPushService 24936 300 0
cat /sys/class/net/wlan0/address
chmod 700 <Package Folder>/files/gdaemon_20161017
chmod 755 <Package Folder>/.jiagu/libjiagu.so
getprop ro.product.cpu.abi
mount
sh <Package Folder>/files/gdaemon_20161017 0 <Package>/<Package>.push.GeTuiPushService 24936 300 0

Загружает динамические библиотеки:

getuiext2
libjiagu
msc

Использует следующие алгоритмы для шифрования данных:

AES-CBC-PKCS7Padding
RSA
RSA-ECB-NoPadding
RSA-NONE-OAEPWithSHA1AndMGF1Padding

Использует следующие алгоритмы для расшифровки данных:

AES-CBC-PKCS7Padding

Использует специальную библиотеку для скрытия исполняемого байт-кода.

Получает информацию о местоположении.

Получает информацию о сети.

Получает информацию о телефоне (номер, IMEI и т. д.).

Получает информацию об установленных приложениях.

Получает информацию о запущенных приложениях.

Добавляет задания в системный планировщик.

Отрисовывает собственные окна поверх других приложений.

Технологии

Термины

Обучение и просвещение

Мифы

Техническая информация

Рекомендации по лечению

Демо бесплатно на 14 дней