Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Adware.Gexin.2.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) api.zhuishu####.com:80
- TCP(HTTP/1.1) log.r####.com:80
- TCP(HTTP/1.1) b.zhuishu####.com:80
- TCP(HTTP/1.1) gl####.w.kunl####.####.com:80
- TCP(HTTP/1.1) ip.ta####.com:80
- TCP(HTTP/1.1) ti####.c####.l####.####.com:80
- TCP(HTTP/1.1) oc.u####.com:80
- TCP(HTTP/1.1) t####.c####.q####.####.com:80
- TCP(HTTP/1.1) p####.tc.qq.com:80
- TCP(HTTP/1.1) and####.b####.qq.com:80
- TCP(HTTP/1.1) s####.e.qq.com:80
- TCP(HTTP/1.1) sdk.o####.p####.####.com:80
- TCP(HTTP/1.1) zb####.v.qin####.com:80
- TCP(HTTP/1.1) c-h####.g####.com:80
- TCP(HTTP/1.1) b02.zhuishu####.com:80
- TCP(HTTP/1.1) norma-e####.m####.com:80
- TCP(HTTP/1.1) sf1-ttc####.ps####.com:80
- TCP(HTTP/1.1) mi.g####.qq.com:80
- TCP(HTTP/1.1) a####.u####.com:80
- TCP(HTTP/1.1) qin####.com.www.####.com:80
- TCP(HTTP/1.1) m####.1####.com:80
- TCP(HTTP/1.1) sf6-ttc####.ps####.com.####.com:80
- TCP(HTTP/1.1) gold####.zhuishu####.com:80
- TCP(TLS/1.0) mobads-####.b####.com:443
- TCP(TLS/1.0) b.zhuishu####.com:443
- TCP(TLS/1.0) gl####.w.kunl####.####.com:443
- TCP(TLS/1.0) gm.mm####.com:443
- TCP(TLS/1.0) redi####.network####.com:443
- TCP(TLS/1.0) dc1.network####.com:443
- TCP(TLS/1.0) plf-bu####.zhuishu####.com:443
- TCP(TLS/1.0) c.c####.com:443
- TCP(TLS/1.0) ei.c####.com:443
- TCP(TLS/1.0) zb####.v.qin####.com:443
- TCP sdk.o####.t####.####.com:5224
- TCP c####.g####.ig####.com:5225
Запросы DNS:
- 7j####.c####.z0.####.com
- a####.exc.mob.com
- a####.u####.com
- and####.b####.qq.com
- api.zhuishu####.com
- b.zhuishu####.com
- b02.zhuishu####.com
- c####.g####.ig####.com
- c####.mm####.com
- c-h####.g####.com
- c.c####.com
- chap####.zhuishu####.com
- dc1.network####.com
- ei.c####.com
- gold####.zhuishu####.com
- h5.zhuishu####.com
- imgc####.qq.com
- ip.ta####.com
- is.sn####.com
- log.r####.com
- m####.1####.com
- mi.g####.qq.com
- mo####.b####.com
- mobads-####.b####.com
- norma-e####.m####.com
- oc.u####.com
- plf-bu####.zhuishu####.com
- pub-####.qin####.com
- redi####.network####.com
- s####.e.qq.com
- s4.c####.com
- sdk.c####.ig####.com
- sdk.o####.p####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.net
- sf1-ttc####.ps####.com
- sf6-ttc####.ps####.com
- sta####.zhuishu####.com
- z11.c####.com
Запросы HTTP GET:
- api.zhuishu####.com/advert?platform=####&version=####&position=####
- api.zhuishu####.com/app/check/update?version=####&channel=####&freeType=...
- api.zhuishu####.com/book/5bd8146f767522283b8a200a?t=####&useNewCat=####&...
- api.zhuishu####.com/btoc/5bd8146f767522283b8a2031?view=####&platform=###...
