Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Adware.Gexin.2.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) api.yuf####.com:80
- TCP(HTTP/1.1) pic.yuf####.com:80
- TCP(HTTP/1.1) c.appj####.com:80
- TCP(HTTP/1.1) a.appj####.com:80
- TCP(HTTP/1.1) s####.su####.com:80
- TCP(HTTP/1.1) i####.360bu####.com.####.com:80
- TCP(TLS/1.0) et2-na6####.wagbr####.ali####.####.com:443
Запросы DNS:
- a####.u####.com
- a.appj####.com
- api.yuf####.com
- c.appj####.com
- i####.360bu####.com
- im####.su####.cn
- im####.su####.cn
- im####.su####.cn
- log.u####.com
- pic.yuf####.com
- s####.u####.com
Запросы HTTP GET:
- i####.360bu####.com.####.com/n1/jfs/t1/1065/9/12519/349203/5bd409b5E5b30...
- i####.360bu####.com.####.com/n1/jfs/t1/4222/24/13002/396123/5bd6747fEd58...
- i####.360bu####.com.####.com/n1/jfs/t1/5394/26/11419/567971/5bced6c8E1be...
- i####.360bu####.com.####.com/n1/jfs/t11461/237/705490197/424488/84a93975...
- i####.360bu####.com.####.com/n1/jfs/t1480/30/73193236/37377/35149c21/555...
- i####.360bu####.com.####.com/n1/jfs/t16525/256/1659346834/411229/98c5788...
- i####.360bu####.com.####.com/n1/jfs/t1885/216/2384640439/76650/95ce2c31/...
- i####.360bu####.com.####.com/n1/jfs/t18958/294/2223956/268654/47399644/5...
- i####.360bu####.com.####.com/n1/jfs/t2404/109/2426498523/207108/c6c18cbd...
- i####.360bu####.com.####.com/n1/jfs/t2821/226/3813560897/226267/dc13c6ad...
- i####.360bu####.com.####.com/n1/jfs/t28336/160/250325397/128589/fba7785e...
- i####.360bu####.com.####.com/n1/jfs/t3190/69/4237537/21271/ed056f3c/579f...
- i####.360bu####.com.####.com/n1/jfs/t3274/263/5097971898/96923/e5f21e79/...
- i####.360bu####.com.####.com/n1/jfs/t4177/39/2587224681/245415/22580a39/...
- i####.360bu####.com.####.com/n1/jfs/t5668/111/8932594686/139544/ea741292...
- i####.360bu####.com.####.com/n1/jfs/t5941/284/1943507912/115665/2463ef34...
- i####.360bu####.com.####.com/n1/jfs/t6256/3/961370376/341929/bbb83eda/59...
- i####.360bu####.com.####.com/n1/jfs/t6538/163/136817336/49069/39e6ccfd/5...
- pic.yuf####.com/mall/uploads/ad/2017-04-13/58eed23bd98c2.png
- pic.yuf####.com/mall/uploads/section/2017-03-22/58d2357f79234.png
- pic.yuf####.com/mall/uploads/section/2017-03-22/58d235f1d4d3d.png
- pic.yuf####.com/mall/uploads/section/2017-03-22/58d23600b57f0.png
- pic.yuf####.com/mall/uploads/section/2017-03-22/58d2363aa8eeb.png
- pic.yuf####.com/mall/uploads/section/2017-03-22/58d23658396a6.png
- pic.yuf####.com/mall/uploads/section/2017-03-22/58d236703f8ed.png
- pic.yuf####.com/mall/uploads/section/2017-11-06/59ffcf5d3f321.jpg
- s####.su####.com/uimg/b2c/newcatentries/0000000000-000000000136880513_1_...
- s####.su####.com/uimg/b2c/newcatentries/0000000000-000000000150741638_1_...
- s####.su####.com/uimg/b2c/newcatentries/0000000000-000000000165968632_1_...
- s####.su####.com/uimg/b2c/newcatentries/0000000000-000000000166145002_1_...
- s####.su####.com/uimg/b2c/newcatentries/0000000000-000000000606212650_1_...
- s####.su####.com/uimg/b2c/newcatentries/0000000000-000000000616960119_1_...
- s####.su####.com/uimg/b2c/newcatentries/0000000000-000000000633198664_1_...
