Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Adware.Gexin.2.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) c-h####.g####.com:80
- TCP(HTTP/1.1) sdk-ope####.g####.com:80
- TCP(HTTP/1.1) t####.c####.q####.####.com:80
- TCP(HTTP/1.1) cfg.i####.qq.com:80
- TCP(HTTP/1.1) l####.tbs.qq.com:80
- TCP(TLS/1.0) j####.glodo####.com:443
- TCP(TLS/1.0) 1####.217.168.238:443
- TCP(TLS/1.0) hotfix####.aliy####.com:443
- TCP sdk.o####.t####.####.com:5224
- TCP c####.g####.ig####.com:5224
Запросы DNS:
- 7j####.c####.z0.####.com
- a####.man.aliy####.com
- c####.g####.ig####.com
- c####.g####.ig####.com
- c-h####.g####.com
- cfg.i####.qq.com
- hotfix####.aliy####.com
- j####.glodo####.com
- l####.tbs.qq.com
- sdk-ope####.g####.com
- sdk.c####.ig####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.net
Запросы HTTP GET:
- t####.c####.q####.####.com/config/hz-hzv6.conf
- t####.c####.q####.####.com/tdata_Soq141
- t####.c####.q####.####.com/tdata_fEV688
- t####.c####.q####.####.com/tdata_hOi150
- t####.c####.q####.####.com/tdata_ilz707
Запросы HTTP POST:
- c-h####.g####.com/api.php?format=####&t=####
- cfg.i####.qq.com/tbs?v=####&mk=####
- l####.tbs.qq.com/ajax?c=####&k=####
- sdk-ope####.g####.com/api.php?format=####&t=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.jg.ic
- /data/data/####/Alvin2.xml
- /data/data/####/ContextData.xml
- /data/data/####/H57C6F73B.xml
- /data/data/####/Login_share@2x.png
- /data/data/####/VoiceControl.js
- /data/data/####/add_share_qq.png
- /data/data/####/add_share_wechat.png
- /data/data/####/alertBg.png
- /data/data/####/analysis_ranking_bronze_medal@2x.png
- /data/data/####/analysis_ranking_gold_medal@2x.png
- /data/data/####/analysis_ranking_silver_medal@2x.png
- /data/data/####/anwser2.png.png
- /data/data/####/anwsered.png
- /data/data/####/app.css
- /data/data/####/app_icon.png
- /data/data/####/app_icon@2x.png
- /data/data/####/backBtn.png
- /data/data/####/background-po.jpg
- /data/data/####/barcode.js
- /data/data/####/base64.js
- /data/data/####/bim5d.jpg
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/clientid_igexin.xml
- /data/data/####/close.svg
- /data/data/####/close_alert.png
- /data/data/####/code.jpg
- /data/data/####/common.js
- /data/data/####/commonWebContainer.html
- /data/data/####/completeRankList.html
- /data/data/####/completelist.js
- /data/data/####/core_info
- /data/data/####/countRankList.html
- /data/data/####/countlist.js
- /data/data/####/course-details.html
- /data/data/####/courseDownload.js
- /data/data/####/courseDownloadNew.js
- /data/data/####/course_pic_1@2x.png
- /data/data/####/course_pic_2@2x.png
- /data/data/####/course_pic_3@2x.png
- /data/data/####/course_pic_4@2x.png
- /data/data/####/course_pic_5@2x.png
- /data/data/####/course_pic_6@2x.png
- /data/data/####/coursedetail.js
- /data/data/####/courselist.js
- /data/data/####/curriculum-plan.js
- /data/data/####/curriculum_knowledge_arrow_down@2x.png
- /data/data/####/curriculum_knowledge_arrow_upward@2x.png
- /data/data/####/curriculum_video_loading@2x.png
- /data/data/####/curriculum_video_loading_grey.png
- /data/data/####/curriculum_video_progress_bar@2x.png
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/dialog.css
- /data/data/####/dialog.html
- /data/data/####/downStu.html
- /data/data/####/downVideo-finish.html
- /data/data/####/downloadPage.js
