Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Adware.Gexin.2.origin
Осуществляет доступ к приватному интерфейсу ITelephony.
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) ti####.c####.l####.####.com:80
- TCP(HTTP/1.1) qin####.com.www.####.com:80
- TCP(HTTP/1.1) t####.c####.q####.####.com:80
- TCP(HTTP/1.1) a.appj####.com:80
- TCP(HTTP/1.1) c-h####.g####.com:80
- TCP(HTTP/1.1) sdk.o####.p####.####.com:80
- TCP(TLS/1.0) 1####.217.17.110:443
- TCP sdk.o####.t####.####.com:5224
- TCP c####.g####.ig####.com:5227
Запросы DNS:
- 7j####.c####.z0.####.com
- a.appj####.com
- c####.g####.ig####.com
- c####.g####.ig####.com
- c-h####.g####.com
- mt####.go####.com
- pub-####.qin####.com
- sdk.c####.ig####.com
- sdk.o####.p####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.net
Запросы HTTP GET:
- qin####.com.www.####.com/tdata_EDT369
- t####.c####.q####.####.com/tdata_Soq141
- t####.c####.q####.####.com/tdata_siA393
- ti####.c####.l####.####.com/config/hz-hzv3.conf
Запросы HTTP POST:
- a.appj####.com/ad-service/ad/mark
- c-h####.g####.com/api.php?format=####&t=####
- sdk.o####.p####.####.com/api.php?format=####&t=####
- sdk.o####.p####.####.com/api.php?format=####&t=####&d=####&k=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.jg.ic
- /data/data/####/.log.lock
- /data/data/####/.log.ls
- /data/data/####/H58F45CA2.xml
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/clientid_igexin.xml
- /data/data/####/ebba876e7031
- /data/data/####/gdaemon_20161017
- /data/data/####/getui_sp.xml
- /data/data/####/gx_sp.xml
- /data/data/####/init.pid
- /data/data/####/init_c1.pid
- /data/data/####/jg_app_update_settings_random.xml
- /data/data/####/libjiagu.so
- /data/data/####/pdr.xml
- /data/data/####/push.pid
- /data/data/####/pushext.db-journal
- /data/data/####/pushg.db-journal
- /data/data/####/pushsdk.db-journal
- /data/data/####/run.pid
- /data/data/####/tdata_Soq141
- /data/data/####/tdata_Soq141.jar
- /data/data/####/tdata_siA393
- /data/data/####/tdata_siA393.jar
- /data/data/####/umeng_general_config.xml
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/data/####/webviewCookiesChromiumPrivate.db-journal
- /data/media/####/1080p.png
- /data/media/####/480p.png
- /data/media/####/720p.png
- /data/media/####/APP-icon.png
- /data/media/####/IMPush.js
- /data/media/####/Icon.css
- /data/media/####/Icon.js
- /data/media/####/LearnCloud.js
- /data/media/####/Native.js
- /data/media/####/User.js
- /data/media/####/WebService.js
- /data/media/####/_logo.png
- /data/media/####/about.html
- /data/media/####/account-security.html
- /data/media/####/add_talent.html
- /data/media/####/add_talents.js
- /data/media/####/alter-password.html
- /data/media/####/app.css
- /data/media/####/app.db
- /data/media/####/app.js
- /data/media/####/arttmpl.js
- /data/media/####/authentication-fff.png
- /data/media/####/authentication-fff2.png
- /data/media/####/authentication-h.png
- /data/media/####/authentication-red.png
- /data/media/####/authentication-vip.png
- /data/media/####/auto_msg.js
- /data/media/####/av-min-2.2.1.js
- /data/media/####/bad.css
- /data/media/####/bankData.json
- /data/media/####/bind_email.html
- /data/media/####/bind_email.js
- /data/media/####/bind_phone.html
- /data/media/####/bind_phone.js
- /data/media/####/binding_account.html
- /data/media/####/binging_auth.js
- /data/media/####/branch_manage.js
- /data/media/####/branches_manage.html
- /data/media/####/cache_config.js
- /data/media/####/cache_m_city_data.js
- /data/media/####/cache_m_condition.js
- /data/media/####/cache_m_industry_data.js
- /data/media/####/cache_m_jobCategory_data.js
- /data/media/####/cache_m_region_data.js
- /data/media/####/cache_m_tagList.js
- /data/media/####/chat.html
- /data/media/####/chat_list.js
- /data/media/####/city.data-3.js
- /data/media/####/city.data.js