Запросы HTTP POST:
- a####.u####.com/app_logs
- a.appj####.com/jiagu/check/upgrade
- api.yuf####.com/mall/ad/getList
- api.yuf####.com/mall/article/notice_list
- api.yuf####.com/mall/goods/by_type
- api.yuf####.com/mall/section/index_show
- api.yuf####.com/mall/version/getVersion
- c.appj####.com/ad/splash/stats.html
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/-112732680
- /data/data/####/-1480503363-1842559360
- /data/data/####/-1480503363-473088763
- /data/data/####/-1480503363844264640
- /data/data/####/-1510877159
- /data/data/####/-415474899
- /data/data/####/-797963734-1184356729
- /data/data/####/.imprint
- /data/data/####/.jg.ic
- /data/data/####/0af9ad576360ced4f956afc7c553592d6dc04f46bc073f2....0.tmp
- /data/data/####/1032928068-1270733060
- /data/data/####/113af7853e45372a6be9371251de60cd1f893e87c510373....0.tmp
- /data/data/####/1552676289556.log
- /data/data/####/19835506c1fbdb18bfbe4200a64b4834b7761b09a0ad758....0.tmp
- /data/data/####/233db6815c120cfcacad4e602f78eb04e215b11f20775cf....0.tmp
- /data/data/####/253437f16edd75e9b85493d9967c47c75258d96eb515221....0.tmp
- /data/data/####/3872e6bd9775870dd35c2dbf5df5d7e221e7cb80b1d142a....0.tmp
- /data/data/####/426853508
- /data/data/####/4cd57a451e93e00daf706297376b92294be0d5a62243ed5....0.tmp
- /data/data/####/701315f27ad0e9745cf364d1875747132bfdde1f05fc29c....0.tmp
- /data/data/####/77c2ab9bf587b8b91377215d25441106890d958d3d0840d....0.tmp
- /data/data/####/7a5847872c22d3cc7937f5f1fc235f979eb62b3a7d2251e....0.tmp
- /data/data/####/7dc9b1f009a403b462faf9e9292edddbf21ce354ea2d4d8....0.tmp
- /data/data/####/935ec078c09c821a2a2ec8d43a59e69b2a2693f28921681....0.tmp
- /data/data/####/940da9fb3a0c8f105b4f44ec59b0d2a95c76794c585ac4a....0.tmp
- /data/data/####/Alvin2.xml
- /data/data/####/ContextData.xml
- /data/data/####/a2c03c1b5b5abae18b803bb335c4039b03326ecc7bff04a....0.tmp
- /data/data/####/a79c7cb2a7be7ffb30ee3f5cde3f70868594ed24d424856....0.tmp
- /data/data/####/ad_show_time.xml
- /data/data/####/b3aeb0efdce743bbf7de580c2cde4593423503b038a6900....0.tmp
- /data/data/####/b3bffb128b72b0ea752599e72c248c5cc0939017abd3215....0.tmp
- /data/data/####/bb477d7723558bbae73a60b516c58ef3510de6c1d5e4247....0.tmp
- /data/data/####/bbfd5a8419267ba8f9a6689fad4a4fddc8acbf437cf29a1....0.tmp
- /data/data/####/be66dbb48a880e84aa10a89c4fcd86ca809a6910759b6dc....0.tmp
- /data/data/####/be66dbb48a880e84aa10a89c4fcd86ca809a6910759b6dc...3726.0
- /data/data/####/be9350d8b4a78f9d9d820a65c4e9b01bd451a44af88a88b....0.tmp
- /data/data/####/c181bff85d6dd26c5a42420c61664dc266f78baf80c7303....0.tmp
- /data/data/####/c4172142e865a105c2140811a7368ccd90c501e98471997....0.tmp
- /data/data/####/c4368ed71b5410e1a7a4555b3175b534061eb8b1b91a5bb....0.tmp
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/cf435b8b3a7c604c37fd3a8f32fd9227ca360d3e9e765c5....0.tmp
- /data/data/####/d99cf48a20af3b7219baf7263e671da301b4f689c4b9f1e....0.tmp
- /data/data/####/e2bedfe121a93a98506c852c28e9ce5c9947ddc38c0e60c....0.tmp
- /data/data/####/e4a045a9891247c93e33975d895cd334d41e44e6fa3b709....0.tmp
- /data/data/####/ef6ddd007c8a22b7c6e2d043d6090a12838e3f82cbad2b5....0.tmp
- /data/data/####/exchangeIdentity.json
- /data/data/####/exid.dat
- /data/data/####/f3ad1d0dd49150a7644cecb4685dc9d2ccc0e9ad16bcd4f....0.tmp
- /data/data/####/fed2a07244c2c76e68ccb2e925564d2876936ca21903189....0.tmp
- /data/data/####/jg_app_update_settings_random.xml
- /data/data/####/journal.tmp
- /data/data/####/libjiagu.so
- /data/data/####/ua.db
- /data/data/####/ua.db-journal
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/umeng_socialize.xml
- /data/media/####/Alvin2.xml
- /data/media/####/ContextData.xml
Другие:
Запускает следующие shell-скрипты:
- chmod 755 <Package Folder>/.jiagu/libjiagu.so
Загружает динамические библиотеки:
- libjiagu
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-NoPadding
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- RSA
- RSA-ECB-NoPadding
- RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-NoPadding
- AES-CBC-PKCS7Padding
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Отрисовывает собственные окна поверх других приложений.