- api.zhuishu####.com/btoc?view=####&platform=####&appName=####&book=####
- api.zhuishu####.com/config/umeng/onlineParam?platform=####
- api.zhuishu####.com/config/updateReward
- api.zhuishu####.com/notification/shelfMessage?platform=####&platformType...
- api.zhuishu####.com/recommendPage/pages?version=####
- b.zhuishu####.com/free/recommendbook?book=####
- b02.zhuishu####.com/category/cats
- b02.zhuishu####.com/category/statics?type=####
- gl####.w.kunl####.####.com/agent/http://img.1391.com/api/v1/bookcenter/c...
- ip.ta####.com/service/getIpInfo.php?ip=####
- ip.ta####.com/service/getIpInfo2.php?ip=####
- log.r####.com/receive/gettime
- m####.1####.com/comic_v2/cpacallback?type=####&imei=####
- mi.g####.qq.com/gdt_mview.fcg?datatype=####&posid=####&count=####&r=####...
- norma-e####.m####.com/android/exchange/getpublickey.do
- p####.tc.qq.com/qzone/biz/gdt/mod/android/AndroidAllInOne/proguard/his/r...
- qin####.com.www.####.com/tdata_EDT369
- sf1-ttc####.ps####.com/obj/mosaic-legacy/1ba5600000daced3d2127
- sf1-ttc####.ps####.com/obj/web.business.image/201901035d0da51a94d1994045...
- sf6-ttc####.ps####.com.####.com/obj/web.business.image/201904045d0df65a4...
- t####.c####.q####.####.com/tdata_FhD658
- t####.c####.q####.####.com/tdata_mpY630
- t####.c####.q####.####.com/tdata_ngv385
- t####.c####.q####.####.com/tdata_vHH584
- ti####.c####.l####.####.com/config/hz-hzv3.conf
- zb####.v.qin####.com/chapter/http://vip.zhuishushenqi.com/chapter/5bd814...
Запросы HTTP POST:
- a####.u####.com/app_logs
- and####.b####.qq.com/rqd/async?aid=####
- api.zhuishu####.com/book/updated
- c-h####.g####.com/api.php?format=####&t=####
- gold####.zhuishu####.com/springboard
- log.r####.com/receive/tkio/install
- log.r####.com/receive/tkio/startup
- norma-e####.m####.com/push/android/external/add.do
- oc.u####.com/check_config_update
- s####.e.qq.com/activate
- sdk.o####.p####.####.com/api.php?format=####&t=####
- sdk.o####.p####.####.com/api.php?format=####&t=####&d=####&k=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.duid
- /data/data/####/.imprint
- /data/data/####/.jg.ic
- /data/data/####/.lock
- /data/data/####/.vpl_lock
- /data/data/####/0013f10e0402ae979053b94ac1b5ed98bb91b613897b35e....0.tmp
- /data/data/####/1004
- /data/data/####/1142c027b5e8c47b05a5a3fc5b5fdd2d08b83acbc96da79....0.tmp
- /data/data/####/157387b9a4bacbdc174117eb76d0ed3b545383f36746a96....0.tmp
- /data/data/####/1598a2ba1beca4a585cfd1c9e951668b.0.tmp
- /data/data/####/1598a2ba1beca4a585cfd1c9e951668b.1.tmp
- /data/data/####/1a4891af76061734f054124f779065e2.0.tmp
- /data/data/####/1a4891af76061734f054124f779065e2.1.tmp
- /data/data/####/1c25a045d59fd17cd06c96c94556b9dea3a42b897a3bade....0.tmp
- /data/data/####/2271.yaqcookie
- /data/data/####/238afba29b45a85887232bc607b1e6e0b477f8620f17940....0.tmp