- /data/media/####/collect.html
- /data/media/####/collect_subscibe.js
- /data/media/####/com.getui.sdk.deviceId.db
- /data/media/####/com.igexin.sdk.deviceId.db
- /data/media/####/common.css
- /data/media/####/company-chat.html
- /data/media/####/company-index.html
- /data/media/####/company-jobManage.html
- /data/media/####/company-main.css
- /data/media/####/company-money.html
- /data/media/####/company-myself.html
- /data/media/####/company-recharge.html
- /data/media/####/company-show.html
- /data/media/####/company-withdraw.html
- /data/media/####/company.css
- /data/media/####/company_account_info.js
- /data/media/####/company_bind_email.js
- /data/media/####/company_bind_phone.js
- /data/media/####/company_brief.html
- /data/media/####/company_chat_list.js
- /data/media/####/company_myself.js
- /data/media/####/company_notice_set.js
- /data/media/####/company_pocket.html
- /data/media/####/company_privacy_set.js
- /data/media/####/company_setting.html
- /data/media/####/company_setting.js
- /data/media/####/company_show.js
- /data/media/####/company_update_password.js
- /data/media/####/date.data.js
- /data/media/####/deliver-detail.html
- /data/media/####/deliver.html
- /data/media/####/edit-myDescribe.html
- /data/media/####/edit_exp_edu.js
- /data/media/####/edit_exp_job.js
- /data/media/####/edit_exp_proj.js
- /data/media/####/edit_exp_skill.js
- /data/media/####/editor.scss
- /data/media/####/editor_photo.html
- /data/media/####/education_exp.html
- /data/media/####/entry.html
- /data/media/####/exp_jobs.html
- /data/media/####/feedback.html
- /data/media/####/female_img.png
- /data/media/####/file__0.localstorage-journal
- /data/media/####/find-password.html
- /data/media/####/fonticon.scss
- /data/media/####/forget_password.js
- /data/media/####/h.js
- /data/media/####/h.min.js
- /data/media/####/hele-detail.html
- /data/media/####/help.html
- /data/media/####/hotkeys.min.js
- /data/media/####/hui.css
- /data/media/####/hui.js
- /data/media/####/huiImgCuter.js
- /data/media/####/iconfont.css
- /data/media/####/iconfont.ttf
- /data/media/####/icons-extra.css
- /data/media/####/im-chat.css
- /data/media/####/im-chat.html
- /data/media/####/im-chat.js
- /data/media/####/img1.gif
- /data/media/####/img2.gif
- /data/media/####/img3.gif
- /data/media/####/index.css
- /data/media/####/index.html
- /data/media/####/initLeanCloud.js
- /data/media/####/io.dcloud.huocai.bin
- /data/media/####/io.dcloud.huocai.db
- /data/media/####/iphone4.png
- /data/media/####/iphone5s.png
- /data/media/####/iphone6.png
- /data/media/####/iphone6sp.png
- /data/media/####/issueJob.html
- /data/media/####/issue_position.js
- /data/media/####/job-describe.html
- /data/media/####/job-detail.html
- /data/media/####/job-list.html
- /data/media/####/jobDetail.css
- /data/media/####/job_detail.js
- /data/media/####/job_list.js
- /data/media/####/job_pay_recharge.html
- /data/media/####/job_payment.js
- /data/media/####/job_reword.js
- /data/media/####/jobs_manage.js
- /data/media/####/jquery-3.0.0.min.js
- /data/media/####/jquery-3.1.1.min.js
- /data/media/####/lazyload_file.js
- /data/media/####/loading.gif
- /data/media/####/loading.png
- /data/media/####/login.html
- /data/media/####/login.js
- /data/media/####/logo-red.png
- /data/media/####/logo.png
- /data/media/####/logo2.png
- /data/media/####/male_img.png
- /data/media/####/manifest.json
- /data/media/####/match_bank.js
- /data/media/####/mayun.jpg
- /data/media/####/md5.min.js
- /data/media/####/message.css
- /data/media/####/module.min.js
- /data/media/####/money.html
- /data/media/####/mui-icons-extra.ttf
- /data/media/####/mui.css
- /data/media/####/mui.enterfocus.js
- /data/media/####/mui.imageViewer.js
- /data/media/####/mui.imageviewer.css
- /data/media/####/mui.js
- /data/media/####/mui.min.css
- /data/media/####/mui.min.js
