Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Adware.Plague.1.origin
Осуществляет доступ к приватному интерфейсу ITelephony.
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) d####.shoujid####.com:80
- TCP(HTTP/1.1) gcw.b####.shoujid####.####.com:80
- TCP(HTTP/1.1) aserver####.m.ta####.com:80
- TCP(HTTP/1.1) oc.u####.com:80
- TCP(HTTP/1.1) mfs.y####.com:80
- TCP(HTTP/1.1) cdnri####.shoujid####.com.####.com:80
- TCP(TLS/1.0) 1####.217.17.142:443
- TCP(TLS/1.0) ipv6-as####.m.ta####.com:443
- TCP(TLS/1.0) ada####.m.ta####.com:443
- TCP(TLS/1.0) vt####.y####.com:443
- TCP(TLS/1.0) sh.wagbr####.ta####.com:443
Запросы DNS:
- a####.u####.com
- ada####.ut.ta####.com
- adas####.ut.ta####.com
- api.y####.com
- cdnri####.shoujid####.com
- d####.shoujid####.com
- fb.u####.com
- gcw.b####.shoujid####.com
- mt####.go####.com
- oc.u####.com
- p####.dj####.com
- p####.dj####.com
- p####.dj####.com
- r2.y####.com
- r3.y####.com
- r4.y####.com
- ups.y####.com
- v####.atm.y####.com
- vt####.y####.com
- vt####.y####.com
Запросы HTTP GET:
- aserver####.m.ta####.com/sdkconfig.xml
- cdnri####.shoujid####.com.####.com/bama/img/c_80000007.jpg
- cdnri####.shoujid####.com.####.com/bama/img/c_80000013.jpg
- cdnri####.shoujid####.com.####.com/bama/img/c_80000014.jpg
- cdnri####.shoujid####.com.####.com/bama/img/c_80000017.jpg
- cdnri####.shoujid####.com.####.com/bama/img/c_80000018.jpg
- cdnri####.shoujid####.com.####.com/bama/img/c_80000028.jpg
- cdnri####.shoujid####.com.####.com/bama/img/c_80000036.jpg
- cdnri####.shoujid####.com.####.com/bama/img/c_80000037.jpg
- cdnri####.shoujid####.com.####.com/bama/img/c_80000038.jpg
- cdnri####.shoujid####.com.####.com/bama/img/c_80000044.jpg
- cdnri####.shoujid####.com.####.com/bama/img/c_80000051.jpg
- cdnri####.shoujid####.com.####.com/bama/img/c_80000055.jpg
- d####.shoujid####.com/bama/service/s.php?type=####&id=####&pg=####&ps=##...
- d####.shoujid####.com/bama/service/s.php?type=####&prod=####&isrc=####&v...
- gcw.b####.shoujid####.####.com/ad/c_80000069.png
- gcw.b####.shoujid####.####.com/bama/img/c_80000083.png
- mfs.y####.com/0542040852523FA36A0A426349A2812D
- mfs.y####.com/0542040854AC725D6A0A48155F8CE3BE
- mfs.y####.com/054204085563505F6A0A4004E1E169AA
- mfs.y####.com/0542040855C1EE466A0A4F3B6D945E1B
- mfs.y####.com/0542040855EEA01E6A0A456D5CBDD82A
Запросы HTTP POST:
- a####.u####.com/app_logs
- oc.u####.com/v2/check_config_update
- oc.u####.com/v2/get_update_time
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imprint
- /data/data/####/.jg.ic
- /data/data/####/0a231bd8575dcf72.txt
- /data/data/####/930a31b34bd52c08.lock
- /data/data/####/Alvin2.xml
- /data/data/####/AppStore.xml
- /data/data/####/ContextData.xml
- /data/data/####/PlayerUIApk.apk
- /data/data/####/Q0VSVC5SU0EK.txt8e3
- /data/data/####/SGMANAGER_DATA2.tmp
- /data/data/####/UTCommon.xml
- /data/data/####/UmengLocalNotificationStore.db-journal
- /data/data/####/_preferences.xml
- /data/data/####/ap.Lock
- /data/data/####/classes.jar
- /data/data/####/cn.com.mma.mobile.tracking.other.xml
- /data/data/####/cn.com.mma.mobile.tracking.sdkconfig.xml
- /data/data/####/dbnpf-journal
- /data/data/####/duoduo_oldboy.db-journal
- /data/data/####/gftu
- /data/data/####/info.pc97571.i0f619_preferences.xml
- /data/data/####/libjiagu1395043441.so
