Adware.Dowgin.3829

Техническая информация

Вредоносные функции:

Выполняет код следующих детектируемых угроз:

Adware.Dowgin.14.origin

Сетевая активность:

Подключается к:

UDP(DNS) <Google DNS>
TCP(HTTP/1.1) yi.gi.y####.com:80
TCP(HTTP/1.1) cd.md.c####.####.net:80
TCP(TLS/1.0) cantor####.v####.co:6555
TCP(TLS/1.0) api.v####.co:443
TCP(TLS/1.0) cdn.seg####.com:443
TCP(TLS/1.0) de####.mixp####.com:443
TCP(TLS/1.0) sett####.crashly####.com:443
TCP(TLS/1.0) p.v####.co:443
TCP(TLS/1.0) api.face####.com:443
TCP(TLS/1.0) api-dec####.v####.co:443

Запросы DNS:

api-dec####.v####.co
api.mixp####.com
api.v####.co
cantor####.v####.co
cd.md.c####.cn
cdn.seg####.com
de####.mixp####.com
g####.face####.com
p.v####.co
sett####.crashly####.com
yi.gi.y####.com

Запросы HTTP GET:

cd.md.c####.####.net/offer/20181204/201812041054103.png
cd.md.c####.####.net/offer/20181204/201812041054759.png
yi.gi.y####.com/m?a=####

Запросы HTTP POST:

yi.gi.y####.com/cef/v/h9d
yi.gi.y####.com/njz/khl/pda/z0c
yi.gi.y####.com/pxx/mvl/y/kc9
yi.gi.y####.com/sq/l0c

Изменения в файловой системе:

Создает следующие файлы:

/data/data/####/.jg.ic
/data/data/####/01ba3cc15acca9cb09d869eac9c22bd4fc79e2efb13f5dc....0.tmp
/data/data/####/05a6538d97bd16ffa549d4f1958fca578d351ce07c75d66....0.tmp
/data/data/####/0750f2960b3d8a4e4681d11cac989444ee1de272c9b50be....0.tmp
/data/data/####/1.def
/data/data/####/10.def
/data/data/####/184a3f0d4f653cf908b19ca9988c8878fdec0b549330a14....0.tmp
/data/data/####/18611cf00.xml
/data/data/####/2.def
/data/data/####/3.def
/data/data/####/365bf884b95d61edea5fc17ba99165adc82faaa5a46009a....0.tmp
/data/data/####/4.def
/data/data/####/5.def
/data/data/####/57d7bbb0ad4dbf700eb0d5b895a7c4810c033bcedf9083c....0.tmp
/data/data/####/5C794BAE031C-0001-08F1-47FCDA78273ABeginSession.cls_temp
/data/data/####/5C794BAE031C-0001-08F1-47FCDA78273ASessionApp.cls_temp
/data/data/####/5C794BAE031C-0001-08F1-47FCDA78273ASessionDevice.cls_temp
/data/data/####/5C794BAE031C-0001-08F1-47FCDA78273ASessionEvent...s_temp
/data/data/####/5C794BAE031C-0001-08F1-47FCDA78273ASessionOS.cls_temp
/data/data/####/5C794BAE031C-0001-08F1-47FCDA78273Akeys.meta
/data/data/####/6.def
/data/data/####/6d78972.xml
/data/data/####/6ec7a4bc9218b7adbc61d642616c1d899a7a9b3f3048dd5....0.tmp
/data/data/####/7.def
/data/data/####/7e3700f663493f1aedfee39779b5d5f57e06e73a56448ba....0.tmp
/data/data/####/8.def
/data/data/####/8ab65f669f10be3e6c5aa06565e88ebdf56a6864912f20e....0.tmp
/data/data/####/9.def
/data/data/####/AppEventsLogger.persistedevents
/data/data/####/CANTOR
/data/data/####/INSTALLATION
/data/data/####/SECURE_STORAGE.xml
/data/data/####/SessionAnalyticsKey.xml
/data/data/####/TwitterAdvertisingInfoPreferences.xml
/data/data/####/UpdatePunsDBReceiverPreferencesKey.xml
/data/data/####/VIvp9ibUZtG10TTS6OnX8ee59GTdvqPJ.tmp
/data/data/####/a1.def
/data/data/####/a10.def
/data/data/####/a2.def
/data/data/####/a3.def
/data/data/####/a4.def
/data/data/####/a5.def
/data/data/####/a6.def
/data/data/####/a7.def
/data/data/####/a8.def
/data/data/####/a9.def
/data/data/####/analytics-android.xml
/data/data/####/b1.def
/data/data/####/b2.def
/data/data/####/b3.def
/data/data/####/b4.def
/data/data/####/b5.def
/data/data/####/b6.def
/data/data/####/bbf276e39684df2692bf9681f5dfed04870b553755e58de....0.tmp
/data/data/####/c1.def
/data/data/####/c2.def
/data/data/####/c3.def
/data/data/####/c4.def
/data/data/####/c5.def
/data/data/####/c59ae8d09ede6a909a1ae89c9487243373936171af156a3....0.tmp
/data/data/####/c6.def
/data/data/####/c7.def
/data/data/####/c8.def
/data/data/####/c9.def
/data/data/####/cb2ff.xml
/data/data/####/ccfc994dab2892ec232bbf096fd07dfa85cf4e357b68d87....0.tmp
/data/data/####/com.congraduess.lationvea.rdwtfi.az.jar
/data/data/####/com.crashlytics.prefs.xml
/data/data/####/com.crashlytics.sdk.android;answers;settings.xml
/data/data/####/com.crashlytics.settings.json
/data/data/####/com.facebook.internal.preferences.APP_SETTINGS.xml
/data/data/####/com.facebook.sdk.appEventPreferences.xml
/data/data/####/com.facebook.sdk.attributionTracking.xml
/data/data/####/com.mixpanel.android.mpmetrics.MixpanelAPI_74fc...48.xml
/data/data/####/com.vscoper.cam_preferences.xml
/data/data/####/crashlytics-userlog-5C794BAE031C-0001-08F1-47FC...A.temp
/data/data/####/crashlytics-userlog-5C794BAE031C-0001-08F1-47FC...mp.tmp
/data/data/####/e1.def
/data/data/####/e2.def
/data/data/####/e3.def
/data/data/####/e4.def
/data/data/####/e5.def
/data/data/####/e6.def
/data/data/####/e7.def
/data/data/####/e7f0b89aefcb34be945f5ad71902765fb1c7b8f896d6631....0.tmp
/data/data/####/e8.def
/data/data/####/edit_iamge_settings.xml
/data/data/####/effects-db
/data/data/####/effects-db-journal
/data/data/####/f1.def
/data/data/####/f17c5fb277883dac92acd5fdffea2f57678451b992ec564....0.tmp
/data/data/####/f2.def
/data/data/####/f3.def
/data/data/####/g1.def
/data/data/####/g2.def
/data/data/####/g3.def
/data/data/####/h1.def
/data/data/####/h2.def
/data/data/####/h3.def
/data/data/####/h4.def
/data/data/####/h5.def
/data/data/####/h6.def
/data/data/####/hb1.def
/data/data/####/hb2.def
/data/data/####/highlights_tint.def
/data/data/####/initialization_marker
/data/data/####/io.fabric.sdk.android;fabric;io.fabric.sdk.andr...ng.xml
/data/data/####/j1.def
/data/data/####/j2.def
/data/data/####/j3.def
/data/data/####/j4.def
/data/data/####/j5.def
/data/data/####/j6.def
/data/data/####/journal.tmp
/data/data/####/k1.def
/data/data/####/k2.def
/data/data/####/k3.def
/data/data/####/kk1.def
/data/data/####/kk2.def
/data/data/####/libjiagu.so
/data/data/####/lv01.def
/data/data/####/lv02.def
/data/data/####/lv03.def
/data/data/####/m1.def
/data/data/####/m2.def
/data/data/####/m3.def
/data/data/####/m4.def
/data/data/####/m5.def
/data/data/####/m6.def
/data/data/####/metricsqueue.tmp
/data/data/####/mixpanel
/data/data/####/mixpanel-journal
/data/data/####/multidex.version.xml
/data/data/####/n1.def
/data/data/####/n2.def
/data/data/####/n3.def
/data/data/####/p1.def
/data/data/####/p2.def
/data/data/####/p3.def
/data/data/####/p4.def
/data/data/####/p5.def
/data/data/####/p6.def
/data/data/####/p7.def
/data/data/####/p8.def
/data/data/####/p9.def
/data/data/####/photos-db-journal
/data/data/####/q1.def
/data/data/####/q10.def
/data/data/####/q2.def
/data/data/####/q3.def
/data/data/####/q4.def
/data/data/####/q5.def
/data/data/####/q6.def
/data/data/####/q7.def
/data/data/####/q8.def
/data/data/####/q9.def
/data/data/####/s1.def
/data/data/####/s2.def
/data/data/####/s3.def
/data/data/####/s4.def
/data/data/####/s5.def
/data/data/####/s6.def
/data/data/####/sa_1d728acc-6019-4f19-b51c-330952805864_1551453103113.tap
/data/data/####/se1.def
/data/data/####/se2.def
/data/data/####/se3.def
/data/data/####/session_analytics.tap
/data/data/####/session_analytics.tap.tmp
/data/data/####/shadows_tint.def
/data/data/####/straighten.def
/data/data/####/t1.def
/data/data/####/t2.def
/data/data/####/t3.def
/data/data/####/webview.db-journal
/data/data/####/x1.def
/data/data/####/x2.def
/data/data/####/x3.def
/data/data/####/x4.def
/data/data/####/x5.def
/data/data/####/x6.def
/data/media/####/.nomedia
/data/media/####/67b372
/data/media/####/c000b6

Другие:

Запускает следующие shell-скрипты:

chmod 755 <Package Folder>/.jiagu/libjiagu.so

Загружает динамические библиотеки:

libjiagu
perspective

Использует следующие алгоритмы для шифрования данных:

Использует следующие алгоритмы для расшифровки данных:

Использует специальную библиотеку для скрытия исполняемого байт-кода.

Получает информацию о местоположении.

Получает информацию о сети.

Получает информацию о телефоне (номер, IMEI и т. д.).

Получает информацию об установленных приложениях.

Получает информацию о запущенных приложениях.

Получает информацию о привязанных к устройству аккаунтах (Google, Facebook и т. д.).

Добавляет задания в системный планировщик.

Отрисовывает собственные окна поверх других приложений.

Технологии

Термины

Обучение и просвещение

Мифы

Техническая информация

Рекомендации по лечению

Демо бесплатно на 14 дней