- /data/data/####/24413eb8e41ba42f16861efc0e0360c952a3c913fa9a944....0.tmp
- /data/data/####/2b290fa7c7059185e5708ed7c9a302ec8d1dc3d17ea56e0....0.tmp
- /data/data/####/2dad6cd07a075b34e21d48f0a5a70c62bfaede894da03e1....0.tmp
- /data/data/####/371b45fd5a385111e5b5ec90b4781065.0.tmp
- /data/data/####/371b45fd5a385111e5b5ec90b4781065.1
- /data/data/####/371b45fd5a385111e5b5ec90b4781065.1.tmp
- /data/data/####/3b17d7b1027bb46f05669ebfb41e3755.0.tmp
- /data/data/####/3b17d7b1027bb46f05669ebfb41e3755.1.tmp
- /data/data/####/3b551c2a908de1598ef16ce0022ed2190ff5b1c3c20381c....0.tmp
- /data/data/####/3e1ff46ce512af1b15303948b124562d55bc4f010fc96d4....0.tmp
- /data/data/####/4229e87d74f55f061787c13f19d0e403.0.tmp
- /data/data/####/4229e87d74f55f061787c13f19d0e403.1
- /data/data/####/4229e87d74f55f061787c13f19d0e403.1.tmp
- /data/data/####/42e6625cabeca94d88560877765cc8b273caf76d5b5c937....0.tmp
- /data/data/####/45a9aea41b0c500d9f372d96db36012d81c9412c53c0189....0.tmp
- /data/data/####/4634b5e8b4367772bd8f03a0c1c7d339d31bc0e42d8988d....0.tmp
- /data/data/####/4ae3667886103c550b3cbd8b8021d885b760ef2fc563008....0.tmp
- /data/data/####/501b472acdfc3422a85436c6f74d8bb25a058dc2e72a5e3....0.tmp
- /data/data/####/62c23f664a9d5f1949961a3f01915524ee8958497f7ec5e....0.tmp
- /data/data/####/69a2c152285d4ec425b6bfc03cccd54bfa64141f9b9eb9a....0.tmp
- /data/data/####/69a92772ac4a727337b06fb8609b2cc295bbd7c8e690d21....0.tmp
- /data/data/####/6c2658959b122ff9002124156d5eeadf805a7027e869cdd....0.tmp
- /data/data/####/75b5303a1e33de04e7d3e79b433f9c33.0.tmp
- /data/data/####/75b5303a1e33de04e7d3e79b433f9c33.1.tmp
- /data/data/####/80a7001a61d34be6c12550d1e32eeea2.0.tmp
- /data/data/####/80a7001a61d34be6c12550d1e32eeea2.1.tmp
- /data/data/####/84d88ce82b440e66e4bafda768b55d76a2b371d6a4ac143....0.tmp
- /data/data/####/893b9c3077761bb3ec08c4f313c4fb6f3597c68f5b8510c....0.tmp
- /data/data/####/8c9c117b0860245d443533dd15557d61bf17cc571381f2d....0.tmp
- /data/data/####/8ef07c5814225f2ddc917f492bccf7f5.0.tmp
- /data/data/####/8ef07c5814225f2ddc917f492bccf7f5.1
- /data/data/####/8f79e9ff5da9637bcc1b2cd8ce3012e4ea8a96fe0163780....0.tmp
- /data/data/####/905e0140e8115d93c155bcf89a5bfb6f5a532c146389098....0.tmp
- /data/data/####/92798f220037b4e22284ddd1a28f2bda3f2ed875ca30ae4....0.tmp
- /data/data/####/934ed3d731e09b3c350b25a9901b26e91001a4744fe97f9....0.tmp
- /data/data/####/93d51096fc65d21be45e5ffc8370eb8ff0d9f2fe6ee194f....0.tmp
- /data/data/####/9427d05f0f6840e643dda7d33c7c13e197d6078ff82562a....0.tmp
- /data/data/####/94b4238526b3abdbc6f0ebf2b8ffc6cb86a6c36001840ab....0.tmp
- /data/data/####/954e732a451b7490085dda89b7a426a183eeb11fe86d710....0.tmp
- /data/data/####/98cc1defeb329c744292628260c5a81a134ef240c6f2b60....0.tmp
- /data/data/####/98d93d7874d3c37d243e1c11dcfbcc4adc2405444919815....0.tmp
- /data/data/####/9a6aa5a2feb5ab717f9df1e9029273bf6c69dc6722e3ba6....0.tmp
