Adware.Gexin.14131

Техническая информация

Вредоносные функции:

Выполняет код следующих детектируемых угроз:

Adware.Gexin.2.origin

Сетевая активность:

Подключается к:

UDP(DNS) <Google DNS>
TCP(HTTP/1.1) qin####.com.www.####.com:80
TCP(HTTP/1.1) sdk-ope####.g####.com:80
TCP(HTTP/1.1) t####.c####.q####.####.com:80
TCP(HTTP/1.1) a.appj####.com:80
TCP(HTTP/1.1) c-h####.g####.com:80
TCP(TLS/1.0) 1####.217.19.206:443
TCP(TLS/1.0) and####.cli####.go####.com:443
TCP sdk.o####.t####.####.com:5224
TCP c####.g####.ig####.com:5224

Запросы DNS:

7j####.c####.z0.####.com
a.appj####.com
and####.cli####.go####.com
c####.g####.ig####.com
c-h####.g####.com
pub-####.qin####.com
sdk-ope####.g####.com
sdk.c####.ig####.com
sdk.o####.t####.####.com
sdk.o####.t####.####.com
sdk.o####.t####.####.net

Запросы HTTP GET:

qin####.com.www.####.com/tdata_EDT369
t####.c####.q####.####.com/config/hz-hzv6.conf
t####.c####.q####.####.com/tdata_Soq141
t####.c####.q####.####.com/tdata_fEV688
t####.c####.q####.####.com/tdata_hOi150
t####.c####.q####.####.com/tdata_ilz707

Запросы HTTP POST:

a.appj####.com/ad-service/ad/mark
c-h####.g####.com/api.php?format=####&t=####
sdk-ope####.g####.com/api.php?format=####&t=####
sdk-ope####.g####.com/api.php?format=####&t=####&d=####&k=####

Изменения в файловой системе:

Создает следующие файлы:

/data/data/####/.jg.ic
/data/data/####/.log.lock
/data/data/####/.log.ls
/data/data/####/H5A74CF18.xml
/data/data/####/cc.db
/data/data/####/cc.db-journal
/data/data/####/ce81316e69f4
/data/data/####/clientid_igexin.xml
/data/data/####/gdaemon_20161017
/data/data/####/getui_sp.xml
/data/data/####/gkt-journal
/data/data/####/gx_sp.xml
/data/data/####/init.pid
/data/data/####/init_c1.pid
/data/data/####/jg_app_update_settings_random.xml
/data/data/####/libjiagu.so
/data/data/####/pdr.xml
/data/data/####/push.pid
/data/data/####/pushext.db-journal
/data/data/####/pushg.db-journal
/data/data/####/pushk.db-journal
/data/data/####/pushsdk.db-journal
/data/data/####/run.pid
/data/data/####/tdata_Soq141
/data/data/####/tdata_Soq141.jar
/data/data/####/tdata_fEV688
/data/data/####/tdata_fEV688.jar
/data/data/####/tdata_hOi150
/data/data/####/tdata_hOi150.jar
/data/data/####/tdata_ilz707
/data/data/####/tdata_ilz707.jar
/data/data/####/umeng_general_config.xml
/data/data/####/webview.db-journal
/data/data/####/webviewCookiesChromium.db-journal
/data/data/####/webviewCookiesChromiumPrivate.db-journal
/data/media/####/add-car-choose.html
/data/media/####/add-car-choose.js
/data/media/####/add-car-choose.min.js
/data/media/####/add-car-res.html
/data/media/####/add-car-res.js
/data/media/####/add-car-res.min.js
/data/media/####/add-driver-pic.png
/data/media/####/addmore-icon.png
/data/media/####/address-arrive-pop.js
/data/media/####/address-arrive-pop.min.js
/data/media/####/address-pop.js
/data/media/####/address-pop.min.js
/data/media/####/android.png
/data/media/####/android_hd.png
/data/media/####/android_hdmi.png
/data/media/####/app-update.js
/data/media/####/app-update.min.js
/data/media/####/app.db
/data/media/####/app.js
/data/media/####/app.min.js
/data/media/####/autoOpenKeyboard.js
/data/media/####/avatar_img.png
/data/media/####/bank_default.png
/data/media/####/base-location.html
/data/media/####/base-location.js
/data/media/####/base-location.min.js
/data/media/####/beecloud.js
/data/media/####/bg_orange.png
/data/media/####/c-reg-back.html
/data/media/####/c-reg-back.js
/data/media/####/c-reg-back.min.js
/data/media/####/camera-pictures.js
/data/media/####/car-iconfont.css
/data/media/####/car-iconfont.ttf
/data/media/####/car-login-logo.png
/data/media/####/car-reg.html
/data/media/####/car-reg.js
/data/media/####/car-reg.min.js
/data/media/####/car-res-setting.html
/data/media/####/car-res-setting.js
/data/media/####/car-res-setting.min.js
/data/media/####/car.png
/data/media/####/cargoods_logo.png
/data/media/####/com.getui.sdk.deviceId.db
/data/media/####/com.igexin.sdk.deviceId.db
/data/media/####/common-camera.js
/data/media/####/common.css
/data/media/####/common.js
/data/media/####/company-reg.html
/data/media/####/company-reg.js
/data/media/####/company-reg.min.js
/data/media/####/contacts-add.html
/data/media/####/contacts-add.js
/data/media/####/contacts-add.min.js
/data/media/####/contacts.js
/data/media/####/contactsList.js
/data/media/####/cropper.min.css
/data/media/####/cropper.min.js
/data/media/####/driver-card.png
/data/media/####/driver.png
/data/media/####/feedback-page.css
/data/media/####/file__0.localstorage-journal
/data/media/####/font-awesome.min.css
/data/media/####/fontawesome-webfont.ttf
/data/media/####/gkt-journal
/data/media/####/gktper
/data/media/####/guide.html
/data/media/####/guide.js
/data/media/####/guide.min.js
/data/media/####/home-contacts-add.html
/data/media/####/home-contacts-add.js
/data/media/####/home-contacts-add.min.js
/data/media/####/home-contacts.html
/data/media/####/icon_box.png
/data/media/####/icon_box_active.png
/data/media/####/icon_buliding_2.png
/data/media/####/icon_cancel.png
/data/media/####/icon_car.png
/data/media/####/icon_car_active.png
/data/media/####/icon_checked.png
/data/media/####/icon_clock.png
/data/media/####/icon_close.png
/data/media/####/icon_close_black.png
/data/media/####/icon_dai.png
/data/media/####/icon_dai_active.png
/data/media/####/icon_explain.png
/data/media/####/icon_focused.png
/data/media/####/icon_friend.png
/data/media/####/icon_golden.png
/data/media/####/icon_location_3.png
/data/media/####/icon_location_blue.png
/data/media/####/icon_location_orange.png
/data/media/####/icon_log.png
/data/media/####/icon_loop.png
/data/media/####/icon_phone.png
/data/media/####/icon_phone_01.png
/data/media/####/icon_phone_2.png
/data/media/####/icon_phone_3.png
/data/media/####/icon_phone_4.png
/data/media/####/icon_phone_5.png
/data/media/####/icon_phone_6.png
/data/media/####/icon_phone_7.png
/data/media/####/icon_phone_8.png
/data/media/####/icon_phone_lose.png
/data/media/####/icon_self.png
