Защити созданное

Другие наши ресурсы

  • free.drweb.ru — бесплатные утилиты, плагины, информеры
  • av-desk.com — интернет-сервис для поставщиков услуг Dr.Web AV-Desk
  • curenet.drweb.ru — сетевая лечащая утилита Dr.Web CureNet!
  • www.drweb.ru/web-iq — ВебIQметр
Закрыть

Библиотека
Моя библиотека

Чтобы добавить ресурс в библиотеку, войдите в аккаунт.

+ Добавить в библиотеку

Ресурсов: -

Последний: -

Моя библиотека

Поддержка
Круглосуточная поддержка | Правила обращения

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум | Бот самоподдержки Telegram

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32 | Skype Telegram

Свяжитесь с нами

Профиль

Профиль

Android.Triada.4056

Добавлен в вирусную базу Dr.Web: 2019-08-09

Описание добавлено:

Техническая информация

Вредоносные функции:
Выполняет код следующих детектируемых угроз:
  • Android.RemoteCode.41.origin
  • Android.Triada.248.origin
  • Android.Triada.464.origin
Сетевая активность:
Подключается к:
  • UDP(DNS) <Google DNS>
  • TCP(HTTP/1.1) m.t####.com:80
  • TCP(HTTP/1.1) 1####.75.79.16:80
  • TCP(HTTP/1.1) gd.a.s####.com:80
  • TCP(HTTP/1.1) www.x####.cn:80
  • TCP(HTTP/1.1) res####.a####.top:80
  • TCP(HTTP/1.1) p####.q####.cn.####.net:80
  • TCP(HTTP/1.1) www.a.sh####.com:80
  • TCP(HTTP/1.1) j####.g####.vip:80
  • TCP(HTTP/1.1) api.g####.vip:80
  • TCP(HTTP/1.1) api.lubang####.com:80
  • TCP(HTTP/1.1) p5.q####.com:80
  • TCP(HTTP/1.1) and####.b####.qq.com:80
  • TCP(HTTP/1.1) api.yzhe####.cn:80
  • TCP(HTTP/1.1) weiboi####.g####.sina####.com:80
  • TCP(HTTP/1.1) api.lubang####.com:8935
  • TCP(HTTP/1.1) adv.patrick####.com.cn:80
  • TCP(HTTP/1.1) 1####.75.90.218:80
  • TCP(HTTP/1.1) a####.umengc####.com:80
  • TCP(HTTP/1.1) filt####.a####.top:80
  • TCP(HTTP/1.1) a####.u####.com:80
  • TCP(HTTP/1.1) tu####.tupi####.com:80
  • TCP(HTTP/1.1) down####.baiyuns####.com:80
  • TCP(HTTP/1.1) baiyuns####.oss-cn-####.aliy####.com:80
  • TCP(HTTP/1.1) m.8####.com:80
  • TCP(HTTP/1.1) thind-p####.d####.ie.####.com:80
  • TCP(HTTP/1.1) 1####.75.92.94:80
  • TCP(HTTP/1.1) api.yunco####.com:80
  • UDP(NTP) 2.and####.p####.####.org:123
  • TCP(TLS/1.0) ssl.gst####.com:443
  • TCP(TLS/1.0) st-onli####.v####.com.####.com:443
  • TCP(TLS/1.0) lhyysdk####.oss-cn-####.aliy####.com:443
  • TCP(TLS/1.0) www.go####.com:443
  • TCP(TLS/1.0) www.gst####.com:443
  • TCP(TLS/1.0) i####.d####.com:443
  • TCP(TLS/1.0) a####.d####.com:443
  • TCP(TLS/1.0) www.google-####.com:443
  • TCP(TLS/1.0) s####.d####.com:443
  • TCP(TLS/1.0) hm.b####.com:443
  • TCP(TLS/1.0) api.g####.vip:443
  • TCP(TLS/1.0) ssp.v####.com.cn:443
Запросы DNS:
  • 2.and####.p####.####.org
  • 617.a####.top
  • a####.d####.com
  • a####.u####.com
  • a####.umengc####.com
  • adv.google####.com.cn
  • adv.mali####.com
  • adv.patrick####.com.cn
  • adv.reading####.com.cn
  • and####.b####.qq.com
  • api.g####.vip
  • api.lubang####.com
  • api.yunco####.com
  • api.yzhe####.cn
  • baiyuns####.oss-cn-####.aliy####.com
  • down####.baiyuns####.com
  • filt####.a####.top
  • hm.b####.com
  • i####.d####.com
  • j####.g####.vip
  • l.ace####.com
  • lhyysdk####.oss-cn-####.aliy####.com
  • m.8####.com
  • m.t####.com
  • p####.q####.cn
