Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Android.RemoteCode.2860

Добавлен в вирусную базу Dr.Web: 2019-01-24

Описание добавлено:

Техническая информация

Вредоносные функции:
Выполняет код следующих детектируемых угроз:
  • Android.RemoteCode.127.origin
Осуществляет доступ к приватному интерфейсу ITelephony.
Сетевая активность:
Подключается к:
  • UDP(DNS) <Google DNS>
  • TCP(HTTP/1.1) aexcep####.b####.qq.com:8011
  • TCP(HTTP/1.1) aexcep####.b####.qq.com:8012
  • TCP(HTTP/1.1) api.won####.com:80
  • TCP(HTTP/1.1) and####.b####.qq.com:80
  • TCP(HTTP/1.1) a####.exc.mob.com:80
  • TCP(HTTP/1.1) ti####.c####.l####.####.com:80
  • TCP(TLS/1.0) api.map.b####.com:443
  • TCP(TLS/1.0) et2-na6####.wagbr####.ali####.####.com:443
  • TCP(TLS/1.0) api.s####.com:443
  • TCP(TLS/1.0) o####.map.b####.com:443
  • TCP(TLS/1.0) loc.map.b####.com:443
  • TCP(TLS/1.0) 1####.217.20.78:443
Запросы DNS:
  • a####.b####.qq.com
  • a####.exc.mob.com
  • aexcep####.b####.qq.com
  • and####.b####.qq.com
  • api.map.b####.com
  • api.s####.com
  • api.won####.com
  • img.won####.com
  • loc.map.b####.com
  • o####.map.b####.com
  • plb####.u####.com
  • u####.u####.com
Запросы HTTP GET:
  • ti####.c####.l####.####.com/userfiles/image/20180724/2415554375e75a69197...
  • ti####.c####.l####.####.com/userfiles/image/20180725/2509140560afa2edde7...
  • ti####.c####.l####.####.com/userfiles/image/20180804/0415170446fb01b7b25...
  • ti####.c####.l####.####.com/userfiles/image/20180813/13104627e1215984c41...
  • ti####.c####.l####.####.com/userfiles/image/20180815/15180341a1ef7e3a9d8...
  • ti####.c####.l####.####.com/userfiles/image/20180820/201719315c1afcb19f0...
  • ti####.c####.l####.####.com/userfiles/image/20180820/20172615e0ab308e357...
  • ti####.c####.l####.####.com/userfiles/image/20180905/05180751ccbb061f133...
  • ti####.c####.l####.####.com/userfiles/image/20180929/291325408e121391409...
  • ti####.c####.l####.####.com/userfiles/image/20180929/29164928bf7f7632937...
  • ti####.c####.l####.####.com/userfiles/image/20180930/30175525ff378630af4...
  • ti####.c####.l####.####.com/userfiles/image/20180930/301756193bb5f484a69...
  • ti####.c####.l####.####.com/userfiles/image/20181015/15094421f06e105bd77...
  • ti####.c####.l####.####.com/userfiles/image/20181018/1817512406b35ba86d7...
  • ti####.c####.l####.####.com/userfiles/image/20181128/28141204853dbb75eb2...
  • ti####.c####.l####.####.com/userfiles/image/20181130/301754184f8d4a177d5...
  • ti####.c####.l####.####.com/userfiles/image/20181203/0313485626e3d572494...
  • ti####.c####.l####.####.com/userfiles/image/20181218/1816545941459c21684...
  • ti####.c####.l####.####.com/userfiles/image/20181220/20103707c8a963180e2...
  • ti####.c####.l####.####.com/userfiles/image/20181220/20110044000a73149a8...
  • ti####.c####.l####.####.com/userfiles/image/20190107/07175349571b96fdb09...
  • ti####.c####.l####.####.com/userfiles/image/20190107/0717594602f654b7b43...
  • ti####.c####.l####.####.com/userfiles/images/a5mbp0odr35a5mbp0odr35.jpg-...
  • ti####.c####.l####.####.com/userfiles/images/cozy235g3m1cozy235g3m1.jpg-...
  • ti####.c####.l####.####.com/userfiles/images/d0vq5jjqzeod0vq5jjqzeo.jpg-...
  • ti####.c####.l####.####.com/userfiles/images/x100cb44uujx100cb44uuj.jpg-...
  • ti####.c####.l####.####.com/userfiles/images/xv3kfukbev2xv3kfukbev2.jpg-...
Запросы HTTP POST:
  • a####.exc.mob.com/errconf
  • aexcep####.b####.qq.com:8011/rqd/async
  • aexcep####.b####.qq.com:8012/rqd/async
  • and####.b####.qq.com/rqd/async
  • and####.b####.qq.com/rqd/async?aid=####