/data/media/####/icon_self_active.png
/data/media/####/icon_star_2.png
/data/media/####/icon_star_3.png
/data/media/####/icon_tel.png
/data/media/####/icon_vip.png
/data/media/####/icon_vip_shadow.png
/data/media/####/icon_wei.png
/data/media/####/iconfont.css
/data/media/####/iconfont.ttf
/data/media/####/img_1.png
/data/media/####/img_2.png
/data/media/####/img_3.png
/data/media/####/img_45deg.png
/data/media/####/img_card_1.png
/data/media/####/img_card_2.png
/data/media/####/img_che.png
/data/media/####/img_check_green.png
/data/media/####/img_defeated.png
/data/media/####/img_gallery_bg.png
/data/media/####/img_headstock.png
/data/media/####/img_tailstock.png
/data/media/####/index.html
/data/media/####/io.dcloud.H5A74CF18.bin
/data/media/####/io.dcloud.H5A74CF18.db
/data/media/####/ipad_hd_heng.png
/data/media/####/ipad_hd_shu.png
/data/media/####/ipad_heng.png
/data/media/####/ipad_ios7_hd_heng.png
/data/media/####/ipad_ios7_hd_shu.png
/data/media/####/ipad_ios7_heng.png
/data/media/####/ipad_ios7_shu.png
/data/media/####/ipad_shu.png
/data/media/####/iphone5.png
/data/media/####/iphone6.png
/data/media/####/iphone6plus_heng.png
/data/media/####/iphone6plus_shu.png
/data/media/####/jiedan_icon.png
/data/media/####/login-protocol.html
/data/media/####/login.html
/data/media/####/login.js
/data/media/####/login.min.js
/data/media/####/logo.png
/data/media/####/logo_zyb.png
/data/media/####/main.css
/data/media/####/manifest.json
/data/media/####/mine-about.html
/data/media/####/mine-about.js
/data/media/####/mine-about.min.js
/data/media/####/mine-car-add.html
/data/media/####/mine-car-add.js
/data/media/####/mine-car-add.min.js
/data/media/####/mine-car.html
/data/media/####/mine-car.js
/data/media/####/mine-car.min.js
/data/media/####/mine-card-select.html
/data/media/####/mine-card-select.js
/data/media/####/mine-card-select.min.js
/data/media/####/mine-card-success.html
/data/media/####/mine-cardreq.html
/data/media/####/mine-cardreq.js
/data/media/####/mine-cardreq.min.js
/data/media/####/mine-oilcard-dtl.html
/data/media/####/mine-oilcard-dtl.js
/data/media/####/mine-oilcard-dtl.min.js
/data/media/####/mine-oilcard-introd.html
/data/media/####/mine-oilcard-req-success.html
/data/media/####/mine-oilcard-req-success.js
/data/media/####/mine-oilcard-req-success.min.js
/data/media/####/mine-oilcard-req.html
/data/media/####/mine-oilcard-req.js
/data/media/####/mine-oilcard-req.min.js
/data/media/####/mine-oilcard-service.html
/data/media/####/mine-oilcard.html
/data/media/####/mine-oilcard.js
/data/media/####/mine-oilcard.min.js
/data/media/####/mine-pay-fail.html
/data/media/####/mine-pay-fail.js
/data/media/####/mine-pay-fail.min.js
/data/media/####/mine-pay-success.html
/data/media/####/mine-pay-success.js
/data/media/####/mine-pay-success.min.js
/data/media/####/mine-pay.html
/data/media/####/mine-pay.js
/data/media/####/mine-pay.min.js
/data/media/####/mine-setting.html
/data/media/####/mine-setting.js
/data/media/####/mine-setting.min.js
/data/media/####/mine-share.html
/data/media/####/mine-share.js
/data/media/####/mine-share.min.js
/data/media/####/mine-wallet-card-add.html
/data/media/####/mine-wallet-card-add.js
/data/media/####/mine-wallet-card-add.min.js
/data/media/####/mine-wallet-card.html
/data/media/####/mine-wallet-card.js
/data/media/####/mine-wallet-card.min.js
/data/media/####/mine-wallet-dtl.html
/data/media/####/mine-wallet-dtl.js
/data/media/####/mine-wallet-dtl.min.js
/data/media/####/mine-wallet-due-bank.html
/data/media/####/mine-wallet-due-bank.js
/data/media/####/mine-wallet-due-bank.min.js
/data/media/####/mine-wallet-withdraw.html
/data/media/####/mine-wallet-withdraw.js
/data/media/####/mine-wallet-withdraw.min.js
/data/media/####/mine-wallet.html
/data/media/####/mine-wallet.js
/data/media/####/mine-wallet.min.js
/data/media/####/mine-withdraw-success.html
/data/media/####/mine-withdraw-success.js
/data/media/####/mine-withdraw-success.min.js
/data/media/####/mine.html
/data/media/####/mine.js
/data/media/####/mine.min.js
/data/media/####/minecard-1-2.jpg
/data/media/####/minecard-1.jpg
/data/media/####/minecard-2-1.jpg
/data/media/####/minecard-2.jpg
/data/media/####/minecard-3-2.jpg
/data/media/####/minecard-3.jpg
/data/media/####/modal.html
/data/media/####/mui.css
/data/media/####/mui.imageViewer.js
/data/media/####/mui.indexedlist.css
/data/media/####/mui.indexedlist.js
/data/media/####/mui.js
/data/media/####/mui.min.css
/data/media/####/mui.min.js
/data/media/####/mui.previewimage.js
/data/media/####/mui.ttf
/data/media/####/mui.zoom.js
/data/media/####/nocall-log.png
/data/media/####/notreq_head.jpg
/data/media/####/personal_id_1.png