  • p5.q####.com
  • p8.q####.com
  • pv.s####.com
  • res####.a####.top
  • s####.d####.com
  • s####.uni####.com
  • ssl.gst####.com
  • ssp.v####.com.cn
  • st-onli####.v####.com.cn
  • tu####.tupi####.com
  • u####.a####.top
  • www.b####.com
  • www.go####.com
  • www.google-####.com
  • www.gst####.com
  • www.x####.cn
  • wx3.sin####.cn
Запросы HTTP GET:
  • api.g####.vip/cy.js
  • api.g####.vip/landing_with_phy.js
  • baiyuns####.oss-cn-####.aliy####.com/adapt.js
  • down####.baiyuns####.com/54yy/template/zmdvd/Images/duomi-bg.png
  • down####.baiyuns####.com/54yy/template/zmdvd/Images/load.gif
  • down####.baiyuns####.com/54yy/template/zmdvd/Images/logo.png
  • down####.baiyuns####.com/54yy/template/zmdvd/Images/p.png
  • down####.baiyuns####.com/54yy/template/zmdvd/Images/pload.gif
  • down####.baiyuns####.com/54yy/template/zmdvd/Images/search.png
  • down####.baiyuns####.com/54yy/template/zmdvd/Images/sf-close.gif
  • down####.baiyuns####.com/54yy/template/zmdvd/css/style.css
  • down####.baiyuns####.com/54yy/template/zmdvd/css/tupian.css
  • down####.baiyuns####.com/54yy/template/zmdvd/js/common.js
  • down####.baiyuns####.com/54yy/template/zmdvd/js/gotop.js
  • down####.baiyuns####.com/54yy/template/zmdvd/js/home.js
  • down####.baiyuns####.com/54yy/template/zmdvd/js/jquery.autocomplete.js
  • down####.baiyuns####.com/80syc/80sycphone.css
  • down####.baiyuns####.com/80syc/arrow.png
  • down####.baiyuns####.com/80syc/jquery.min.js
  • down####.baiyuns####.com/80syc/js/common.js
  • down####.baiyuns####.com/80syc/js/function.js
  • down####.baiyuns####.com/80syc/js/play.js
  • down####.baiyuns####.com/80syc/logo.gif
  • down####.baiyuns####.com/80syc/search.png
  • down####.baiyuns####.com/80syc/top.png
  • down####.baiyuns####.com/cy.js
  • down####.baiyuns####.com/jquery.lazyload.min.js
  • down####.baiyuns####.com/jquery.min.js
  • filt####.a####.top/filter_control_617.json
  • gd.a.s####.com/cityjson
  • j####.g####.vip/tv.js
  • m.8####.com/cron/index.asp?t=####
  • m.8####.com/js/ads/qzty.js
  • m.8####.com/js/ads/syd950.js
  • m.8####.com/play/13008-0-0.html
  • m.8####.com/playdata/208/13008.js?6437####
  • m.t####.com/inc/timming.php?t=####
  • m.t####.com/js/player.js
  • m.t####.com/js/playerconfig.js
  • m.t####.com/js/top.js
  • m.t####.com/player/m3u8.js
  • m.t####.com/playtv/25392-1-1.html
  • m.t####.com/template/zmdvd/ads/weixin.js
  • p####.q####.cn.####.net/vcover_vt_pic/0/kmxwel8vip9k9ob1513577405/220
  • p####.q####.cn.####.net/vcover_vt_pic/0/u92wq73x3t7ioif1510318212/220
  • p5.q####.com/d/dy_8c7f2e2380467915dc243dc7da566c59.
  • p5.q####.com/t0139ef3c2c6d644601.jpg
  • res####.a####.top/LHYY.png
  • res####.a####.top/sdk18.png
  • res####.a####.top/sdk5_2.png
  • res####.a####.top/sdk6_3.png
  • res####.a####.top/sdk7.png
  • tu####.tupi####.com/pic/upload/vod/2018-01-13/201801131515841136.jpg
  • tu####.tupi####.com/pic/upload/vod/2018-01-15/201801151516003890.jpg
  • weiboi####.g####.sina####.com/mw690/005LPStkgy1fiepr5a6ncj30ku0xbaet.jpg
  • www.a.sh####.com/
  • www.x####.cn/sycdd.js
Запросы HTTP POST:
  • a####.u####.com/app_logs
  • a####.umengc####.com/app_logs
  • adv.patrick####.com.cn/adv/pluginReq