  • api.won####.com/api/v1/developer/brands
  • api.won####.com/api/v1/houses/search?area_id=####&page=####
  • api.won####.com/api/v1/planner?page=####&area_id=####&api_token=####
  • api.won####.com/api/v1/public/acreage/list
  • api.won####.com/api/v1/public/app/version?type=####
  • api.won####.com/api/v1/public/areas
  • api.won####.com/api/v1/public/areas/business?area_id=####
  • api.won####.com/api/v1/public/broadcast
  • api.won####.com/api/v1/public/feature/list?area_id=####
  • api.won####.com/api/v1/public/house/price/list?area_id=####
  • api.won####.com/api/v1/public/house/types
  • api.won####.com/api/v1/public/sale/status/list
  • api.won####.com/api/v1/public/slide?area_id=####
  • api.won####.com/api/v1/public/type/list
  • api.won####.com/api/v1/public/wiki/detail?wiki_id=####&api_token=####
  • api.won####.com/api/v1/public/wiki/list?tag_id=####&page=####
  • api.won####.com/api/v1/public/wiki/tags
  • api.won####.com/api/v1?area_id=####
Изменения в файловой системе:
Создает следующие файлы:
  • /data/data/####/-1106445582
  • /data/data/####/-1115058732
  • /data/data/####/-1421164408
  • /data/data/####/-1821612606
  • /data/data/####/-569690973
  • /data/data/####/-889919583
  • /data/data/####/-890492684
  • /data/data/####/.duid
  • /data/data/####/.imprint
  • /data/data/####/.lock
  • /data/data/####/.vpl_lock
  • /data/data/####/08ff28255f6d6843dda1cedf20411baf08448251742aa28....0.tmp
  • /data/data/####/0e5aca7d0a560d7e1abc3c802c0623b1c644a120718dec8....0.tmp
  • /data/data/####/0e7e2d6b8deff126bd9e78fe4caaec50784f964061afd3f...08b8.0
  • /data/data/####/1004
  • /data/data/####/109526449
  • /data/data/####/1112798511
  • /data/data/####/1374173782
  • /data/data/####/1938cc3d853729c3027cc46567e80247e4d314bd4e7c9f8....0.tmp
  • /data/data/####/1990137437
  • /data/data/####/236e0cfdc225b6737238d163dcc8108b6fcfc74bc16fa95....0.tmp
  • /data/data/####/2854706727592899b5928d546be2dc6d7f6ed65276c2f61....0.tmp
  • /data/data/####/2e0f8c612ab62fb0d8f5d49d5d4df7ba6f3a1e04b4dc1fd....0.tmp
  • /data/data/####/30ad81b7ab999c61869116c405e983c7fec12d0ecc52017....0.tmp
  • /data/data/####/3315bea6b28e2ed37e3c2a8077ef59e78856dd2749347ae....0.tmp
  • /data/data/####/39588cc20d874cce1f58228ddbe271f2ba336ad20c6c133....0.tmp
  • /data/data/####/3c90326f06cf36b7b14d282f7280789deda00cbc04a1896....0.tmp
  • /data/data/####/3e1954779dc6b27016bf3f927d91a408c4f9dd404835b5a....0.tmp
  • /data/data/####/4013a6f04b19e7c8a41e88197aaa63ac9ac870fc310eab6....0.tmp
  • /data/data/####/403a92b2823f197d3f39921cc1cd9c8a3d577ecf09f0c8d....0.tmp
  • /data/data/####/445d0ef091e11dc6b344490c8928ad2346780546fc01113....0.tmp
  • /data/data/####/4732e94ab957ac00b0ac589d7f2f35358aeeebaaf52d71a....0.tmp
  • /data/data/####/49e68323967fce195d2391e877fd64d45e53e4cc35f5930....0.tmp
  • /data/data/####/4c1ee4def93ee7aa300a49b9fc3b44584cd7532f30b823f....0.tmp
  • /data/data/####/4eb606e5ecb82c7c95170c6cfee1204bb447756de447e18...f128.0
  • /data/data/####/50a3029effc0a73d7a5958463e2a49fce1fa520a1ce87d3....0.tmp
  • /data/data/####/5229bb075eb9a407b568d5b1ba8d26319c50446e00c1770....0.tmp
  • /data/data/####/5296a49c056644d2d667145309af20e6ae791f97c49353d....0.tmp
  • /data/data/####/52faa38e71534b7de3cfce23bbfd3af4d76a493a67908e6....0.tmp
  • /data/data/####/56284a7f42b679aa428e9faf857de804eda2a517a9285fd....0.tmp
  • /data/data/####/64ebb501b25520f8142419cb3fe2757a953862868f0465b....0.tmp
  • /data/data/####/669066272
  • /data/data/####/697024654dec09b824ffc4c2f3508146202cc9a1a958576....0.tmp
