ПОЛЬЗОВАТЕЛЯМ

Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Android.Packed.43382

Добавлен в вирусную базу Dr.Web: 2019-03-14

Описание добавлено:

Техническая информация

Вредоносные функции:
Выполняет код следующих детектируемых угроз:
  • Android.DownLoader.864.origin
Сетевая активность:
Подключается к:
  • UDP(DNS) <Google DNS>
  • TCP(HTTP/1.1) gz.bc####.com:80
  • TCP(HTTP/1.1) j####.cdn.bc####.####.com:80
  • TCP(HTTP/1.1) 1####.24.75.75:80
  • TCP(HTTP/1.1) gamean####.cdn.bc####.####.com:80
  • TCP(TLS/1.0) project####.cos.ap-che####.####.com:443
  • TCP(TLS/1.0) h####.b####.com:443
Запросы DNS:
  • gamean####.cdn.bc####.com
  • h####.b####.com
  • j####.cdn.bc####.com
  • mei####.gz.bc####.com
  • project####.cos.ap-che####.####.com
Запросы HTTP GET:
  • gamean####.cdn.bc####.####.com/nahaobashayudianyingtuijian/31-1.jpg
  • gamean####.cdn.bc####.####.com/nahaobashayudianyingtuijian/32-1.jpg
  • gamean####.cdn.bc####.####.com/nahaobashayudianyingtuijian/50-1.jpg
  • gamean####.cdn.bc####.####.com/nahaobashayudianyingtuijian/51-1.jpg
  • gamean####.cdn.bc####.####.com/nahaobashayudianyingtuijian/52-1.jpg
  • gamean####.cdn.bc####.####.com/nahaobashayudianyingtuijian/53-1.jpg
  • gamean####.cdn.bc####.####.com/nahaobashayudianyingtuijian/54-1.jpg
  • gamean####.cdn.bc####.####.com/nahaobashayudianyingtuijian/55-1.jpg
  • gamean####.cdn.bc####.####.com/nahaobashayudianyingtuijian/56-1.jpg
  • gamean####.cdn.bc####.####.com/nahaobashayudianyingtuijian/57-1.jpg
  • gamean####.cdn.bc####.####.com/photo/112.png
  • gamean####.cdn.bc####.####.com/photo/184.png
  • gamean####.cdn.bc####.####.com/photo/286.png
  • gamean####.cdn.bc####.####.com/photo/43.png
  • gz.bc####.com/cpd.properties
  • gz.bc####.com/wuxi.properties
  • gz.bc####.com/zhexin.properties
  • j####.cdn.bc####.####.com/jsjjnhbsydyjctj/nahaobashayudianyingjingcaitui...
  • j####.cdn.bc####.####.com/jsjjnhbsydyjctj/nhbsydyjctj.o
Изменения в файловой системе:
Создает следующие файлы:
  • /data/data/####/.jg.ic
  • /data/data/####/0df0b0a6691037677056eab27f235b20178d03701c19659....0.tmp
  • /data/data/####/0f503db1bb2a195c1344d07c05cfb655.0.tmp
  • /data/data/####/0f503db1bb2a195c1344d07c05cfb655.1.tmp
  • /data/data/####/148dde4e306426dcf4069f1dc282cd7993b25aba7f03bb4....0.tmp
  • /data/data/####/3558627ebcd583bc1e259048e0f5f68d34621c7ee94eba3....0.tmp
  • /data/data/####/4246ea83bc321d822dff45123fb5e00ebaaa2c373a8cf61....0.tmp
  • /data/data/####/5338d7a2ced2120a119b84e686660309f58870f5adeeb7c....0.tmp
  • /data/data/####/61cfd895f993c6643a8956505c61782e.0.tmp
  • /data/data/####/61cfd895f993c6643a8956505c61782e.1.tmp
  • /data/data/####/765cbf9bb0a89ecaf6d67cb513610f3f.0.tmp
  • /data/data/####/765cbf9bb0a89ecaf6d67cb513610f3f.1.tmp
  • /data/data/####/9a05a53ddfa8b75ee3eb3e6c6b7bd54671fc940a5504963....0.tmp
  • /data/data/####/MessPull
  • /data/data/####/MessPull-journal
  • /data/data/####/PrefFirst.xml
  • /data/data/####/User_Id.xml
  • /data/data/####/User_Name.xml
  • /data/data/####/__Baidu_Stat_SDK_SendRem.xml
  • /data/data/####/__local_ap_info_cache.json
  • /data/data/####/__local_last_session.json
  • /data/data/####/__local_stat_cache.json
  • /data/data/####/__send_data_1552587136525
  • /data/data/####/a36c7c0d9fc137af2d3b4f01156185bbd342ce0c6a9279f....0.tmp
  • /data/data/####/adInfo.xml
  • /data/data/####/baidu_mtj_sdk_record.xml
  • /data/data/####/c284b3ac6fa63eddae21226b8338ee1c.0.tmp
  • /data/data/####/c284b3ac6fa63eddae21226b8338ee1c.1.tmp
  • /data/data/####/d5a4f0ba29b6af47e3715ed51ce8a515.0.tmp
  • /data/data/####/d5a4f0ba29b6af47e3715ed51ce8a515.1.tmp
  • /data/data/####/db_point_nice-journal
  • /data/data/####/dplugin.apk
  • /data/data/####/ee591fd88391dc92f2b373aa7d61367e72efcc656902439....0.tmp
  • /data/data/####/fa27e85f52c61a5ed9f87743f74cff50.0.tmp
  • /data/data/####/fa27e85f52c61a5ed9f87743f74cff50.1.tmp
  • /data/data/####/filespvtjmwgovjcuqtz.xml
  • /data/data/####/journal.tmp
  • /data/data/####/libcuid.so
  • /data/data/####/libjiagu908089139.so
  • /data/data/####/tab_index0.xml
  • /data/data/####/tab_index1.xml
  • /data/data/####/tab_index2.xml
  • /data/data/####/zhkj.db
  • /data/data/####/zhkj.db-journal
  • /data/media/####/.confd
  • /data/media/####/.confd-journal
  • /data/media/####/.cuid
  • /data/media/####/.cuid2
  • /data/media/####/.timestamp
Другие:
Запускает следующие shell-скрипты:
  • chmod 755 <Package Folder>/.jiagu/libjiagu908089139.so
  • getprop ro.build.display.id
  • getprop ro.build.version.emui
  • getprop ro.build.version.opporom
  • getprop ro.miui.ui.version.name
  • getprop ro.smartisan.version
  • getprop ro.vivo.os.version
Загружает динамические библиотеки:
  • crash_analysis
  • libjiagu908089139
Использует следующие алгоритмы для шифрования данных:
  • AES-CBC-PKCS5Padding
  • AES-ECB-PKCS5Padding
  • RSA-ECB-PKCS1Padding
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Получает информацию о запущенных приложениях.
Отрисовывает собственные окна поверх других приложений.

Рекомендации по лечению


Android

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке

Российский разработчик антивирусов Dr.Web с 1992 года
Dr.Web в Реестре Отечественного ПО
Dr.Web совместим с российскими ОС и оборудованием
Dr.Web пользуются в 200+ странах мира
Техническая поддержка 24х7х365 Рус | En

© «Доктор Веб»
2003 — 2022

«Доктор Веб» — российский производитель антивирусных средств защиты информации под маркой Dr.Web. Продукты Dr.Web разрабатываются с 1992 года.

125124, Россия, Москва, 3-я улица Ямского поля, д.2, корп.12А