Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Adware.Dowgin.14.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) www.moreade####.com:8080
- TCP(HTTP/1.1) ip.ta####.com:80
- TCP(HTTP/1.1) st####.moreade####.com:80
- TCP(HTTP/1.1) si.hi.shpan####.cn:80
- TCP(TLS/1.0) lh4.g####.com:443
Запросы DNS:
- ip.ta####.com
- lh3.g####.com
- lh4.g####.com
- lh5.g####.com
- lh6.g####.com
- si.hi.shpan####.cn
- st####.moreade####.com
- www.moreade####.com
Запросы HTTP GET:
- ip.ta####.com/service/getIpInfo.php?ip=####
- st####.moreade####.com/texas-poker.landscape.jpg
- www.moreade####.com:8080/ads/?sdk_version=####&device_type=####&intersti...
- www.moreade####.com:8080/ads/?sdk_version=####&device_type=####&udid=###...
Запросы HTTP POST:
- si.hi.shpan####.cn/d83e/g61
- si.hi.shpan####.cn/d83e/h83
- si.hi.shpan####.cn/d83e/l1d
- si.hi.shpan####.cn/d83e/xe5
- si.hi.shpan####.cn/d83e/ze5
- www.moreade####.com:8080/ads/
- www.moreade####.com:8080/register/
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.flurryagent.101a85cf
- /data/data/####/0888456z.jar
- /data/data/####/a8bc5.xml
- /data/data/####/com.bejoy.minipaint.Preface.xml
- /data/data/####/webview.db-journal
- /data/media/####/.nomedia
- /data/media/####/http---static.moreadexchange.com-texas-poker.landscap
- /data/media/####/https---lh3.ggpht.com-3VnQdDmBC7wMahZN9wAca7tP...9k=w78
- /data/media/####/https---lh3.ggpht.com-8njkQkujJ16qvSUhGUpYB75R...Nn=w78
- /data/media/####/https---lh3.ggpht.com-DcPIo_Uy8SJ5YO0WOCx9HjIw...R=w300
- /data/media/####/https---lh3.ggpht.com-G5C-mJCqzkKW2PVtTZS0GyUn...vE=w78
- /data/media/####/https---lh3.ggpht.com-OvJL79FjEGlmvGiKZCpkUie-...y9=w78
- /data/media/####/https---lh3.ggpht.com-b3kx5GfAGbUmUbjk1HbhdnPs...A=w300
- /data/media/####/https---lh3.ggpht.com-dlY87uvkGxihYayEqJVDZYm3...v5=w78
- /data/media/####/https---lh3.ggpht.com-hGEJqW-NhnxMgbCC0yBpZqTo...rY=w78
- /data/media/####/https---lh3.ggpht.com-hx9UAWTinSn-R_CQleBveiMF...o=w300
- /data/media/####/https---lh3.ggpht.com-k5VqZoqknmkFtM23m7zIZO1K...RA=w78
- /data/media/####/https---lh3.ggpht.com-riIAwsvzhkcjnD5U-kfvNL2n...c=w124
- /data/media/####/https---lh3.ggpht.com-sKMOf84oy3Abu0kZZWIdT14l...E=w124
- /data/media/####/https---lh3.ggpht.com-yqRfIGgzQ3BzCnWTexBCC556...iA=w78
- /data/media/####/https---lh4.ggpht.com-2ml7wc-m9KbLS-1olCauXaRn..._H=w78
- /data/media/####/https---lh4.ggpht.com-E9XtcSdbcy2vT_wVgwJyneVJ...8=w124
- /data/media/####/https---lh4.ggpht.com-GulW3w-MZd7Po1hTRfmVHXmB...kg=w78
- /data/media/####/https---lh4.ggpht.com-I8VV0_S-upsow-LodlLJ1T0f...A=w300
- /data/media/####/https---lh4.ggpht.com-YchzWYeMWz1SI4Hkl5hygpWt...x7=w78
- /data/media/####/https---lh4.ggpht.com-a8OZhFdcD7jWBKT1EoqZyRQD...Q=w124
- /data/media/####/https---lh4.ggpht.com-ceg9gsYOX28JxdJwEOMwB-Ul...I=w300
- /data/media/####/https---lh4.ggpht.com-oI0fPhvLZHEROm7kRqU8RSr9...nw=w78
- /data/media/####/https---lh4.ggpht.com-u5Z3hBrGG6Hs4Ba2sr0LYjBt...Eo=w78
- /data/media/####/https---lh5.ggpht.com-0WcmwL8ygNHwOO-cVO7kAvbY...4D=w78
- /data/media/####/https---lh5.ggpht.com-0jC5Bn2dgP3ahUdgueEox3Ie...oA=w78
- /data/media/####/https---lh5.ggpht.com-5kjOtEkG9KCMpROiELcuT88c...hc=w78
- /data/media/####/https---lh5.ggpht.com-7kPBtWHWGam0bCPmGLmJs5Uv...I=w124
- /data/media/####/https---lh5.ggpht.com-84uvHJHpTFCLtkEJsNht-IQg...F=w124
- /data/media/####/https---lh5.ggpht.com-JEzbm9GcQQa0Jq7nBAcGsvqk...7E=w78
- /data/media/####/https---lh5.ggpht.com-RzOauNbX18Os7OoOdZKWo-nr...Ys=w78
- /data/media/####/https---lh5.ggpht.com-dBuziL2VO3sJH415cugEoBOy...dw=w78
- /data/media/####/https---lh5.ggpht.com-qO2AwcipRTlTH4P2mJxaEqce...aR=w78
- /data/media/####/https---lh5.ggpht.com-t9lTA-SZ4zs-S0qWDopAKbt2...I1=w78
- /data/media/####/https---lh6.ggpht.com-4vPGC5k27S9PdOSz00rAQ0yd...J4=w78
- /data/media/####/https---lh6.ggpht.com-TPYT8ETeiIh2roatpP86gT__...Z=w124
- /data/media/####/https---lh6.ggpht.com-W3DEshvgMyaJtdUxUXSqW6MU...1M=w78
- /data/media/####/https---lh6.ggpht.com-WkjeyJtyVMtyHx74Lnwpq1JG...g=w124
- /data/media/####/https---lh6.ggpht.com-e6LTECPSS0FKNE_gTVr_yoGK...VP=w78
- /data/media/####/https---lh6.ggpht.com-eHYCB7HbAZs_HakEOxJQRvfA...yo=w78
- /data/media/####/https---lh6.ggpht.com-eROSnUgTH-VL1cWxOl__LR4i...hA=w78
- /data/media/####/https---lh6.ggpht.com-oLhyxupWuX2ZPwbztJBCFITO...RQ=w78
- /data/media/####/https---lh6.ggpht.com-oNKgiV1N4PP9vfjXwaZujwLa...7U=w78
- /data/media/####/https---lh6.ggpht.com-yAHgmg8UZbqCSj6aPKyt53H1...Dw=w78
Другие:
Использует следующие алгоритмы для шифрования данных:
- DES
Использует следующие алгоритмы для расшифровки данных:
- DES
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Получает информацию о запущенных приложениях.
Отрисовывает собственные окна поверх других приложений.
