Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Adware.Gexin.2.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) ti####.c####.l####.####.com:80
- TCP(HTTP/1.1) c-h####.g####.com:80
- TCP(HTTP/1.1) t####.c####.q####.####.com:80
- TCP(HTTP/1.1) h####.opensp####.cn:80
- TCP(HTTP/1.1) a.appj####.com:80
- TCP(HTTP/1.1) oss.newairc####.com:80
- TCP(HTTP/1.1) sdk.o####.p####.####.com:80
- TCP(HTTP/1.1) h5.newairc####.com:80
- TCP(HTTP/1.1) d####.opensp####.cn:80
- TCP(TLS/1.0) oss.newairc####.com:443
- TCP sdk.o####.t####.####.com:5224
- TCP c####.g####.ig####.com:5226
Запросы DNS:
- 7j####.c####.z0.####.com
- a.appj####.com
- c####.g####.ig####.com
- c-h####.g####.com
- d####.opensp####.cn
- h####.opensp####.cn
- h5.newairc####.com
- img.newairc####.com
- ntf####.newairc####.com
- oss.newairc####.com
- sdk.c####.ig####.com
- sdk.o####.i####.####.com
- sdk.o####.p####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.net
Запросы HTTP GET:
- h####.opensp####.cn/launchconfig?t=####&p=####
- h5.newairc####.com/api/getArticles?sid=####&cid=####&lastFileID=####&row...
- h5.newairc####.com/api/getColumns?sid=####&cid=####
- h5.newairc####.com/api/getConfig?sid=####
- h5.newairc####.com/api/getOSSInfo?sid=####
- h5.newairc####.com/api/getTipOffMsg?sid=####
- oss.newairc####.com/ntfb/pic/201607/29/01d75794-3e01-4ce3-82a9-04313fb8b...
- oss.newairc####.com/ntfb/pic/201702/22/47449252-d6e9-45af-9491-06847087a...
- oss.newairc####.com/ntfb/pic/201702/22/60ad0231-5efe-4a5c-8c28-858cef883...
- oss.newairc####.com/ntfb/pic/201702/22/d25bf83c-25e6-4b5c-9256-a4d6882f5...
- oss.newairc####.com/ntfb/pic/201709/27/a4a56be6-9110-4116-8084-07d1c002e...
- t####.c####.q####.####.com/tdata_SzD730
- t####.c####.q####.####.com/tdata_ZCi456
- ti####.c####.l####.####.com/config/hz-hzv3.conf
Запросы HTTP POST:
- a.appj####.com/ad-service/ad/mark
- c-h####.g####.com/api.php?format=####&t=####
- d####.opensp####.cn/index.php/clientrequest/clientcollect/isCollect
- sdk.o####.p####.####.com/api.php?format=####&t=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/-1118183991
- /data/data/####/-1170778663
- /data/data/####/-1312716470
- /data/data/####/-1382181475
- /data/data/####/-1383937438
- /data/data/####/-1383938370
- /data/data/####/-1383938371
- /data/data/####/-1383971946
- /data/data/####/-1384031494
- /data/data/####/-1384033296
- /data/data/####/-1384033297
- /data/data/####/-1384033298
- /data/data/####/-1384033320
- /data/data/####/-1384033321
- /data/data/####/-1384033322
- /data/data/####/-1384033323
- /data/data/####/-1384033324
- /data/data/####/-1384034285
- /data/data/####/-1384091166
- /data/data/####/-1384091167
- /data/data/####/-1384091170
- /data/data/####/-1384091171
- /data/data/####/-16467715
- /data/data/####/-312667394
- /data/data/####/-47487522
- /data/data/####/.jg.ic
- /data/data/####/1000422691
- /data/data/####/1131080008
- /data/data/####/1389023919
- /data/data/####/1509597072
- /data/data/####/1682858445
- /data/data/####/1695857311
- /data/data/####/1713878252
- /data/data/####/1744898059
- /data/data/####/1769897662
- /data/data/####/1800917469
- /data/data/####/1808015425
- /data/data/####/1893976890
- /data/data/####/1924996697
- /data/data/####/2014085964
- /data/data/####/2139545381
- /data/data/####/386967948
- /data/data/####/557330385
- /data/data/####/876343463
- /data/data/####/907363270
- /data/data/####/938383077
- /data/data/####/969402884
- /data/data/####/FZLTXHK-GBK_YS.ttf
- /data/data/####/QQ_3x.png
- /data/data/####/amazeui.min.css
- /data/data/####/amazeui.min.js
- /data/data/####/angular1.4.6.min.js
- /data/data/####/base.css
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/columnId.xml
- /data/data/####/columnId.xml.bak
- /data/data/####/com.iflytek.id.xml
- /data/data/####/com.iflytek.msc.xml
- /data/data/####/comment_user_head_icon.png
- /data/data/####/db_founder0
- /data/data/####/db_founder0-journal
- /data/data/####/fontawesome-webfont.ttf
- /data/data/####/gdaemon_20161017
- /data/data/####/great_button.png
- /data/data/####/great_cancel_button.png
- /data/data/####/gx_sp.xml
- /data/data/####/helpMsg.xml
- /data/data/####/icon-images.png
- /data/data/####/icon_audio_play.png
- /data/data/####/icon_file.png
- /data/data/####/icon_file_down.png
- /data/data/####/icon_meta_voice.png
- /data/data/####/icon_praise.png
- /data/data/####/icon_praiseStar.png
- /data/data/####/icon_selector_normal.png
- /data/data/####/icon_selector_press.png
- /data/data/####/ifly_launch_lib.xml
- /data/data/####/iflytek_state_com.founder.nantongfabu.xml
- /data/data/####/increment.db-journal
- /data/data/####/init.pid
- /data/data/####/init_c1.pid
- /data/data/####/jg_app_update_settings_random.xml
- /data/data/####/jquery.min2.2.0.js
- /data/data/####/js.combine.min.js
- /data/data/####/libjiagu.so
- /data/data/####/loading.png
- /data/data/####/mobclick_agent_cached_com.founder.nantongfabu13
- /data/data/####/news_detail.html
- /data/data/####/play.png
- /data/data/####/push.pid
- /data/data/####/pushext.db-journal
- /data/data/####/pushg.db-journal
- /data/data/####/pushsdk.db-journal
- /data/data/####/reader.db-journal
- /data/data/####/run.pid
- /data/data/####/sanjiaoxing.png
- /data/data/####/shareTimeline_3x.png
- /data/data/####/sina_3x.png
- /data/data/####/tdata_SzD730
- /data/data/####/tdata_SzD730.jar
- /data/data/####/tdata_ZCi456
- /data/data/####/tdata_ZCi456.jar
- /data/data/####/umeng_general_config.xml
- /data/data/####/video.png
- /data/data/####/wx_3x.png
- /data/media/####/0142e4874e020dd49804279da354198be536163e64eeca....0.tmp
- /data/media/####/07bf77ea455745ba8a65d63f173941c402153175f7ca65....0.tmp
- /data/media/####/0a564a34f3453f410e96a465aeeab26db8cc8276cd3cc9....0.tmp
- /data/media/####/0c888885c04c9d7e507520a7c20aca9871d0ea01124960....0.tmp
- /data/media/####/0faaa5888d64a8fa65e25dec6f4043047f3b75b3dc4436....0.tmp
- /data/media/####/13fafc8bf91915986a2d5f35102e769101d1133b9eddf1....0.tmp
- /data/media/####/164bdb9e4f48f08d7debc4a7a105fc69334f068a293a40....0.tmp
- /data/media/####/16634bf66b19adaf11c6fc6b2a04e671056f2589f5bb78....0.tmp
- /data/media/####/20fb0d9d45c082f31ae86b8f9675aa259480d8468003dd....0.tmp
- /data/media/####/25075558795d95810dc84d84c3917d18590db7961b72c8....0.tmp
- /data/media/####/2584ed19265c300cabd44ea466014557481bc67d2a2f7d....0.tmp
- /data/media/####/26ff9d948dd5483dd806f96caa47b8565a178220445d36....0.tmp
- /data/media/####/275e5db0925499d454649bcb54a4d1b9b7819051d4c81f....0.tmp
- /data/media/####/2850f55e4fc71d153c0f8b8448f565bc62865a10839c4e....0.tmp
- /data/media/####/2a8b8dfcf9ae4588ef153763e8cb2ecbb35107644df4db....0.tmp
- /data/media/####/2df51518aaa0d40e7996c0a9432e19d6e8c2e4910d8f61....0.tmp
- /data/media/####/3551e8fc902b41bbaadc99355448d43d52e79205143aa0....0.tmp
- /data/media/####/3abce27fb810fec4a2d6e1ecc7a14882d1a8a713093c34....0.tmp
- /data/media/####/3b6d0c5d7ce322086d506812f4caf44c68c2cdb2a7a193....0.tmp
- /data/media/####/3f227e9bc8be39ef829c78aba842bcdd1d1256f2f05a7b....0.tmp
- /data/media/####/45946204c081d4a296c369ca93f0b285eee5ec33f465e6....0.tmp
- /data/media/####/47696089203b770fb8316fe0c9504bdd07b2e7efc872f4....0.tmp
- /data/media/####/4879dda78252be5c94f7fc6d8dc7c7b9804f7fa3b1c9a7....0.tmp
- /data/media/####/49a85281f96d9442a02c9a7482747828076480edd54767....0.tmp
- /data/media/####/5472d03fd6d60999c87a53a8c85dea2268ad33872fa58f....0.tmp
- /data/media/####/547dc206968a749c7c694d234454f60c7b19ba0306b889....0.tmp
- /data/media/####/54a8ec9cf0e539992e976f3e5049f9a877e5a13b8ce2df....0.tmp
- /data/media/####/55d813b617a10168243be0ab1b9850a37271b516f3e4c3....0.tmp
- /data/media/####/575b6bcfea835f3fac29d9bff1cef905d4e50d317af2b2....0.tmp
- /data/media/####/617cb870ece3dce1ef127f8f651a7f880da331c8455669....0.tmp
- /data/media/####/65566cb566f19374b9e216981539f5cd00a7517bdea052....0.tmp
- /data/media/####/696d5855125458d2724a2cec93e9c3b6ee1b7dba56bb58....0.tmp
- /data/media/####/6ad168b2e24dc67f56079c11acbc8f63bc3cd834d546c4....0.tmp
- /data/media/####/6b5c500c3e6fe4cabf94d87161c2f5edbbfaaf9d0b7740....0.tmp
- /data/media/####/6eb8c74c27333757c2a768c6d4682ffd6ae5b49d60381d....0.tmp
- /data/media/####/7af35126d8e4016738ac2edd0cb095b18ebe147dd5ebf5....0.tmp
- /data/media/####/7d7aad1593a86cfb4cefceb1ee3441b731a75e5906c360....0.tmp
- /data/media/####/8a61f4d1786011f95c0a642b303607ef3cd77e6ee901f7....0.tmp
- /data/media/####/8e832cb8dd079832e70ef9a747e24c2543df47ebdc1f6d....0.tmp
- /data/media/####/93c392b38495437940bbe69674095e67a61e1982743db8....0.tmp
- /data/media/####/94a19e84a4b199b12f5a4c1eb82839e9826a9c2cb9f386....0.tmp
- /data/media/####/9660cabbd54c31f51850b93ccfe9705c8a03c08d038f60....0.tmp
- /data/media/####/9b57fe8b6d51c2a8354fb8d5d969a761de831fbe346574....0.tmp
- /data/media/####/9c7b202329d10965ad39452e4606d41a15e10da341d34b....0.tmp
- /data/media/####/a06e6649c98b099b1ab43881944bfce4ac46e4dbb7589e....0.tmp
- /data/media/####/a2c6a43e2808c8b50efb913aefa4f481de7b04bb4c0f08....0.tmp
- /data/media/####/a2d92e258e5120364beef566b38dd472345604fcf1a214....0.tmp
- /data/media/####/app.db
- /data/media/####/b2e5d05778759975176130740a8413633fc3b946840bc2....0.tmp
- /data/media/####/b8c242d78b512355fa46be16caf0d8e0a4f4663189cc4f....0.tmp
- /data/media/####/b9c0f2f644158e87a5127ece43579b62cd7aeaa7effc16....0.tmp
- /data/media/####/ba9447fefacc105689f0cbe6f67c6d64c78fc6e778467e....0.tmp
- /data/media/####/bc66b2071ceb282288e05aa6c9cfbc6ee52682d5515895....0.tmp
- /data/media/####/c1fd0719a3472169183e1cb2600262ffd302fcf49dba67....0.tmp
- /data/media/####/c70e758294c1e3c204083eba1b157e3e967254709f5e8c....0.tmp
- /data/media/####/c715c6434da13fd9503380692cb8daa99a0c51e00f5dd5....0.tmp
- /data/media/####/c98c0af81bfec03e92c3eba1794624bc912e86004cc92a....0.tmp
- /data/media/####/caae521867c20f2a89bb6c87fdd62de2f55001c57aa4a9....0.tmp
- /data/media/####/cabbe74d723ee07bab2fb3248613fbe5168d43d6275ba5....0.tmp
- /data/media/####/com.founder.nantongfabu.db
- /data/media/####/com.getui.sdk.deviceId.db
- /data/media/####/com.igexin.sdk.deviceId.db
- /data/media/####/d598c290c3b22621583db5e6a90e3c69487231d64b20a3....0.tmp
- /data/media/####/e3ef18b2a2ddb86c946af5431ebc2d68c1b5bd2b79d7bb....0.tmp
- /data/media/####/e4ec6f23189aa9d8ab06f901deb1fad1ba46348d09ea97....0.tmp
- /data/media/####/e606cc3e9fb2a98dc4c11308bda342e21f0a7db9c9b67b....0.tmp
- /data/media/####/e82bbca45c12470d2916892f59bdd486610f25b19c999b....0.tmp
- /data/media/####/e997d3c8060713a8e03b47f2b3c08f9d9762561af15f00....0.tmp
- /data/media/####/eb83646502c25ac431f31134461185409340f5ab4bb7e6....0.tmp
- /data/media/####/f239d319cadb6a8e86ed3c646f476e564ffe527601bf3d....0.tmp
- /data/media/####/f5ea5d46c1b9a4564c20ef417f6152fd5ed63ef1d9a104....0.tmp
- /data/media/####/f7963cf3dc037dbc41e605b4a422fc7cfd0b21f41d791d....0.tmp
- /data/media/####/fd5fcad1af5f6b84c32aeb4cf0d77c174b471b6029691a....0.tmp
- /data/media/####/iflyworkdir_test
- /data/media/####/journal.tmp
- /data/media/####/localTemplate.zip
- /data/media/####/tdata_SzD730
- /data/media/####/tdata_ZCi456
- /data/media/####/test.log
Другие:
Запускает следующие shell-скрипты:
- <Package Folder>/files/gdaemon_20161017 0 <Package>/com.igexin.sdk.PushService 25337 300 0
- chmod 700 <Package Folder>/files/gdaemon_20161017
- chmod 755 <Package Folder>/.jiagu/libjiagu.so
- sh <Package Folder>/files/gdaemon_20161017 0 <Package>/com.igexin.sdk.PushService 25337 300 0
Загружает динамические библиотеки:
- getuiext2
- libjiagu
- msc
Использует следующие алгоритмы для шифрования данных:
- RSA-NONE-OAEPWithSHA1AndMGF1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS7Padding
Осуществляет доступ к приватному интерфейсу ITelephony.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