- /data/data/####/9b479c7cc96c6b67aef56568881c7a943348a3e69e5f02e....0.tmp
- /data/data/####/9dae84729f5300cd7145be7fdd2e88eddb5a19636ea5d62....0.tmp
- /data/data/####/BuglySdkInfos.xml
- /data/data/####/GDTSDK.db
- /data/data/####/GDTSDK.db-journal
- /data/data/####/MultiDex.lock
- /data/data/####/Reyun.db
- /data/data/####/Reyun.db-journal
- /data/data/####/ThrowalbeLog.db-journal
- /data/data/####/__x_adsdk_agent_header__.xml
- /data/data/####/__xadsdk__remote__final__builtin__.jar
- /data/data/####/__xadsdk__remote__final__builtinversion__.jar
- /data/data/####/__xadsdk__remote__final__running__.jar
- /data/data/####/a63aeac6744257cec03e5bba78c82e32e10a7aad689a2e3....0.tmp
- /data/data/####/a66ec44fa9ef0c5c256b8c797ae22ba5b042e767904a153....0.tmp
- /data/data/####/a74892ffeb708029c4898e77d84fcfd1d9f3a3f4d238acc....0.tmp
- /data/data/####/a9337620789d4095f3d57a12eb007c76c055cfa55903a9c....0.tmp
- /data/data/####/aea2033a61e0de59352fbe7c0fd9a1cafdb53483250b53b....0.tmp
- /data/data/####/b73823ffc302f7e7d6e97316fa1350397550c9d4e9f170f....0.tmp
- /data/data/####/b75b92d1931b57e1bc2fe49191e0e530ea0c1929d75cbe1....0.tmp
- /data/data/####/b7ee703e53764d45e3e6314ee3f0eeec5da5f95ddd3af9f....0.tmp
- /data/data/####/bdae9a1efa1966e62e17af89e2ba39129f68e5bbaaa09cb....0.tmp
- /data/data/####/bugly_db_-journal
- /data/data/####/c28eca89fafc1bf39f83cb9b7f5b65263b93ad9a23da16c....0.tmp
- /data/data/####/c4ad306ba92b6935e5e88b36141f076c.0.tmp
- /data/data/####/c4ad306ba92b6935e5e88b36141f076c.1
- /data/data/####/c4ad306ba92b6935e5e88b36141f076c.1.tmp
- /data/data/####/c4d98507ab389d050dab5716719c1da6.0.tmp
- /data/data/####/c4d98507ab389d050dab5716719c1da6.1.tmp
- /data/data/####/c55f32087cf2536a919be87682d5c7b38c3a7d39b2e7a2b....0.tmp
- /data/data/####/c6eec390fb3f1f0fd20d2b6bff062675f5e1e319b2e0600....0.tmp
- /data/data/####/ccb457d5f9e0e3b0829db51a93068f8e3183e2d615cc36a....0.tmp
- /data/data/####/cd1fe4d634aa0e23a73388e5a62e83464c71abd05e2b414....0.tmp
- /data/data/####/com.baidu.mobads.loader.xml
- /data/data/####/com.networkbench.agent.impl.v2_com.ushaqi.zhuis...ee.xml
- /data/data/####/com.ushaqi.zhuishushenqi.adfree_preferences.xml
- /data/data/####/com.x.y.1.xml
- /data/data/####/com.x.y.2.xml
- /data/data/####/crashrecord.xml
- /data/data/####/d98664aeb0abe1988b2d2b58c97d21eb4d6f533936047e3....0.tmp
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/devCloudSetting.cfg
- /data/data/####/devCloudSetting.sig
- /data/data/####/dexMethod.82894129.dat
- /data/data/####/downloader.db-journal
- /data/data/####/e42a106291c1fae2cfc9a321abbafb48b3bcbf277aa3e43....0.tmp
- /data/data/####/e6d2cd053160d5d5617ddf7b3c2e04153ead9693ff00984....0.tmp
- /data/data/####/e81e22068ebf41d3b9c5e48ef17b4bd915cfb05fd06aa3e....0.tmp
- /data/data/####/e8ad1d0537b976118060b84ce67fe4a90b6e8d4a9d15af0....0.tmp