- /data/data/####/downright.png
- /data/data/####/echarts.simple.min.js
- /data/data/####/edit-QQ.html
- /data/data/####/edit-class.html
- /data/data/####/edit-password.html
- /data/data/####/edit-persex.html
- /data/data/####/feedback.html
- /data/data/####/file__0.localstorage-journal
- /data/data/####/gdaemon_20161017
- /data/data/####/getui_sp.xml
- /data/data/####/guide.html
- /data/data/####/helpCenter.html
- /data/data/####/helpCenter.png
- /data/data/####/helpCenterBg.jpg
- /data/data/####/icomoon.eot
- /data/data/####/icomoon.svg
- /data/data/####/icomoon.ttf
- /data/data/####/icomoon.woff
- /data/data/####/iconfont.eot
- /data/data/####/iconfont.svg
- /data/data/####/iconfont.ttf
- /data/data/####/iconfont.woff
- /data/data/####/imglist.css
- /data/data/####/index
- /data/data/####/index.html
- /data/data/####/indicator_right.png
- /data/data/####/info_hint.png
- /data/data/####/init.pid
- /data/data/####/init_c1.pid
- /data/data/####/invitCode.html
- /data/data/####/invitCode.js
- /data/data/####/jquery-2.1.4.min.js
- /data/data/####/jquery-md5.js
- /data/data/####/jquery.rotate.min.js
- /data/data/####/knowledgeInfo.html
- /data/data/####/knowledge_spot_integral.png
- /data/data/####/lead1.png
- /data/data/####/lead2.png
- /data/data/####/lead3.png
- /data/data/####/libjiagu.so
- /data/data/####/loading.gif
- /data/data/####/loading@2x.gif
- /data/data/####/loading@3x.gif
- /data/data/####/login.css
- /data/data/####/login.html
- /data/data/####/login.js
- /data/data/####/loginPWD.html
- /data/data/####/main.css
- /data/data/####/manifest.json
- /data/data/####/mask.html
- /data/data/####/mui-icons-extra.ttf
- /data/data/####/mui.css
- /data/data/####/mui.min.js
- /data/data/####/mui.min1.js
- /data/data/####/mui.previewimage.js
- /data/data/####/mui.pullToRefresh.js
- /data/data/####/mui.pullToRefresh.material.js
- /data/data/####/mui.ttf
- /data/data/####/mui.zoom.js
- /data/data/####/mui1.ttf
- /data/data/####/myClass.html
- /data/data/####/myClass.js
- /data/data/####/my_class_code.png
- /data/data/####/my_download_suspend@2x.png
- /data/data/####/my_downloading@2x.png
- /data/data/####/my_feedback_add@2x.png
- /data/data/####/my_feedback_close@2x.png
- /data/data/####/my_gold@2x.png
- /data/data/####/my_icon_class.png
- /data/data/####/my_icon_data@2x.png
- /data/data/####/my_icon_download@2x.png
- /data/data/####/my_icon_edition@2x.png
- /data/data/####/my_icon_feedback@2x.png
- /data/data/####/my_icon_out@2x.png
- /data/data/####/my_icon_password@2x.png
- /data/data/####/my_no_sign.png
- /data/data/####/my_photo_background@2x.png
- /data/data/####/myclassStuList.html
- /data/data/####/myclassStuList.js
- /data/data/####/myvideo.html
- /data/data/####/myvideo.js
- /data/data/####/navigationbar_back@2x (2).png
- /data/data/####/navigationbar_back@2x.png
- /data/data/####/navigationbar_back_highlight@2x.png
- /data/data/####/navigationbar_share.png
- /data/data/####/navigationbar_share_highlight@2x.png
- /data/data/####/network_nothing@2x.png
- /data/data/####/network_nothing@3x.png
- /data/data/####/new-main.js
- /data/data/####/new.css
- /data/data/####/noClass.png
- /data/data/####/otherMsg.html
- /data/data/####/pdr.xml
- /data/data/####/permanage-edit.html
- /data/data/####/personal-manage.html
- /data/data/####/personal.js
- /data/data/####/phonef.png
- /data/data/####/pop_off@2x.png