/data/media/####/personal_id_2.png
/data/media/####/personal_id_3.png
/data/media/####/photoBrowser.html
/data/media/####/photoBrowser.js
/data/media/####/pic_add.png
/data/media/####/pic_bg.png
/data/media/####/pinyin.js
/data/media/####/pop-webview.js
/data/media/####/pop-webview.min.js
/data/media/####/promise.js
/data/media/####/recmd-source-content.html
/data/media/####/recmd-source-content.js
/data/media/####/recmd-source-content.min.js
/data/media/####/recmd-source-dtl.html
/data/media/####/recmd-source-dtl.js
/data/media/####/recmd-source-dtl.min.js
/data/media/####/recommend-call-dtl-car.html
/data/media/####/recommend-call-dtl-car.js
/data/media/####/recommend-call-dtl-car.min.js
/data/media/####/recommend-call-dtl-cargo.html
/data/media/####/recommend-call-dtl-cargo.js
/data/media/####/recommend-call-dtl-cargo.min.js
/data/media/####/recommend-call-dtl-direct.html
/data/media/####/recommend-call-dtl-direct.js
/data/media/####/recommend-call-dtl-direct.min.js
/data/media/####/recommend-call-log.html
/data/media/####/recommend-call-log.js
/data/media/####/recommend-call-log.min.js
/data/media/####/release-car.html
/data/media/####/release-car.js
/data/media/####/release-car.min.js
/data/media/####/release_btn.png
/data/media/####/releasecar-cargo-index.html
/data/media/####/releasecar-cargo-index.js
/data/media/####/releasecar-cargo-index.min.js
/data/media/####/role-choose.html
/data/media/####/role-choose.js
/data/media/####/role-choose.min.js
/data/media/####/role-reg-back.html
/data/media/####/role-reg-back.js
/data/media/####/role-reg-back.min.js
/data/media/####/splash.png
/data/media/####/store.js
/data/media/####/style.css
/data/media/####/tdata_Soq141
/data/media/####/tdata_fEV688
/data/media/####/tdata_hOi150
/data/media/####/tdata_ilz707
/data/media/####/template7.min.js
/data/media/####/test.log
/data/media/####/to-do-cancel-claim.html
/data/media/####/to-do-cancel-claim.js
/data/media/####/to-do-cancel-claim.min.js
/data/media/####/to-do-cancel-claiming.html
/data/media/####/to-do-cancel-claiming.js
/data/media/####/to-do-cancel-claiming.min.js
/data/media/####/to-do-cancel-noclaim.html
/data/media/####/to-do-cancel-noclaim.js
/data/media/####/to-do-cancel-noclaim.min.js
/data/media/####/to-do-cancel.html
/data/media/####/to-do-cancel.js
/data/media/####/to-do-cancel.min.js
/data/media/####/to-do-driver-select.html
/data/media/####/to-do-driver-select.js
/data/media/####/to-do-driver-select.min.js
/data/media/####/to-do-empty-req.html
/data/media/####/to-do-empty-req.js
/data/media/####/to-do-empty-req.min.js
/data/media/####/to-do-notice-dtl.html
/data/media/####/to-do-notice-dtl.js
/data/media/####/to-do-notice-dtl.min.js
/data/media/####/to-do-order-car.html
/data/media/####/to-do-order-car.js
/data/media/####/to-do-order-car.min.js
/data/media/####/to-do-order-car2.html
/data/media/####/to-do-order-cash.html
/data/media/####/to-do-order-dtl.html
/data/media/####/to-do-order-dtl.js
/data/media/####/to-do-order-dtl.min.js
/data/media/####/to-do-order-law.html
/data/media/####/to-do-order-success.html
/data/media/####/to-do-order-success.js
/data/media/####/to-do-order-success.min.js
/data/media/####/to-do-order.html
/data/media/####/to-do-order.js
/data/media/####/to-do-order.min.js
/data/media/####/to-do-over-dtl.html
/data/media/####/to-do-over-dtl.js
/data/media/####/to-do-over-dtl.min.js
/data/media/####/to-do-over.html
/data/media/####/to-do-over.js
/data/media/####/to-do-over.min.js
/data/media/####/to-do-transdtl-get.html
/data/media/####/to-do-transdtl-get.js
/data/media/####/to-do-transdtl-get.min.js
/data/media/####/to-do-transdtl-ing.html
/data/media/####/to-do-transdtl-ing.js
/data/media/####/to-do-transdtl-ing.min.js
/data/media/####/to-do-transdtl-sure.html
/data/media/####/to-do-transdtl-sure.js
/data/media/####/to-do-transdtl-sure.min.js
/data/media/####/to-do-transporting.html
/data/media/####/to-do-transporting.js
/data/media/####/to-do-transporting.min.js
/data/media/####/to-do.html
/data/media/####/to-do.js
/data/media/####/to-do.min.js
/data/media/####/utitls.js
/data/media/####/view-address.html
/data/media/####/view-address2.html
/data/media/####/view-carType.html
/data/media/####/view-carUsage.html
/data/media/####/view-carUsage2.html
/data/media/####/view-datetime.html
/data/media/####/view-datetime2.html
/data/media/####/view-sizeInput.html
/data/media/####/webView.css
/data/media/####/welcome_img01.png
/data/media/####/welcome_img02.png
/data/media/####/welcome_img03.png
/data/media/####/welcome_img04.png
/data/media/####/z-modal.css
/data/media/####/z-modal.js
/data/media/####/zepto_1.1.3.js
/data/media/####/zyb-logo-all.png
/data/media/####/zyb-logo.png