- /data/data/####/libsgavmpso-5.3.24.so.tmp
- /data/data/####/libsgmainso-5.3.43.so.tmp
- /data/data/####/libsgsecuritybodyso-5.3.29.so.tmp
- /data/data/####/lock.lock
- /data/data/####/mobclick_agent_cached_info.pc97571.i0f61951
- /data/data/####/mobclick_agent_online_setting_info.pc97571.i0f619.xml
- /data/data/####/qihoo_jiagu_crash_report.xml
- /data/data/####/sp.lock
- /data/data/####/umeng_feedback_user_info.xml
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/umeng_message_state.xml
- /data/data/####/ut.db
- /data/data/####/ut.db-journal
- /data/data/####/webview.db-journal
- /data/data/####/youkusdk_preferences.xml
- /data/media/####/-1668372952
- /data/media/####/-659081212
- /data/media/####/.nomedia
- /data/media/####/1141240000
- /data/media/####/1270322719
- /data/media/####/1399405438
- /data/media/####/1ctyxie1z6lm6bb1mrr6j042s.tmp
- /data/media/####/1ompn9indnqyh1qlhl83xaa0a.tmp
- /data/media/####/1tvieaaa1s3afdd0rgm2imm6h.tmp
- /data/media/####/1wnrugd5hz1mkaoqbe7o80rhg.tmp
- /data/media/####/2dt6la3axzv02cnrbc2k892tq.tmp
- /data/media/####/2h4c3mua2w976dky3ybq7tqou.tmp
- /data/media/####/37jl5v2a3xmglctpsxqddq0dp.tmp
- /data/media/####/38q1f6s1i6rwjf78yglnb4og1.tmp
- /data/media/####/3ehk26aiwos7kj7ux31amtjnx.tmp
- /data/media/####/3kgqdlfd7agj2ka4aql3fh0mq.tmp
- /data/media/####/3r3z8o7g67fh89bu153erwue5.tmp
- /data/media/####/3xligvcjeawla4m6p9zi2j12g.tmp
- /data/media/####/42q0pejss3qy76jbku0jfogfo.tmp
- /data/media/####/42tjjh4powr776v9yrdshltat.tmp
- /data/media/####/45zy9zumi55imw80jme814sjk.tmp
- /data/media/####/4alysvjd5ixh1x79t36pelgro.tmp
- /data/media/####/4cskbm6tu21ic8s6yo62yeshm.tmp
- /data/media/####/4n9zu0lwys095ho8m6wk4q0t1.tmp
- /data/media/####/4oytok1g5038v4npwm6dab75o.tmp
- /data/media/####/4p29p0a9zihs0nuyeze3t4j36.tmp
- /data/media/####/51pmwneddus6mczqmvmmrqvte.tmp
- /data/media/####/5lfk17g1zfa32w4ci6xgxqjg8.tmp
- /data/media/####/5vvenm7fqn1dzrbyhtgo5b8iw.tmp
- /data/media/####/5wba8g17n2lgc3p0sd6yod1ew.tmp
- /data/media/####/6162uvt3l36q5acsjhgajfqf8.tmp
- /data/media/####/66d81rv6de4d1qvk89bvb8mpn.tmp
- /data/media/####/6fw61qj1ys33wka66adtj9x3m.tmp
- /data/media/####/6sfuokmag5h1ghi2w0mxsdehb.tmp
- /data/media/####/724q5v5mq7o1xsctpz2zff2c9.tmp
- /data/media/####/73r65j8v47ch3o1zzgll4ubzu.tmp
- /data/media/####/752l3j4uwvvqztvxl0q3wrq3w.tmp
- /data/media/####/75r0n1aatq7d19ktu1aytm0oh.tmp
- /data/media/####/75z64mqn1riysbfgqmvk2colx.tmp
- /data/media/####/Alvin2.xml
- /data/media/####/ContextData.xml
- /data/media/####/a5odex54m0yy1ucqs73lwego.tmp
- /data/media/####/config.tmp
- /data/media/####/dd7893586a493dc3
- /data/media/####/journal
- /data/media/####/journal.tmp
- /data/media/####/vnbbmdlo3j10duslqnjvs5gc.tmp
- /data/media/####/vsjjnnighnnfyjlbs7krza7u.tmp
- /data/media/####/zdxzrl5tw6rzm1ydg7gntjjv.tmp
Другие:
Запускает следующие shell-скрипты:
- chmod 755 <Package Folder>/.jiagu/libjiagu1395043441.so
Загружает динамические библиотеки:
- libjiagu1395043441
- netcache
- sgavmpso-5.3
- sgmainso-5.3
- sgsecuritybodyso-5.3
- uffmpeg
- uplayer23
- ut_c_api
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- DES-ECB-PKCS5Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию о запущенных приложениях.
Отрисовывает собственные окна поверх других приложений.