- /data/data/####/ea9ace5a73f2a2e6af90761fb99b888aaf6203d098daa7a....0.tmp
- /data/data/####/ed3dc887b995e304b0aff64e16e9bcad1a8e1f4a9d7b333....0.tmp
- /data/data/####/f3054d595c792cafd5368117f851ef137b1375bb3600b6a....0.tmp
- /data/data/####/f5f0a41e098e4d283573793924c32a19a3080a331463259....0.tmp
- /data/data/####/f_000001
- /data/data/####/f_000002
- /data/data/####/f_000003
- /data/data/####/f_000004
- /data/data/####/f_000005
- /data/data/####/f_000006
- /data/data/####/f_000007
- /data/data/####/f_000008
- /data/data/####/f_000009
- /data/data/####/f_00000a
- /data/data/####/f_00000b
- /data/data/####/f_00000c
- /data/data/####/f_00000d
- /data/data/####/f_00000e
- /data/data/####/f_00000f
- /data/data/####/f_000010
- /data/data/####/f_000011
- /data/data/####/f_000012
- /data/data/####/f_000013
- /data/data/####/faab58d1596c0ab5e15ab349809d6575ded7c42dfae1e4d....0.tmp
- /data/data/####/fbb32dd860a13687fc6f2dce772524e5c36e5f0fc0e079f....0.tmp
- /data/data/####/fdef5b3dd668edd76fb28050cd123aa63e8e474c8773c9d....0.tmp
- /data/data/####/gdaemon_20161017
- /data/data/####/gdt_config.cfg
- /data/data/####/gdt_plugin.jar
- /data/data/####/gdt_plugin.jar.sig
- /data/data/####/gdt_plugin.tmp
- /data/data/####/gdt_plugin.tmp.sig
- /data/data/####/gdt_suid
- /data/data/####/getui_sp.xml
- /data/data/####/gkt-journal
- /data/data/####/gx_sp.xml
- /data/data/####/index
- /data/data/####/init.pid
- /data/data/####/init_c1.pid
- /data/data/####/journal.tmp
- /data/data/####/libjiagu803593605.so
- /data/data/####/libyaqbasic.82894129.so
- /data/data/####/libyaqpro.82894129.so
- /data/data/####/local_crash_lock
- /data/data/####/mob_commons_1
- /data/data/####/mobclick_agent_cached_com.ushaqi.zhuishushenqi.adfree1040
- /data/data/####/mobclick_agent_online_setting_com.ushaqi.zhuish...ee.xml
- /data/data/####/multidex.version.xml
- /data/data/####/push.pid
- /data/data/####/pushext.db-journal
- /data/data/####/pushg.db-journal
- /data/data/####/pushk.db-journal
- /data/data/####/pushsdk.db-journal
- /data/data/####/reader_adconfig2
- /data/data/####/run.pid
- /data/data/####/sdkCloudSetting.cfg
- /data/data/####/sdkCloudSetting.sig
- /data/data/####/security_info
- /data/data/####/tdata_FhD658
- /data/data/####/tdata_FhD658.jar
- /data/data/####/tdata_mpY630
- /data/data/####/tdata_mpY630.jar
- /data/data/####/tdata_ngv385
- /data/data/####/tdata_ngv385.jar
- /data/data/####/tdata_vHH584
- /data/data/####/tdata_vHH584.jar
- /data/data/####/tracking_install.xml
- /data/data/####/tracking_interval.xml
- /data/data/####/tt_sdk_settings.xml
- /data/data/####/ttopenadsdk.xml
- /data/data/####/ttopensdk.db-journal
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/update_lc
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/data/####/yaqsdkcookie
- /data/data/####/zhuishushenqi.db-journal