- /data/data/####/popup_delete.png
- /data/data/####/popup_picture.png
- /data/data/####/progress.css
- /data/data/####/pure-min.css
- /data/data/####/push.pid
- /data/data/####/pushext.db-journal
- /data/data/####/pushg.db-journal
- /data/data/####/pushk.db-journal
- /data/data/####/pushsdk.db-journal
- /data/data/####/question.css
- /data/data/####/questionFeedback.html
- /data/data/####/questionFeedback.js
- /data/data/####/questionFeedbackInfo.html
- /data/data/####/questionfeedbackInfo.js
- /data/data/####/questionnaire.html
- /data/data/####/questionnaire.js
- /data/data/####/qustion.png
- /data/data/####/rem.js
- /data/data/####/retrieve-password.html
- /data/data/####/run.pid
- /data/data/####/s512x512.png
- /data/data/####/select_photo.js
- /data/data/####/serverPath.js
- /data/data/####/setUp.html
- /data/data/####/sharecord.js
- /data/data/####/sharecord_stu.js
- /data/data/####/sheZhi.png
- /data/data/####/show_version_student.js
- /data/data/####/showshare.js
- /data/data/####/sign.png
- /data/data/####/signSuccessTip.html
- /data/data/####/sign_password_close.png
- /data/data/####/sign_position.png
- /data/data/####/sign_position_highlight.png
- /data/data/####/sourseJianzhu.jpg
- /data/data/####/sp_sophix.xml
- /data/data/####/start.png
- /data/data/####/stream_permission.xml
- /data/data/####/stuNosign.html
- /data/data/####/stuNosign.js
- /data/data/####/stuSign.css
- /data/data/####/stu_wrongtd.html
- /data/data/####/stu_wrongtd.js
- /data/data/####/student-sign-main-sub.html
- /data/data/####/student-sign-main.html
- /data/data/####/studentBarcode.html
- /data/data/####/student_sign_main.js
- /data/data/####/studenttask.js
- /data/data/####/stustart.png
- /data/data/####/stustart_5s.png
- /data/data/####/tab-course-main.html
- /data/data/####/tab-personal-main.html
- /data/data/####/tab-task-main.html
- /data/data/####/tab_analyze_main.html
- /data/data/####/tab_analyze_main.js
- /data/data/####/tabbar_icon_analysis@2x.png
- /data/data/####/tabbar_icon_analysis_selected@2x.png
- /data/data/####/tabbar_icon_curriculum@2x.png
- /data/data/####/tabbar_icon_curriculum_selected@2x.png
- /data/data/####/tabbar_icon_me@2x.png
- /data/data/####/tabbar_icon_me_selected@2x.png
- /data/data/####/tabbar_icon_sign.png
- /data/data/####/tabbar_icon_task@2x.png
- /data/data/####/tabbar_icon_task_selected@2x.png
- /data/data/####/task-details.html
- /data/data/####/task-details.js
- /data/data/####/task-test-list-answer.html
- /data/data/####/task-test-list-three.html
- /data/data/####/task-test-list-two.html
- /data/data/####/task-test-main.html
- /data/data/####/task-test-main.js
- /data/data/####/task-test.css
- /data/data/####/task_answer_correct@2x.png
- /data/data/####/task_answer_error@2x.png
- /data/data/####/task_answer_integral.png
- /data/data/####/task_answer_integral@2x.png
- /data/data/####/task_answer_option_complete@2x.png
- /data/data/####/task_answer_option_empty@2x.png
- /data/data/####/task_answer_option_selected@2x.png
- /data/data/####/task_complete@2x.png
- /data/data/####/task_empty@2x.png
- /data/data/####/task_knowledge_point@2x.png
- /data/data/####/task_knowledge_point@3x.png
- /data/data/####/task_video__icon_suspend@2x.png
- /data/data/####/task_video_amplification@2x.png
- /data/data/####/task_video_complete@2x.png
- /data/data/####/task_video_delete_empty@2x.png
- /data/data/####/task_video_delete_selected@2x.png
- /data/data/####/task_video_delete_selected@3x.png
- /data/data/####/task_video_download@2x.png
- /data/data/####/task_video_dwon@2x.png
- /data/data/####/task_video_icon@2x.png
- /data/data/####/task_video_icon@3x.png
- /data/data/####/task_video_icon_play@2x.png
- /data/data/####/task_video_icon_yellow@2x.png
- /data/data/####/task_video_my_download@2x.png
- /data/data/####/task_video_my_download_highlight@2x.png
- /data/data/####/task_video_play@2x.png
- /data/data/####/task_video_reduction@2x.png
- /data/data/####/task_video_suspend@2x.png
- /data/data/####/taskvideo.html
- /data/data/####/tbs_download_config.xml
- /data/data/####/tbs_download_stat.xml
- /data/data/####/tbscoreinstall.txt
- /data/data/####/tbslock.txt
- /data/data/####/tdata_Soq141
- /data/data/####/tdata_Soq141.jar
- /data/data/####/tdata_fEV688
- /data/data/####/tdata_fEV688.jar
- /data/data/####/tdata_hOi150
- /data/data/####/tdata_hOi150.jar
- /data/data/####/tdata_ilz707
- /data/data/####/tdata_ilz707.jar
- /data/data/####/test-answer.js
- /data/data/####/test-list.html
- /data/data/####/test.js
- /data/data/####/umeng_general_config.xml
- /data/data/####/update-password.html
- /data/data/####/update-success.html
- /data/data/####/uploadApp.html
- /data/data/####/uploadApp.js
- /data/data/####/user-img-woman.png
- /data/data/####/user-img.png
- /data/data/####/userRegister.html
- /data/data/####/values.js
- /data/data/####/video.css
- /data/data/####/video.js
- /data/data/####/videoFullScreen.js
- /data/data/####/video_download_empty@2x.png
- /data/data/####/videodownload.js
- /data/data/####/videodownloadfinshed.js
- /data/data/####/videodownloadfinshedNew.js
- /data/data/####/videoquestions_fabulous@2x.png
- /data/data/####/videoquestions_fabulous_selected@2x.png
- /data/data/####/voice_bg.png
- /data/data/####/voice_icon.png
- /data/data/####/vue.min.js
- /data/data/####/waiting.gif
- /data/data/####/warn.png
- /data/data/####/webTipAlert.html
- /data/data/####/websql.js
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/data/####/webviewCookiesChromiumPrivate.db-journal
- /data/media/####/20190526.log
- /data/media/####/Alvin2.xml
- /data/media/####/ContextData.xml
- /data/media/####/app.db
- /data/media/####/com.getui.sdk.deviceId.db
- /data/media/####/com.igexin.sdk.deviceId.db
- /data/media/####/io.dcloud.H57C6F73B.bin
- /data/media/####/io.dcloud.H57C6F73B.db
- /data/media/####/tbs_download_lock_file44704.txt
- /data/media/####/tdata_Soq141
- /data/media/####/tdata_fEV688
- /data/media/####/tdata_hOi150
- /data/media/####/tdata_ilz707
- /data/media/####/temp.arm
- /data/media/####/test.log
Другие:
Запускает следующие shell-скрипты:
- <Package Folder>/files/gdaemon_20161017 0 <Package>/io.dcloud.feature.apsGt.GTNormalPushService 24486 300 0
- chmod 700 <Package Folder>/files/gdaemon_20161017
- chmod 755 <Package Folder>/.jiagu/libjiagu.so
- getprop ro.product.cpu.abi
Загружает динамические библиотеки:
- getuiext2
- libjiagu
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- DESede-ECB-PKCS5Padding
- RSA-ECB-NoPadding
- RSA-NONE-OAEPWithSHA1AndMGF1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
- DESede-ECB-PKCS5Padding
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Получает информацию о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