- /data/media/####/mui.picker.css
- /data/media/####/mui.picker.js
- /data/media/####/mui.poppicker.css
- /data/media/####/mui.poppicker.js
- /data/media/####/mui.pullToRefresh.js
- /data/media/####/mui.pullToRefresh.material.js
- /data/media/####/mui.ttf
- /data/media/####/my-centre.css
- /data/media/####/myPocket.html
- /data/media/####/myShare.html
- /data/media/####/my_account_info.js
- /data/media/####/my_deliver.js
- /data/media/####/my_deliver_detail.js
- /data/media/####/my_jobs.js
- /data/media/####/my_pocket_list.js
- /data/media/####/my_resume.js
- /data/media/####/my_skill.html
- /data/media/####/my_talents.html
- /data/media/####/my_talents.js
- /data/media/####/my_withdraw.html
- /data/media/####/my_withdraw.js
- /data/media/####/myself.html
- /data/media/####/no_cost.png
- /data/media/####/no_result.png
- /data/media/####/notice_set.js
- /data/media/####/notice_setting.html
- /data/media/####/oauth_login.js
- /data/media/####/payment.js
- /data/media/####/preview_resume.js
- /data/media/####/privacy_set.html
- /data/media/####/privacy_set.js
- /data/media/####/project_exp.html
- /data/media/####/pushtest.html
- /data/media/####/qq.png
- /data/media/####/qr-code.jpg
- /data/media/####/realtime.browser.min.js
- /data/media/####/receive-resume.html
- /data/media/####/recevied_resumes.js
- /data/media/####/recycle-resume.html
- /data/media/####/reg_basicInfo.html
- /data/media/####/reg_basicInfo.js
- /data/media/####/reg_binding_auth.js
- /data/media/####/reg_company_info.html
- /data/media/####/reg_company_info.js
- /data/media/####/register.css
- /data/media/####/register_bg.png
- /data/media/####/register_bg2.png
- /data/media/####/resume-list.html
- /data/media/####/resumeDetail.html
- /data/media/####/resumeManage.html
- /data/media/####/resumePreview.html
- /data/media/####/resume_list.js
- /data/media/####/resume_show.js
- /data/media/####/save_basicInfo.html
- /data/media/####/save_basicInfo.js
- /data/media/####/search-talent.html
- /data/media/####/search.html
- /data/media/####/search_talent.js
- /data/media/####/select-identity.html
- /data/media/####/select-industry.html
- /data/media/####/select-jobCategory.html
- /data/media/####/select-tag.html
- /data/media/####/selectDate.js
- /data/media/####/select_jobCity.html
- /data/media/####/select_talentCity.html
- /data/media/####/setting.html
- /data/media/####/setting.js
- /data/media/####/shadow.png
- /data/media/####/share_job.js
- /data/media/####/share_jobs.js
- /data/media/####/show.jpg
- /data/media/####/simditor.css
- /data/media/####/simditor.min.js
- /data/media/####/simditor.scss
- /data/media/####/subscription.html
- /data/media/####/system-info-list.html
- /data/media/####/talent_subscribe.js
- /data/media/####/tdata_Soq141
- /data/media/####/tdata_siA393
- /data/media/####/test.log
- /data/media/####/toudi.png
- /data/media/####/typed-messages.min.js
- /data/media/####/u236.png
- /data/media/####/update_password.js
- /data/media/####/uploader.min.js
- /data/media/####/user.js
- /data/media/####/wb.png
- /data/media/####/workContent.html
- /data/media/####/workplace.html
- /data/media/####/wx.png
Другие:
Запускает следующие shell-скрипты:
- <Package Folder>/files/gdaemon_20161017 0 <Package>/io.dcloud.feature.apsGt.GTNormalPushService 24576 300 0
- cat /sys/class/net/wlan0/address
- chmod 700 <Package Folder>/files/gdaemon_20161017
- chmod 755 <Package Folder>/.jiagu/libjiagu.so
- mount
- sh <Package Folder>/files/gdaemon_20161017 0 <Package>/io.dcloud.feature.apsGt.GTNormalPushService 24576 300 0
Загружает динамические библиотеки:
- getuiext2
- libjiagu
Использует следующие алгоритмы для шифрования данных:
- AES-CFB-NoPadding
- RSA-NONE-OAEPWithSHA1AndMGF1Padding
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Получает информацию о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
