Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Adware.Gexin.2.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) jzst####.you####.com.####.com:80
- TCP(HTTP/1.1) t####.c####.q####.####.com:80
- TCP(HTTP/1.1) c-h####.g####.com:80
- TCP(HTTP/1.1) a####.yo####.com.####.com:80
- TCP(HTTP/1.1) jz.you####.com:80
- TCP(HTTP/1.1) reso####.msg.xi####.net:80
- TCP(HTTP/1.1) qin####.com.www.####.com:80
- TCP(HTTP/1.1) sdk-ope####.g####.com:80
- TCP(HTTP/1.1) jz.yo####.com:80
- TCP(HTTP/1.1) thi####.q####.cn:80
- TCP(TLS/1.0) ssl.gst####.com:443
- TCP(TLS/1.0) et2-na6####.wagbr####.ali####.####.com:443
- TCP(TLS/1.0) and####.cli####.go####.com:443
- TCP(TLS/1.0) www.go####.com:443
- TCP(TLS/1.0) evtup####.yo####.com:443
- TCP(TLS/1.0) www.gst####.com:443
- TCP(TLS/1.0) a####.yo####.com.####.com:443
- TCP(TLS/1.0) eco####.me####.com.####.com:443
- TCP(TLS/1.0) 1####.217.17.78:443
- TCP(TLS/1.0) regi####.xm####.gl####.####.com:443
- TCP sdk.o####.t####.####.com:5224
- TCP c####.g####.ig####.com:5225
- TCP app.c####.gl####.####.net:5222
Запросы DNS:
- 7j####.c####.z0.####.com
- a####.yo####.com
- and####.cli####.go####.com
- app.c####.gl####.####.net
- c####.g####.ig####.com
- c-h####.g####.com
- down####.yo####.com
- eco####.me####.com
- evtup####.yo####.com
- jz####.you####.com
- jz.yo####.com
- jz.you####.com
- jzst####.you####.com
- mt####.go####.com
- pub-####.qin####.com
- regi####.xm####.gl####.####.com
- reso####.msg.xi####.net
- sdk-ope####.g####.com
- sdk.c####.ig####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.net
- ssl.gst####.com
- thi####.q####.cn
- u####.u####.com
- www.go####.com
- www.gst####.com
Запросы HTTP GET:
- a####.yo####.com.####.com/image/user_icon/201821/7595017011909739304.jpg
- jz.yo####.com/image/adverts/26d99803b354476db2f38ca398993d53.jpeg
- jz.yo####.com/image/user_icon/201751/9339428483877068984.jpg
- jz.yo####.com/image/user_icon/201813/2417953099306780756.jpg
- jz.you####.com/image//user_icon/201801/7024cee2213948b1a4c7095268dbbc5e5...
- jz.you####.com/image//user_icon/201834/1bdedf6db53c44839faef2a252187d987...
- jz.you####.com/image//user_icon/201837/ced07e1b41064e24bd4348a8da84f34a8...
- jz.you####.com/image//user_icon/201851/9f4db41730274d44ab02fe78c83d42ac2...
- jz.you####.com/image//user_icon/201916/b93e0b4d31a74a87b20b1ae26b96b29cc...
- jzst####.you####.com.####.com//jzadmin/images/15381881416618826.jpg
- jzst####.you####.com.####.com//jzadmin/images/15451117557459190.png
- jzst####.you####.com.####.com//jzadmin/images/15518548374111058.png
- jzst####.you####.com.####.com//jzadmin/images/15524675918306575.png
- jzst####.you####.com.####.com//jzadmin/images/15535695208671856.jpg
- jzst####.you####.com.####.com//jzadmin/images/15541010269036839.png
- jzst####.you####.com.####.com//jzadmin/images/15543579008835955.png
- jzst####.you####.com.####.com//jzadmin/images/15547967839319238.jpg
- jzst####.you####.com.####.com//jzadmin/images/155488601830738.jpg
- jzst####.you####.com.####.com//jzadmin/images/15550614951688692.png
- jzst####.you####.com.####.com//jzadmin/images/15555689699336995.jpg
- jzst####.you####.com.####.com//jzadmin/images/15555700387305183.jpg
- jzst####.you####.com.####.com//jzadmin/images/15555717437205334.jpg
- jzst####.you####.com.####.com//jzadmin/images/15556417044518303.jpg
- jzst####.you####.com.####.com//jzadmin/images/15559140843227124.jpg
- jzst####.you####.com.####.com//jzadmin/images/15559245076414009.jpg
- jzst####.you####.com.####.com//jzadmin/images/15559276067833975.jpg
- jzst####.you####.com.####.com//jzadmin/images/15560746251257183.jpg
- jzst####.you####.com.####.com//jzadmin/images/15560746989399471.jpg
- jzst####.you####.com.####.com//jzadmin/images/15566043961902850.png
- jzst####.you####.com.####.com//jzadmin/images/15566044477879799.png
- qin####.com.www.####.com/tdata_EDT369
- reso####.msg.xi####.net/gslb/?ver=4.0&type=wap&conpt=dvidpodv >>4>>4>>4...
- t####.c####.q####.####.com/config/hz-hzv6.conf
- t####.c####.q####.####.com/tdata_Cta775
- t####.c####.q####.####.com/tdata_RyW085
- t####.c####.q####.####.com/tdata_YYn966
- t####.c####.q####.####.com/tdata_lOE499
- thi####.q####.cn/mmopen/vi_32/D6XNsWicbAGFqgViburKybelmtkbhJ6icF6gjdIGIx...
- thi####.q####.cn/mmopen/vi_32/X36MiaiaKticb1SN7szUicvlQicJvHy9icBtic5LBZ...
- thi####.q####.cn/mmopen/vi_32/xIISQbHEjKsOJzE1BRH3MAzlYic0TF0wqryh9u3XZS...
Запросы HTTP POST:
- c-h####.g####.com/api.php?format=####&t=####
- sdk-ope####.g####.com/api.php?format=####&t=####
- sdk-ope####.g####.com/api.php?format=####&t=####&d=####&k=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imprint
- /data/data/####/.jg.ic
- /data/data/####/03648f90f9e61a7e32304900e228b168.0.tmp
- /data/data/####/03648f90f9e61a7e32304900e228b168.1.tmp
- /data/data/####/0af022842abe2098da8c08c3d05c56a4.0.tmp
- /data/data/####/0af022842abe2098da8c08c3d05c56a4.1.tmp
- /data/data/####/0efe47355d1cbd8ed5e91f5c74e0c11a.0.tmp
- /data/data/####/0efe47355d1cbd8ed5e91f5c74e0c11a.1.tmp
- /data/data/####/130e410e6b27b9f55c136bdb72a6da295e4ebb03ad683be....0.tmp
- /data/data/####/20556243226d0d1d3404b69943dc6dd5.0.tmp
- /data/data/####/20556243226d0d1d3404b69943dc6dd5.1.tmp
- /data/data/####/289e35a115169ef804b13c15c9aaece8.0.tmp
- /data/data/####/289e35a115169ef804b13c15c9aaece8.1.tmp
- /data/data/####/2951
- /data/data/####/350b97a60d39f89b67dc57dceba1759e41d5db46bc58088....0.tmp
- /data/data/####/36da1a3325d1a31b41808800f4c640cd0c7bad0e3c52050....0.tmp
- /data/data/####/39f5940383a37ea5c2f59c4f3c3574e682eee452a3714e7....0.tmp
- /data/data/####/3c59f8742c453b0eacd9f6974fddb2b6.0.tmp
- /data/data/####/3c59f8742c453b0eacd9f6974fddb2b6.1.tmp
- /data/data/####/3d6b8044ade006f537c98f33d5a8e908.0.tmp
- /data/data/####/3d6b8044ade006f537c98f33d5a8e908.1.tmp
- /data/data/####/409fe54554a7aea2e5d501b1a88b0f12b36b1a38d36a3c3....0.tmp
- /data/data/####/41297975bfb02192865e12be517cdea1.0.tmp
- /data/data/####/41297975bfb02192865e12be517cdea1.1.tmp
- /data/data/####/4218e42c33bfb61c02ea22bc0651da1f.0.tmp
- /data/data/####/4218e42c33bfb61c02ea22bc0651da1f.1.tmp
- /data/data/####/42c344284bdd61870f221366228154df4b525ab0dcfc74b....0.tmp
- /data/data/####/450b6eacc3bf0bd35fed978688c7ea20.0.tmp
- /data/data/####/450b6eacc3bf0bd35fed978688c7ea20.1.tmp
- /data/data/####/4763d2557ec08de94fc9c80e9dd58d89.0.tmp
- /data/data/####/4763d2557ec08de94fc9c80e9dd58d89.1.tmp
- /data/data/####/49a218719066f792f3cb0db7c4908343.0.tmp
- /data/data/####/49a218719066f792f3cb0db7c4908343.1.tmp
- /data/data/####/4bed50f6b74c83a112a7426c57453c2d421e069cce1db01....0.tmp
- /data/data/####/4e5fda85cc85cc64704d26f099376466.0.tmp
- /data/data/####/4e5fda85cc85cc64704d26f099376466.1.tmp
- /data/data/####/5296df3144d1dae74dbab8a51f193e56.0.tmp
- /data/data/####/5296df3144d1dae74dbab8a51f193e56.1.tmp
- /data/data/####/5398d96d78f7
- /data/data/####/5e07070b9ea56197261cf7560a154394.0.tmp
- /data/data/####/5e07070b9ea56197261cf7560a154394.1.tmp
- /data/data/####/6324722caa92f50fc39e46bfaeb5867a.0.tmp
- /data/data/####/6324722caa92f50fc39e46bfaeb5867a.1.tmp
- /data/data/####/650c1fb49ec5e968667d2a2c359c399a7fd78dfc0c0c267....0.tmp
- /data/data/####/6ff0acc9088a3bc2139c7de9e82746e5.0.tmp
- /data/data/####/6ff0acc9088a3bc2139c7de9e82746e5.1.tmp
- /data/data/####/70bc45a2bd07ab470303dfbc665c178cd3d95e3a1964883....0.tmp
- /data/data/####/76fe75d48e6bb48c63afc39c0a2dc1414694cc266d3b634....0.tmp
- /data/data/####/7a5429849bba9fee21f6988d3b134367.0.tmp
- /data/data/####/7a5429849bba9fee21f6988d3b134367.1.tmp
- /data/data/####/7dbe22fa406599464622784fb105d67c29e74187dd19674....0.tmp
- /data/data/####/7f09878aee8392064d3ee53a056b3888adf4a2c8013266c....0.tmp
- /data/data/####/89dec3ae14c5d518e657eb56a2e6eff6be51f941f839f27....0.tmp
- /data/data/####/8b7ae3224882ab1b32967cf11499e931.0.tmp
- /data/data/####/8b7ae3224882ab1b32967cf11499e931.1.tmp
- /data/data/####/8bb7194ec3a841c76cfd7a654e0e4e45fd87577fc8d43ba....0.tmp
- /data/data/####/8dfa6de3ff7282f22be94a1b51e0aab7.0.tmp
- /data/data/####/8dfa6de3ff7282f22be94a1b51e0aab7.1.tmp
- /data/data/####/8eff30a8621959dbe56d2046b7fbac79.0.tmp
- /data/data/####/8eff30a8621959dbe56d2046b7fbac79.1.tmp
- /data/data/####/90cdb34619dfbf684ea7bfb8684354f902fd21a35efa1b8....0.tmp
- /data/data/####/90eaaffd61353ef89e35dccf4517a51a.0.tmp
- /data/data/####/90eaaffd61353ef89e35dccf4517a51a.1.tmp
- /data/data/####/92fa7956fb6fde5a6acee4b6b7a08c1b.0.tmp
- /data/data/####/92fa7956fb6fde5a6acee4b6b7a08c1b.1.tmp
- /data/data/####/990d51284741385d65cbe47a1e38c9b5.0.tmp
- /data/data/####/990d51284741385d65cbe47a1e38c9b5.1.tmp
- /data/data/####/9a35e44ce91a627a1256259b081bad64.0.tmp
- /data/data/####/9a35e44ce91a627a1256259b081bad64.1.tmp
- /data/data/####/BuglySdkInfos.xml
- /data/data/####/CaiyiPush.xml
- /data/data/####/Meiqia.xml
- /data/data/####/MultiDex.lock
- /data/data/####/UserInfo.xml
- /data/data/####/XMPushServiceConfig.xml
- /data/data/####/a003dd0ab9be0ef8831a7b34b0bb5b68.0.tmp
- /data/data/####/a003dd0ab9be0ef8831a7b34b0bb5b68.1.tmp
- /data/data/####/a32089950f2628df611d221c53bcc001.0.tmp
- /data/data/####/a32089950f2628df611d221c53bcc001.1.tmp
- /data/data/####/a37eec1a0ec6785c7d2e3e5ef93a9099e2466cd1075ea6c....0.tmp
- /data/data/####/a9ffb36cdca1425121b6d7282180bdb0.0.tmp
- /data/data/####/a9ffb36cdca1425121b6d7282180bdb0.1.tmp
- /data/data/####/a==7.5.1&&4.4.1_1556616975532_envelope.log
- /data/data/####/aa616361398b620a1ffa6876658061d44803595aca505f1....0.tmp
- /data/data/####/ad_struct
- /data/data/####/bc22a31defaea01d85d52e5eae6ed4fbfc365b2282ffe37....0.tmp
- /data/data/####/c5e57b9001e1308c1a2de4a5cef61aa2.0.tmp
- /data/data/####/c5e57b9001e1308c1a2de4a5cef61aa2.1.tmp
- /data/data/####/cb06c7c2f7766c5570de0f6a65f78935f03f18c7885ec6e....0.tmp
- /data/data/####/cb3719158755f092940cb64fa5b2eef3393566553352823....0.tmp
- /data/data/####/com.jz.youyu6796113d00719acec0a31727f572a26e.xml
- /data/data/####/com.jz.youyu;pushservice
- /data/data/####/com.jz.youyu_preferences.xml
- /data/data/####/d16b9fc536495d2751731387d1d3b977ba10275574faaf3....0.tmp
- /data/data/####/dd65a2b6a27034b22fcfb7a1a7be18b384b9963971b425f....0.tmp
- /data/data/####/df1c949d596108777ad4565147841ad7.0.tmp
- /data/data/####/df1c949d596108777ad4565147841ad7.1.tmp
- /data/data/####/e29553b4c42bb93f4862a47b081339b1.0.tmp
- /data/data/####/e29553b4c42bb93f4862a47b081339b1.1.tmp
- /data/data/####/exchangeIdentity.json
- /data/data/####/exid.dat
- /data/data/####/f382a84417086bbfc15791b47254c318.0.tmp
- /data/data/####/f382a84417086bbfc15791b47254c318.1.tmp
- /data/data/####/f8223166e4455cae66dcf642f6c5601a00c1a9a7387bf79....0.tmp
- /data/data/####/f990b77ba706a9e5eb5d9b88423de376b697ef50a83784e....0.tmp
- /data/data/####/fd888c34b04893afaed5e3b6cbf0b48b95c752b57e2d45d....0.tmp
- /data/data/####/ff73ca2e19fe1e15e168e83af0aedf59.0.tmp
- /data/data/####/ff73ca2e19fe1e15e168e83af0aedf59.1.tmp
- /data/data/####/gdaemon_20161017
- /data/data/####/geofencing.db
- /data/data/####/geofencing.db-journal
- /data/data/####/getui_sp.xml
- /data/data/####/gkt-journal
- /data/data/####/gx_sp.xml
- /data/data/####/init.pid
- /data/data/####/init_c1.pid
- /data/data/####/journal.tmp
- /data/data/####/jz.db-journal
- /data/data/####/jz_banner.json
- /data/data/####/libjiagu188558744.so
- /data/data/####/meiqia.db
- /data/data/####/meiqia.db-journal
- /data/data/####/message_list.json
- /data/data/####/mipush.xml
- /data/data/####/mipush_account.xml
- /data/data/####/mipush_extra.xml
- /data/data/####/mipush_oc.xml
- /data/data/####/mipush_region
- /data/data/####/mipush_region.lock
- /data/data/####/multidex.version.xml
- /data/data/####/pref_registered_pkg_names.xml
- /data/data/####/push.pid
- /data/data/####/pushext.db-journal
- /data/data/####/pushg.db-journal
- /data/data/####/pushk.db-journal
- /data/data/####/pushsdk.db-journal
- /data/data/####/run.pid
- /data/data/####/sample.db
- /data/data/####/sample.db-journal
- /data/data/####/sample.zip
- /data/data/####/skin_plugin_pref.xml
- /data/data/####/sp_client_report_status.xml
- /data/data/####/start_cache.json
- /data/data/####/tdata_Cta775
- /data/data/####/tdata_Cta775.jar
- /data/data/####/tdata_RyW085
- /data/data/####/tdata_RyW085.jar
- /data/data/####/tdata_YYn966
- /data/data/####/tdata_YYn966.jar
- /data/data/####/tdata_lOE499
- /data/data/####/tdata_lOE499.jar
- /data/data/####/ua.db
- /data/data/####/ua.db-journal
- /data/data/####/umeng_common_config.xml
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_it.cache
- /data/data/####/youyutongji
- /data/data/####/youyutongji-journal
- /data/media/####/.nomedia
- /data/media/####/app.db
- /data/media/####/com.getui.sdk.deviceId.db
- /data/media/####/com.igexin.sdk.deviceId.db
- /data/media/####/com.jz.youyu.bin
- /data/media/####/com.jz.youyu.db
- /data/media/####/gkt-journal
- /data/media/####/gktper
- /data/media/####/log.lock
- /data/media/####/log1.txt
- /data/media/####/tdata_Cta775
- /data/media/####/tdata_RyW085
- /data/media/####/tdata_YYn966
- /data/media/####/tdata_lOE499
- /data/media/####/test.log
- /data/media/####/yyid11
Другие:
Запускает следующие shell-скрипты:
- <Package Folder>/files/gdaemon_20161017 0 <Package>/com.caiyi.push.service.GetuiPushService 24226 300 0
- cat /sys/class/net/wlan0/address
- chmod 700 <Package Folder>/files/gdaemon_20161017
- mount
- sh <Package Folder>/files/gdaemon_20161017 0 <Package>/com.caiyi.push.service.GetuiPushService 24226 300 0
Загружает динамические библиотеки:
- BaiduSpeechSDK
- getuiext2
- libjiagu188558744
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- AES-CFB-NoPadding
- AES-ECB-PKCS5Padding
- RSA-NONE-OAEPWithSHA1AndMGF1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
- AES-CBC-PKCS7Padding
- AES-ECB-PKCS5Padding
Осуществляет доступ к приватному интерфейсу ITelephony.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
