Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Android.RemoteCode.41.origin
- Android.Xiny.20
Загружает из Интернета следующие детектируемые угрозы:
- Android.DownLoader.363.origin
- Android.RemoteCode.229.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) h####.opensp####.cn:80
- TCP(HTTP/1.1) l.bjsd####.com:80
- TCP(HTTP/1.1) d####.opensp####.cn:80
- TCP(HTTP/1.1) www.61er####.com:80
- TCP(HTTP/1.1) z.c####.com:80
- TCP(HTTP/1.1) z####.heyc####.net:80
- TCP(HTTP/1.1) www.ye####.org:80
- TCP(HTTP/1.1) t.si####.net:80
- TCP(HTTP/1.1) img.61####.com:80
- TCP(HTTP/1.1) e.ghe####.net:9908
- TCP(HTTP/1.1) d####.dd7####.com:80
- TCP(HTTP/1.1) t####.a####.top:80
- TCP(HTTP/1.1) cdn.clou####.xyz:80
- TCP(HTTP/1.1) d.bjsd####.com:80
- TCP(HTTP/1.1) c####.im.qq.com:80
- TCP(HTTP/1.1) b####.www.ye####.org:80
- TCP(TLS/1.0) hotfix####.oss-cn-####.aliy####.com:443
- TCP(TLS/1.0) ti####.b####.com:443
- TCP(TLS/1.0) aliyuns####.oss-cn-####.aliy####.com:443
- TCP(TLS/1.0) x5.g####.tv:16006
- TCP(TLS/1.0) aliyuno####.oss-cn-####.aliy####.com:443
- TCP(TLS/1.0) api.leanc####.cn:443
- TCP(TLS/1.0) leanc####.cn:443
Запросы DNS:
- a.bjsd####.com
- aliyuno####.oss-cn-####.aliy####.com
- aliyuns####.oss-cn-####.aliy####.com
- api.leanc####.cn
- b####.www.ye####.org
- c####.im.qq.com
- cdn.clou####.xyz
- d####.dd7####.com
- d####.opensp####.cn
- d.bjsd####.com
- da.mma####.com
- do.kw####.com
- e.ghe####.net
- h####.opensp####.cn
- hotfix####.oss-cn-####.aliy####.com
- img.61####.com
- l.bjsd####.com
- leanc####.cn
- t####.a####.top
- t.si####.net
- ti####.b####.com
- www.61er####.com
- www.ye####.org
- x5.g####.tv
- z####.heyc####.net
- z9.c####.com
Запросы HTTP GET:
- c####.im.qq.com/cgi-bin/cgi_svrtime
- cdn.clou####.xyz/jar/adm0605.jar
- cdn.clou####.xyz/jar/olo0613.jar
- cdn.clou####.xyz/jar/olochaping0513.jar
- cdn.clou####.xyz/jar/qiu0724.jar
- d####.dd7####.com//upload/plog/dfkn.jar
- d####.dd7####.com//upload/sdk3/cjmob20190726.jar
- d####.dd7####.com//upload/sdk3/papp20190412.jar
- d####.dd7####.com/upload/plog/N38de20181225.jar
- d####.dd7####.com/upload/plog/mfgz.jar
- d####.dd7####.com/upload/sdk2/JAR31dex20190530.jar
- d####.dd7####.com/upload/sdk2/info20190702.jar
- d####.dd7####.com/upload/sdk3/kzd20190428.jar
- h####.opensp####.cn/launchconfig?t=####&p=LmFwc####
- img.61####.com/allimg/170220/149516-1F220151U5J2.jpg
- img.61####.com/allimg/170220/149516-1F22015425G95.jpg
- img.61####.com/allimg/190213/209129-1Z2131005354a.png
- t####.a####.top/channl_adong.png
- t####.a####.top/channl_adong2.png
- t####.a####.top/channl_haoqi1.png
- t.si####.net/201812/ww9.jar
- www.61er####.com/wenxue/antushengtonghua/20170220/266151.html
- www.61er####.com/wenxue/antushengtonghua/20170220/266156.html
- www.61er####.com/wenxue/antushengtonghua/list_186_1.html
- www.61er####.com/wenxue/tonghuagushi/20190131/289011.html
- www.61er####.com/wenxue/tonghuagushi/20190213/289133.html
- www.61er####.com/wenxue/tonghuagushi/list_177_1.html
- z.c####.com/stat.htm?id=####&cnzz_eid=####
Запросы HTTP POST:
- b####.www.ye####.org/i?requestId=####&g=####&ua=####
- d####.opensp####.cn/index.php/clientrequest/clientcollect/isCollect
- d.bjsd####.com/index.php?r=####
- e.ghe####.net:9908/e/a/t
- l.bjsd####.com/index.php?r=####
- t.si####.net/t2
- www.ye####.org/i?requestId=####&g=####&ua=####
- z####.heyc####.net/getlist
- z####.heyc####.net/xlogin
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/2f0973bc176710e26ba697ee4060ef54
- /data/data/####/41f268d3bac9022804f4ffa460837b99
- /data/data/####/AVOSCloud-SDK.xml
- /data/data/####/AV_CLOUD_API_VERSION_KEY_ZONE.xml
- /data/data/####/JCsbBK.jar
- /data/data/####/KqiVQsOREP.jar
- /data/data/####/N1PinGNJN.jar
- /data/data/####/W_Key.xml
- /data/data/####/Z6pAIv.jar
- /data/data/####/au.xml
- /data/data/####/avoscloud-analysis
- /data/data/####/cdsdfdse.xml
- /data/data/####/cdsdfdse.xml.bak
- /data/data/####/com.avos.avoscloud.RequestStatisticsUtil.data.xml
- /data/data/####/com.avos.avoscloud.analysis.xml
- /data/data/####/com.iflytek.id.xml
- /data/data/####/com.show.ertdw.app_preferences.xml
- /data/data/####/downloadswc
- /data/data/####/downloadswc-journal
- /data/data/####/dpi
- /data/data/####/eHxdTb.jar
- /data/data/####/evnlxd0
- /data/data/####/hid.db
- /data/data/####/ifly_launch_lib.xml
- /data/data/####/iflytek_state_com.show.ertdw.app.xml
- /data/data/####/lxdMoblieAgent_event_com.show.ertdw.app.xml
- /data/data/####/lxdMoblieAgent_sys_config.xml
- /data/data/####/lxdMoblieAgent_upload_com.show.ertdw.app.xml
- /data/data/####/pw.hais.util.xml
- /data/data/####/st.xml
- /data/data/####/vgsvfshq.data-journal
- /data/data/####/webview.db-journal
- /data/media/####/.2F6E2C5B63F0F83B
- /data/media/####/.nid
- /data/media/####/5.0ww9.jar.m
- /data/media/####/JAR31dex20190530.jar
- /data/media/####/N38de20181225.jar
- /data/media/####/cjmob20190726.jar
- /data/media/####/dfkn.jar
- /data/media/####/iflyworkdir_test
- /data/media/####/img.61gequ.comallimg170220149516-1F220151U5J2.jpg
- /data/media/####/img.61gequ.comallimg170220149516-1F22015425G95.jpg
- /data/media/####/img.61gequ.comallimg190213209129-1Z2131005354a.png
- /data/media/####/info20190702.jar
- /data/media/####/kzd20190428.jar
- /data/media/####/mfgz.jar
- /data/media/####/papp20190412.jar
- /data/media/####/restime.dat
- /data/media/####/stimgsa.baidu.comtimg;image&quality=80&size=b9...a.jpeg
Другие:
Запускает следующие shell-скрипты:
- /system/bin/sh
- cat /sys/class/android_usb/android0/idProduct
- cat /sys/class/android_usb/android0/idVendor
- getprop
- ls -l /dev
- ls -l /dev/block
- ls -l /dev/block/vold
- ls -l /dev/bus
- ls -l /dev/bus/usb
- ls -l /dev/bus/usb/001
- ls -l /dev/com.android.settings.daemon
- ls -l /dev/cpuctl
- ls -l /dev/cpuctl/apps
- ls -l /dev/cpuctl/apps/bg_non_interactive
- ls -l /dev/graphics
- ls -l /dev/input
- ls -l /dev/log
- ls -l /dev/pts
- ls -l /dev/snd
- ls -l /dev/socket
- ps
Загружает динамические библиотеки:
- msc
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
- AES-ECB-PKCS5Padding
- DES
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