- /data/data/####/zs_online_param.xml
- /data/data/####/zs_online_param.xml.bak
- /data/data/####/zs_online_param.xml.bak (deleted)
- /data/media/####/-1112761910.tmp
- /data/media/####/-1678113717.tmp
- /data/media/####/.artc_lock
- /data/media/####/.di
- /data/media/####/.dic_lock
- /data/media/####/.duid
- /data/media/####/.globalLock
- /data/media/####/.im_lock
- /data/media/####/.lecd
- /data/media/####/.lesd_lock
- /data/media/####/.mn_-1464060969
- /data/media/####/.nomedia
- /data/media/####/.pkg_lock
- /data/media/####/.pkgs_lock
- /data/media/####/.rc_lock
- /data/media/####/.slw
- /data/media/####/.ss_lock
- /data/media/####/1292022501.tmp
- /data/media/####/1451435889.tmp
- /data/media/####/19136725
- /data/media/####/19136725.tmp
- /data/media/####/2019-04-06.log.txt
- /data/media/####/app.db
- /data/media/####/category_statics
- /data/media/####/com.getui.sdk.deviceId.db
- /data/media/####/com.igexin.sdk.deviceId.db
- /data/media/####/com.ushaqi.zhuishushenqi.adfree.bin
- /data/media/####/com.ushaqi.zhuishushenqi.adfree.db
- /data/media/####/gkt-journal
- /data/media/####/gktper
- /data/media/####/http%3A%2F%2Fvip.zhuishushenqi.com%2Fchapter%2...602852
- /data/media/####/http%3A%2F%2Fvip.zhuishushenqi.com%2Fchapter%2...602861
- /data/media/####/http%3A%2F%2Fvip.zhuishushenqi.com%2Fchapter%2...602865
- /data/media/####/newtoc
- /data/media/####/tdata_FhD658
- /data/media/####/tdata_mpY630
- /data/media/####/tdata_ngv385
- /data/media/####/tdata_vHH584
- /data/media/####/test.log
Другие:
Запускает следующие shell-скрипты:
- /system/bin/sh -c getprop
- /system/bin/sh -c type su
- <Package Folder>/files/gdaemon_20161017 0 <Package>/com.ushaqi.zhuishushenqi.push.GeTuiPushService 26155 300 0
- cat /sys/class/net/wlan0/address
- chmod 700 <Package Folder>/files/gdaemon_20161017
- getprop
- getprop ro.build.version.emui
- getprop ro.build.version.opporom
- getprop ro.miui.ui.version.name
- getprop ro.smartisan.version
- getprop ro.vivo.os.version
- mount
- sh <Package Folder>/files/gdaemon_20161017 0 <Package>/com.ushaqi.zhuishushenqi.push.GeTuiPushService 26155 300 0
Загружает динамические библиотеки:
- Bugly
- LineBreak-v2
- getuiext2
- libjiagu803593605
- libyaqbasic.82894129
- libyaqpro.82894129
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-CFB-NoPadding
- AES-ECB-PKCS5Padding
- AES-ECB-PKCS7Padding
- AES-GCM-NoPadding
- RSA-ECB-PKCS1Padding
- RSA-NONE-OAEPWithSHA1AndMGF1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-ECB-NoPadding
- AES-ECB-PKCS5Padding
- AES-ECB-PKCS7Padding
- AES-GCM-NoPadding
- RSA-ECB-PKCS1Padding
Осуществляет доступ к приватному интерфейсу ITelephony.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию о настроках APN.
Получает информацию об установленных приложениях.
Получает информацию о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