  • and####.b####.qq.com/rqd/async
  • api.lubang####.com/domain.php
  • api.lubang####.com/srp.php
  • api.lubang####.com:8935/
  • api.yunco####.com/service/rest
  • api.yzhe####.cn/logstores/p1f
  • api.yzhe####.cn/logstores/t23
  • thind-p####.d####.ie.####.com/HWStats.cgi
Изменения в файловой системе:
Создает следующие файлы:
  • /data/data/####/.__mob_ad_data.xml
  • /data/data/####/ApplicationCache.db-journal
  • /data/data/####/GRWqrpEmzdI_LOPR7ZiC-w==.new
  • /data/data/####/HJO5lio8050tMdnS16g9s1-2lXU=.new
  • /data/data/####/JiSWxnSj0GalmSQefoFdcWEk3dJUp6Cv.new
  • /data/data/####/MqgaTKsj7w2RBleD.zip
  • /data/data/####/QUDCSkHiz
  • /data/data/####/RKmjSIydVTsFx.jar
  • /data/data/####/SOZDXrpRMTfXE4FpGcVfjQ==
  • /data/data/####/VSrxKS7V8JQ-9N7PqVC41Q==.new
  • /data/data/####/VivoOpenAdSDK.xml
  • /data/data/####/WBghEFlrNZXYU
  • /data/data/####/WPuFaDe_ByFMWHkdS5U6H2TaJZk=.new
  • /data/data/####/_B0jE2_Ow_t-ThFCTqySxXwVaXwt97mv_iPXmHLgzGbFCJsJU-journal
  • /data/data/####/bPUK_8Gy3qfSHDMFyht-bzoP2fc=.new
  • /data/data/####/br987bHr8DXReuUBh74O4w==.new
  • /data/data/####/bugly_db_legu-journal
  • /data/data/####/cc.db
  • /data/data/####/cc.db-journal
  • /data/data/####/com.szjzkj.simulatedsniper.vivo.xml
  • /data/data/####/com.szjzkj.simulatedsniper.vivo_preferences.xml
  • /data/data/####/data_0
  • /data/data/####/data_1
  • /data/data/####/data_2
  • /data/data/####/data_3
  • /data/data/####/exchangeIdentity.json
  • /data/data/####/exid.dat
  • /data/data/####/fHgFGgyxIkfhX0voWgESqg==.new
  • /data/data/####/f_000001
  • /data/data/####/f_000002
  • /data/data/####/f_000003
  • /data/data/####/f_000004
  • /data/data/####/f_000005
  • /data/data/####/f_000006
  • /data/data/####/f_000007
  • /data/data/####/f_000008
  • /data/data/####/f_000009
  • /data/data/####/f_00000a
  • /data/data/####/f_00000b
  • /data/data/####/f_00000c
  • /data/data/####/f_00000d
  • /data/data/####/f_00000e
  • /data/data/####/index
  • /data/data/####/jJHgv.txt
  • /data/data/####/libnfix.so
  • /data/data/####/libshella-2.9.1.2.so
  • /data/data/####/libufix.so
  • /data/data/####/local_crash_lock
  • /data/data/####/m69kU838tyLfrmO8xqDRP7sHMlU=.new
  • /data/data/####/m_scom.kjx.wmc.xml
  • /data/data/####/mix.dex
  • /data/data/####/n0BRNOxTSlcDJdtsSfSnyjiHQRw=.new
  • /data/data/####/nMacoy.jar
  • /data/data/####/native_record_lock
  • /data/data/####/oJibFWIfLm2V5ARybY7SBZypUgs=.new
  • /data/data/####/prefs_vivounionsdk.xml
  • /data/data/####/qripug_f.zip
  • /data/data/####/rdata_comdbznfjew.new
  • /data/data/####/runner_info.prop.new
  • /data/data/####/rwV2bEY94fz1gJE1
  • /data/data/####/sCpXwKQrNv.txt
  • /data/data/####/sDdiMcanhpKYWR9QoW6Ngg==
  • /data/data/####/security_info
  • /data/data/####/tZdK4DKtHOA98ywE.new
  • /data/data/####/ua.db
  • /data/data/####/ua.db-journal
  • /data/data/####/um_cache_1565375481280.env
  • /data/data/####/umengDown.jar
  • /data/data/####/umengDown5_2.jar
  • /data/data/####/umeng_down18.jar
  • /data/data/####/umeng_down6_3.jar
  • /data/data/####/umeng_down7.jar
  • /data/data/####/umeng_general_config.xml
  • /data/data/####/umeng_it.cache
  • /data/data/####/vivo_lib_version.xml