  • /data/data/####/82890498f7bba116d02c7856da3d223e75ce747595f64c0....0.tmp
  • /data/data/####/883b259833189e47ed59187d82c55df1b9235417db3a70c....0.tmp
  • /data/data/####/8b433d0d5b36c4b7d850d294210de90cea4ac125d74ad30....0.tmp
  • /data/data/####/8d8d7bd3599171344345605a89a892e52ca30268209ef02....0.tmp
  • /data/data/####/8eb0909a811b1b5a3364e9fb83ba48db91d9af970289862....0.tmp
  • /data/data/####/905248af806afd8bcf21627e218a1a1091050088799da5f....0.tmp
  • /data/data/####/99d197263baa3d8cdd778823873f9b9dbf7584c69f07a07....0.tmp
  • /data/data/####/9ad1b649f2c2b82fe74b349f273b8c95629bbdab68be00a....0.tmp
  • /data/data/####/ThrowalbeLog.db-journal
  • /data/data/####/UM_PROBE_DATA.xml
  • /data/data/####/a5f3ba3188096107dd9cfe4869c63b2817dbd3aead06165....0.tmp
  • /data/data/####/a==7.5.4&&1.0.4_1548289717247_envelope.log
  • /data/data/####/ada05774f5f83d482d0294391efb099056e5fb50eecda26....0.tmp
  • /data/data/####/afdd29856b245da740b0d82d85e8b4dc34c6c2d4f9cf87c....0.tmp
  • /data/data/####/authStatus_com.mgmt.woniuge.xml
  • /data/data/####/authStatus_com.mgmt.woniuge;remote.xml
  • /data/data/####/b4376699fa4827f9047b233092a4f89d440838f7fc82bcd....0.tmp
  • /data/data/####/ba128794909b4c572036cdb2b245fae3f51ec098f7ec672....0.tmp
  • /data/data/####/bb293a574ed9bab349699ae8b8090e33f574a9e0bf7d0ff....0.tmp
  • /data/data/####/bc346cecefc97733df272a7fc6acc43d7fbab80491d1e2b....0.tmp
  • /data/data/####/bugly_db_-journal
  • /data/data/####/bugly_db_legu-journal
  • /data/data/####/c209cc755567a91bdee5d10c1a0b2ddc5bce4a43ad225b8....0.tmp
  • /data/data/####/c8da6d75b39e31ac7fdc8f5dca230099828913217ca661c....0.tmp
  • /data/data/####/ccbc231047231b23dbf42abad9f61ca80ff9036f73044a9....0.tmp
  • /data/data/####/cff9968a5c3b87b24dbff1be87869b13044bd02bb2b2a27....0.tmp
  • /data/data/####/crashrecord.xml
  • /data/data/####/d1bc733f328c8f61a0ef99a4605d4a6a8946cbaa88d6a7d....0.tmp
  • /data/data/####/d690537e3165b79233097770271c394f8c42a322038482b....0.tmp
  • /data/data/####/dW1weF9pbnRlcm5hbF8xNTQ4Mjg5NzE2MjYx;
  • /data/data/####/dab336bcb5cd2dd4b544c7e5209b0ae5efbb58530b84535....0.tmp
  • /data/data/####/dd3ee57a4839659ea5b69ef7216778bb64f40543db1395e....0.tmp
  • /data/data/####/domain_1
  • /data/data/####/e0aa17413679c763aeefe63d4393492073cdb011e38a856....0.tmp
  • /data/data/####/e926e9928096d5aabd2d3bea86abe066c0bd2a96f10ebfc....0.tmp
  • /data/data/####/exchangeIdentity.json
  • /data/data/####/exid.dat
  • /data/data/####/f1de054bca2bda1c6126cbaabc0812c62012894a930ee93...406f.0
  • /data/data/####/f91bdbb495e541f18c891951e7fedd0ae1b9c07eddb74f2....0.tmp
  • /data/data/####/fa9f2004eefe55764b7fd15b316ef99d7608e411f5e05b7....0.tmp
  • /data/data/####/firll.dat
  • /data/data/####/gal.db
  • /data/data/####/gal.db-journal
  • /data/data/####/hst.db
  • /data/data/####/hst.db-journal
  • /data/data/####/i==1.2.0&&1.0.4_1548289716313_envelope.log
  • /data/data/####/info.xml
  • /data/data/####/journal
  • /data/data/####/journal.tmp
  • /data/data/####/libcuid.so
  • /data/data/####/libnfix.so
  • /data/data/####/libshella-2.9.0.5.so
  • /data/data/####/libufix.so
  • /data/data/####/local_crash_lock
  • /data/data/####/mix.dex
  • /data/data/####/mob_commons_1
  • /data/data/####/mob_sdk_exception_1
  • /data/data/####/native_record_lock
  • /data/data/####/ofl.config
  • /data/data/####/ofl_location.db
  • /data/data/####/ofl_location.db-journal
  • /data/data/####/ofl_statistics.db
  • /data/data/####/ofl_statistics.db-journal
  • /data/data/####/security_info
  • /data/data/####/sobot_chat_20190124_log.txt