Другие:

Запускает следующие shell-скрипты:

/system/bin/cat /proc/cpuinfo
<Package Folder>/files/gdaemon_20161017 0 <Package>/io.dcloud.feature.apsGt.GTNormalPushService 24482 300 0
cat /sys/class/net/wlan0/address
chmod 700 <Package Folder>/files/gdaemon_20161017
chmod 755 <Package Folder>/.jiagu/libjiagu.so
mount
sh

Загружает динамические библиотеки:

getuiext2
libjiagu

Использует следующие алгоритмы для шифрования данных:

AES-CFB-NoPadding
AES-ECB-PKCS5Padding
RSA-NONE-OAEPWithSHA1AndMGF1Padding

Использует следующие алгоритмы для расшифровки данных:

AES-ECB-PKCS5Padding

Осуществляет доступ к приватному интерфейсу ITelephony.

Использует специальную библиотеку для скрытия исполняемого байт-кода.

Получает информацию о местоположении.

Получает информацию о сети.

Получает информацию о телефоне (номер, IMEI и т. д.).

Получает информацию об установленных приложениях.

Добавляет задания в системный планировщик.

Отрисовывает собственные окна поверх других приложений.

Технологии

Термины

Обучение и просвещение

Мифы

Техническая информация

Рекомендации по лечению

Демо бесплатно на 14 дней