Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Android.Packed.44831

Добавлен в вирусную базу Dr.Web: 2019-05-11

Описание добавлено:

Техническая информация

Вредоносные функции:
Выполняет код следующих детектируемых угроз:
  • Android.DownLoader.363.origin
Сетевая активность:
Подключается к:
  • UDP(DNS) <Google DNS>
  • TCP(HTTP/1.1) 1####.131.79.3:8090
  • TCP(HTTP/1.1) 1####.75.116.197:8881
  • TCP(HTTP/1.1) a.ibit####.com:80
  • TCP(HTTP/1.1) 1####.26.106.206:8088
  • TCP(HTTP/1.1) gd.a.s####.com:80
  • TCP(HTTP/1.1) a.xinxian####.com:80
  • TCP(HTTP/1.1) f####.caiji####.com:80
  • TCP(HTTP/1.1) w####.pcon####.com.cn:80
  • TCP(HTTP/1.1) 1####.131.189.116:90
  • TCP(HTTP/1.1) d####.wos####.com:80
  • TCP(HTTP/1.1) np.bul####.cn:6087
  • TCP(HTTP/1.1) ss####.youxi####.com:80
  • TCP(HTTP/1.1) a####.u####.com:80
  • TCP(HTTP/1.1) k####.kyli####.com.####.com:80
  • TCP(HTTP/1.1) cdn.i.arie####.com:80
  • TCP(HTTP/1.1) adx.c####.cn:80
  • TCP(HTTP/1.1) si####.jom####.com:80
  • TCP(HTTP/1.1) p####.caiji####.com:80
  • TCP(HTTP/1.1) wn.pos.b####.com:80
  • TCP(HTTP/1.1) sf1-ttc####.ps####.com:80
  • TCP(HTTP/1.1) ny.bul####.cn:666
  • TCP(HTTP/1.1) dn.bule####.com:80
  • TCP(HTTP/1.1) s.a####.com.cn:80
  • TCP(HTTP/1.1) s1.best####.com:9191
  • TCP(HTTP/1.1) a####.yucha####.com:80
  • TCP(HTTP/1.1) s####.caiji####.com:666
  • TCP(HTTP/1.1) 1####.75.116.197:8721
  • TCP(HTTP/1.1) 1####.231.136.27:8090
  • TCP(HTTP/1.1) a####.caiji####.com:80
  • TCP(TLS/1.0) lf.sn####.com:443
  • TCP(TLS/1.0) a####.d####.com:443
  • TCP(TLS/1.0) n.3####.com:443
  • TCP(TLS/1.0) s1.best####.com:9443
  • TCP(TLS/1.0) statson####.pu####.b####.com:443
  • TCP(TLS/1.0) 2####.58.211.110:443
  • TCP(TLS/1.0) ss####.youxi####.com:443
  • TCP(TLS/1.0) www.google-####.com:443
  • TCP(TLS/1.0) i####.d####.com:443
  • TCP(TLS/1.0) api.tui####.b####.com:443
  • TCP(TLS/1.0) aliyuno####.oss-cn-####.aliy####.com:443
  • TCP(TLS/1.0) api.map.b####.com:443
  • TCP(TLS/1.0) 1####.235.46.191:443
  • TCP(TLS/1.0) sw3.d####.com:443
  • TCP sa.tui####.b####.com:5287
  • TCP 1####.168.103.254:42561
Запросы DNS:
  • a####.caiji####.com
  • a####.d####.com
  • a####.u####.com
  • a####.yucha####.com
  • a.ibit####.com
  • a.xinxian####.com
  • adx.c####.cn
  • aliyuno####.oss-cn-####.aliy####.com
  • api.htp.hubc####.####.cn
  • api.map.b####.com
  • api.tui####.b####.com
  • cdn.i.arie####.com
  • d####.wos####.com
  • dn.bule####.com
  • f####.caiji####.com
  • i####.d####.com
  • img.d####.com
  • k####.kyli####.com
  • lf.sn####.com
  • mt####.go####.com
  • n.3####.com
  • np.bul####.cn
  • ny.bul####.cn
  • p####.caiji####.com
  • pv.s####.com
  • r.ibit####.com
  • s####.caiji####.com
  • s.69####.com
  • s.a####.com.cn
  • s1.best####.com
  • sa.tui####.b####.com
  • sf1-ttc####.ps####.com
  • ss####.youxi####.com
  • statson####.pu####.b####.com
  • sw3.d####.com
  • t10.b####.com
  • w####.pcon####.com.cn
  • wn.pos.b####.com
  • www.google-####.com
Запросы HTTP GET:
  • a.ibit####.com/c/strawberry_sdk
  • a.ibit####.com/update_ch/fruit/core.jar
  • a.ibit####.com/update_ch/fruit/coreconfig.jar
  • cdn.i.arie####.com/c/_ii_?_=####
  • cdn.i.arie####.com/e/i.html
  • cdn.i.arie####.com/e/i.js
  • dn.bule####.com/dnfile/cmm/SWrapComm0510.jar
  • dn.bule####.com/dnfile/wmp/AB50403my.jar
  • f####.caiji####.com/v1/cc/mobile?brand=####&model=####&andid=####&andv=#...
  • k####.kyli####.com.####.com/1557476106192_utils.ttf
  • s1.best####.com:9191/b3.htm?c=####&p=####&t=####&r=####&d=####&sc=####
  • sf1-ttc####.ps####.com/img/web.business.image/201905075d0d3974fa1eb0c74f...
  • si####.jom####.com/it/u=2242318647,3417482069&fm=76
  • ss####.youxi####.com/Exposead/index/?re=cmFk####
  • wn.pos.b####.com/adx.php?c=####
Запросы HTTP POST:
  • a####.caiji####.com/v2/load/mobile
  • a####.u####.com/app_logs
  • a####.yucha####.com/api/api3_code_ym.php
  • a.xinxian####.com/encrypt/json/taokl
  • adx.c####.cn/reqad
  • d####.wos####.com/upload/event.jsp
  • d####.wos####.com/upload/event2.jsp
  • d####.wos####.com/upload/longheartbeat.jsp
  • d####.wos####.com/upload/sdklongheartbeat.jsp
  • f####.caiji####.com/v3/task/mobile
  • gd.a.s####.com/cityjson
  • np.bul####.cn:6087/Sdk/task
  • ny.bul####.cn:666/slsdk/cmm_settings.aspx
  • ny.bul####.cn:666/slsdk/getdata.aspx
  • p####.caiji####.com/klv2/sdkkl/mobile
  • s####.caiji####.com:666/v1/config
  • s.a####.com.cn/ad/get
  • w####.pcon####.com.cn/ip.jsp
Изменения в файловой системе:
Создает следующие файлы:
  • /data/data/####/-1802889889_app_spf_scli.xml
  • /data/data/####/-1802889889_pl_sp.xml
  • /data/data/####/-1802889889_rss_pl_cty.xml
  • /data/data/####/-1802889889_rws_sp.xml
  • /data/data/####/-1802889889_sp_iconfig.xml
  • /data/data/####/-1802889889_sp_iconfig.xml.bak
  • /data/data/####/.imprint
  • /data/data/####/.jg.ic
  • /data/data/####/Alvin2.xml
  • /data/data/####/ApplicationCache.db-journal
  • /data/data/####/ContextData.xml
  • /data/data/####/adhubsdk_config.xml
  • /data/data/####/app_launcher_ic.png
  • /data/data/####/authStatus_com.haier.washcallmanager.xml
  • /data/data/####/authStatus_com.haier.washcallmanager;bdservice_v1.xml
  • /data/data/####/cache_-1802889889_onsp.xml
  • /data/data/####/cc.db
  • /data/data/####/cc.db-journal
  • /data/data/####/cm_cfgt_spf.xml
  • /data/data/####/cmcc.xml
  • /data/data/####/com.baidu.pushservice.BIND_CACHE.xml
  • /data/data/####/com.baidu.pushservice.app_stat.xml
  • /data/data/####/com.baidu.pushservice.friend.xml
  • /data/data/####/com.baidu.pushservice.single_conn.xml
  • /data/data/####/com.haier.washcallmanager.push_sync.xml
  • /data/data/####/com.haier.washcallmanager.self_push_sync.xml
  • /data/data/####/com.haier.washcallmanager_preferences.xml
  • /data/data/####/config.xml
  • /data/data/####/data_0
  • /data/data/####/data_1
  • /data/data/####/data_2
  • /data/data/####/data_3
  • /data/data/####/data_dir.xml
  • /data/data/####/data_dir.xml.bak
  • /data/data/####/default.xml
  • /data/data/####/defaultpref1.xml
  • /data/data/####/exchangeIdentity.json
  • /data/data/####/exid.dat
  • /data/data/####/f_000001
  • /data/data/####/f_000002
  • /data/data/####/f_000003
  • /data/data/####/f_000004
  • /data/data/####/f_000005
  • /data/data/####/f_000006
  • /data/data/####/https_sw3.duoyi.com_0.localstorage-journal
  • /data/data/####/img-cache.zip
  • /data/data/####/index
  • /data/data/####/journal.tmp
  • /data/data/####/libcuid.so
  • /data/data/####/libjiagu-1170918642.so
  • /data/data/####/load_MTAwMF8xMjAxXzE0OTAwODAw;.xml
  • /data/data/####/oddbd.xml
  • /data/data/####/prdopt.xml
  • /data/data/####/pst.xml
  • /data/data/####/pushclient.xml
  • /data/data/####/pushinfo.db
  • /data/data/####/pushinfo.db-journal
  • /data/data/####/pushstat_6.5.0.db
  • /data/data/####/pushstat_6.5.0.db-journal
  • /data/data/####/spfn_MTAwMF8xMjAxXzE0OTAwODAw;.xml
  • /data/data/####/tmp7.xml
  • /data/data/####/tools8977.xml
  • /data/data/####/tools8977New.xml
  • /data/data/####/u877.jar
  • /data/data/####/ua.db
  • /data/data/####/ua.db-journal
  • /data/data/####/umeng_general_config.xml
  • /data/data/####/umeng_it.cache
  • /data/data/####/webview.db-journal
  • /data/data/####/webviewCookiesChromium.db-journal
  • /data/data/####/xconfig.xml
  • /data/data/####/xsdk_preference.xml
  • /data/media/####/.cuid
  • /data/media/####/.cuid2
  • /data/media/####/.nomedia
  • /data/media/####/427C06F1F603DFB65CF80ED68143A253.jar
  • /data/media/####/7E0EDCFF5E587E4417716004261303EB.jar
  • /data/media/####/Alvin2.xml
  • /data/media/####/ContextData.xml
  • /data/media/####/bb0510.x
  • /data/media/####/c.jar
  • /data/media/####/c.jar.tm
  • /data/media/####/cb0510.x
  • /data/media/####/cf.jar
  • /data/media/####/cf.jar.tm
  • /data/media/####/dec_c.jar
  • /data/media/####/dec_cf.jar
  • /data/media/####/engc.jar
  • /data/media/####/ssp_brush_lib.data
  • /data/media/####/tmpbl.jar
  • /data/media/####/u877.jar.tmp
Другие:
Запускает следующие shell-скрипты:
  • /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_max_freq
  • /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_min_freq
  • cat /sys/class/net/wlan0/address
  • ls -l /system/bin/su
  • netstat -ant
Загружает динамические библиотеки:
  • BaiduMapSDK_base_v4_5_2
  • bdpush_V2_9
  • libjiagu-1170918642
Использует следующие алгоритмы для шифрования данных:
  • AES-CBC-PKCS5PADDING
  • AES-CBC-PKCS5Padding
  • AES-CBC-PKCS7Padding
  • AES-CFB-NOPADDING
  • DES-CBC-PKCS5Padding
  • RSA-None-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
  • AES-CBC-PKCS5PADDING
  • AES-CBC-PKCS5Padding
  • AES-CFB-NOPADDING
  • DES
  • DES-CBC-PKCS5Padding
Осуществляет доступ к приватному интерфейсу ITelephony.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.

Рекомендации по лечению


Android

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке

Российский разработчик антивирусов Dr.Web с 1992 года
Dr.Web в Реестре Отечественного ПО
Dr.Web совместим с российскими ОС и оборудованием
Dr.Web пользуются в 120+ странах мира
Техническая поддержка 24х7х365 Рус | En

© «Доктор Веб»
2003 — 2023

«Доктор Веб» — российский производитель антивирусных средств защиты информации под маркой Dr.Web. Продукты Dr.Web разрабатываются с 1992 года.

125124, Россия, Москва, 3-я улица Ямского поля, д.2, корп.12А