  • /data/data/####/sobot_config.xml
  • /data/data/####/ua.db
  • /data/data/####/ua.db-journal
  • /data/data/####/um_pri.xml
  • /data/data/####/umdat.xml
  • /data/data/####/umeng_common_config.xml
  • /data/data/####/umeng_common_location.xml
  • /data/data/####/umeng_general_config.xml
  • /data/data/####/umeng_general_config.xml.bak
  • /data/data/####/umeng_it.cache
  • /data/data/####/wng_sp.xml
  • /data/media/####/.a.dat
  • /data/media/####/.adfwe.dat
  • /data/media/####/.artc_lock
  • /data/media/####/.cca.dat
  • /data/media/####/.cuid2
  • /data/media/####/.di
  • /data/media/####/.dic_lock
  • /data/media/####/.duid
  • /data/media/####/.globalLock
  • /data/media/####/.im_lock
  • /data/media/####/.lesd_lock
  • /data/media/####/.mn_-1464060969
  • /data/media/####/.nomedia
  • /data/media/####/.pkg_lock
  • /data/media/####/.pkgs_lock
  • /data/media/####/.rc_lock
  • /data/media/####/.slw
  • /data/media/####/.ss_lock
  • /data/media/####/.umm.dat
  • /data/media/####/conlts.dat
  • /data/media/####/ls.db
  • /data/media/####/ls.db-journal
  • /data/media/####/yoh.dat
  • /data/media/####/yol.dat
  • /data/media/####/yom.dat
Другие:
Запускает следующие shell-скрипты:
  • /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_max_freq
  • /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_min_freq
  • /system/bin/sh -c getprop
  • /system/bin/sh -c getprop ro.aa.romver
  • /system/bin/sh -c getprop ro.board.platform
  • /system/bin/sh -c getprop ro.build.fingerprint
  • /system/bin/sh -c getprop ro.build.nubia.rom.name
  • /system/bin/sh -c getprop ro.build.rom.id
  • /system/bin/sh -c getprop ro.build.tyd.kbstyle_version
  • /system/bin/sh -c getprop ro.build.version.emui
  • /system/bin/sh -c getprop ro.build.version.opporom
  • /system/bin/sh -c getprop ro.gn.gnromvernumber
  • /system/bin/sh -c getprop ro.lenovo.series
  • /system/bin/sh -c getprop ro.lewa.version
  • /system/bin/sh -c getprop ro.meizu.product.model
  • /system/bin/sh -c getprop ro.miui.ui.version.name
  • /system/bin/sh -c getprop ro.vivo.os.build.display.id
  • /system/bin/sh -c type su
  • cat /sys/class/net/wlan0/address
  • chmod 700 <Package Folder>/tx_shell/libnfix.so
  • chmod 700 <Package Folder>/tx_shell/libshella-2.9.0.5.so
  • chmod 700 <Package Folder>/tx_shell/libufix.so
  • getprop
  • getprop ro.aa.romver
  • getprop ro.board.platform
  • getprop ro.build.fingerprint
  • getprop ro.build.nubia.rom.name
  • getprop ro.build.rom.id
  • getprop ro.build.tyd.kbstyle_version
  • getprop ro.build.version.emui
  • getprop ro.build.version.opporom
  • getprop ro.gn.gnromvernumber
  • getprop ro.lenovo.series
  • getprop ro.lewa.version
  • getprop ro.meizu.product.model
  • getprop ro.miui.ui.version.name
  • getprop ro.vivo.os.build.display.id
  • getprop ro.yunos.version
  • logcat -d -v threadtime
  • ls /
  • ls /sys/class/thermal
Загружает динамические библиотеки:
  • BaiduMapSDK_base_v5_2_1
  • Bugly
  • libnfix
  • libshella-2.9.0.5
  • libufix
  • locSDK7b
  • nfix
  • ufix
Использует следующие алгоритмы для шифрования данных:
  • AES-CBC-PKCS5Padding
  • AES-CBC-PKCS7Padding
  • AES-ECB-PKCS7Padding
  • AES-GCM-NoPadding
  • RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
  • AES-CBC-PKCS5Padding
  • AES-CBC-PKCS7Padding
  • AES-ECB-NoPadding
  • AES-GCM-NoPadding
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Отрисовывает собственные окна поверх других приложений.

Рекомендации по лечению


Android

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке