Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Adware.Kyview.1.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) statson####.pu####.b####.com:80
- TCP(HTTP/1.1) cha####.api.d####.com:80
- TCP(HTTP/1.1) afa####.d1.east####.com:80
- TCP(HTTP/1.1) h####.b####.com:80
- TCP(TLS/1.0) 1####.217.168.206:443
- TCP agentch####.api.d####.com:5287
Запросы DNS:
- afa####.d1.east####.com
- agentch####.api.d####.com
- cha####.api.d####.com
- h####.b####.com
- statson####.pu####.b####.com
Запросы HTTP GET:
- afa####.d1.east####.com/up/sj/sj2.4.8.txt
Запросы HTTP POST:
- cha####.api.d####.com/rest/2.0/channel/3815433915588549500
- cha####.api.d####.com/rest/2.0/channel/channel
- h####.b####.com/app.gif
- statson####.pu####.b####.com/pushlog
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/__Baidu_Stat_SDK_SendRem.xml
- /data/data/####/__local_last_session.json
- /data/data/####/__local_stat_cache.json
- /data/data/####/com.afar.machinedesignhandbook.push_sync.xml
- /data/data/####/com.afar.machinedesignhandbook.xml
- /data/data/####/config.xml
- /data/data/####/net.xml
- /data/data/####/pst.xml
- /data/data/####/qihooLock.xml
- /data/data/####/sj249.xml
- /data/media/####/.cuid
- /data/media/####/apps
- /data/media/####/pushstat.db-journal
Другие:
Загружает динамические библиотеки:
- bdpush_V1_0
- protectClass
- push-socket
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- RSA-ECB-PKCS1Padding
Осуществляет доступ к приватному интерфейсу ITelephony.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