  • /data/data/####/vivoopenadsdk.db
  • /data/data/####/vivoopenadsdk.db-journal
  • /data/data/####/vivounionsdk.res
  • /data/data/####/webview.db-journal
  • /data/data/####/webviewCookiesChromium.db-journal
  • /data/media/####/.YiAds.log
  • /data/media/####/.YiAds_Net.log
  • /data/media/####/.nomedia
  • /data/media/####/.uunique.new
Другие:
Запускает следующие shell-скрипты:
  • /system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_max_freq
  • /system/bin/sh -c getprop ro.aa.romver
  • /system/bin/sh -c getprop ro.board.platform
  • /system/bin/sh -c getprop ro.build.fingerprint
  • /system/bin/sh -c getprop ro.build.nubia.rom.name
  • /system/bin/sh -c getprop ro.build.rom.id
  • /system/bin/sh -c getprop ro.build.tyd.kbstyle_version
  • /system/bin/sh -c getprop ro.build.version.emui
  • /system/bin/sh -c getprop ro.build.version.opporom
  • /system/bin/sh -c getprop ro.gn.gnromvernumber
  • /system/bin/sh -c getprop ro.lenovo.series
  • /system/bin/sh -c getprop ro.lewa.version
  • /system/bin/sh -c getprop ro.meizu.product.model
  • /system/bin/sh -c getprop ro.miui.ui.version.name
  • /system/bin/sh -c getprop ro.vivo.os.build.display.id
  • /system/bin/sh -c type su
  • cat /proc/cpuinfo
  • chmod 700 <Package Folder>/tx_shell/libnfix.so
  • chmod 700 <Package Folder>/tx_shell/libshella-2.9.1.2.so
  • chmod 700 <Package Folder>/tx_shell/libufix.so
  • getprop ro.aa.romver
  • getprop ro.board.platform
  • getprop ro.build.fingerprint
  • getprop ro.build.nubia.rom.name
  • getprop ro.build.rom.id
  • getprop ro.build.tyd.kbstyle_version
  • getprop ro.build.version.emui
  • getprop ro.build.version.opporom
  • getprop ro.gn.gnromvernumber
  • getprop ro.lenovo.series
  • getprop ro.lewa.version
  • getprop ro.meizu.product.model
  • getprop ro.miui.ui.version.name
  • getprop ro.vivo.os.build.display.id
  • getprop ro.vivo.os.version
  • getprop ro.yunos.version
  • logcat -d -v threadtime
Загружает динамические библиотеки:
  • Bugly
  • libnfix
  • libshella-2.9.1.2
  • libufix
  • main
  • nfix
  • ufix
  • vivo_account_sdk
Использует следующие алгоритмы для шифрования данных:
  • AES-CBC-PKCS7Padding
  • AES-ECB-PKCS5Padding
  • AES-GCM-NoPadding
  • DES
  • DES-CBC-PKCS5Padding
  • RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
  • AES-CBC-NoPadding
  • AES-CBC-PKCS5Padding
  • AES-CBC-PKCS7Padding
  • AES-ECB-PKCS5Padding
  • AES-GCM-NoPadding
  • ARCFOUR
  • DES
  • DES-CBC-PKCS5Padding
Осуществляет доступ к приватному интерфейсу ITelephony.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Получает информацию о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.

Рекомендации по лечению


Android

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке

Российский разработчик антивирусов Dr.Web

Опыт разработки с 1992 года

Dr.Web пользуются в 200+ странах мира

Dr.Web в Реестре Отечественного ПО

Поставка антивируса как услуги с 2007 года

Круглосуточная поддержка на русском языке

© «Доктор Веб»
2003 — 2019

«Доктор Веб» — российский производитель антивирусных средств защиты информации под маркой Dr.Web. Продукты Dr.Web разрабатываются с 1992 года.

125040, Россия, Москва, 3-я улица Ямского поля, вл.2, корп.12А