Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Adware.Gexin.3.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) q####.c####.l####.####.com:80
- TCP(HTTP/1.1) c-h####.g####.com:80
- TCP(HTTP/1.1) zchuang####.1ding####.com:80
- TCP(HTTP/1.1) sdk.o####.p####.####.com:80
- TCP(HTTP/1.1) st####.dc####.net.cn:80
- TCP(TLS/1.0) api.map.b####.com:443
- TCP(TLS/1.0) ser####.dc####.net.cn:443
- TCP sdk.o####.t####.####.com:5224
- TCP cm-1####.ig####.com:5225
- TCP cm-1####.ig####.com:5227
Запросы DNS:
- api.map.b####.com
- c-h####.g####.com
- cm-1####.ig####.com
- cm-1####.ig####.com
- cm-1####.ig####.com
- sdk-ope####.g####.com
- sdk.c####.ig####.com
- sdk.o####.p####.####.com
- sdk.o####.t####.####.com
- ser####.dc####.net.cn
- st####.dc####.net.cn
- zchuang####.1ding####.com
Запросы HTTP GET:
- q####.c####.l####.####.com/config/hz-hzv6.conf
- sdk.o####.p####.####.com/api/addr.htm
- zchuang####.1ding####.com/home23/getAppData
Запросы HTTP POST:
- c-h####.g####.com/api.php?format=####&t=####
- sdk.o####.p####.####.com/api.php?format=####&t=####
- st####.dc####.net.cn/device/location
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.imei.txt
- /data/data/####/.jg.ic
- /data/data/####/60x60.gif
- /data/data/####/H5374E459.xml
- /data/data/####/README.md
- /data/data/####/_adio.dcloud.feature.ad.a.a.xml
- /data/data/####/about_my_hackerspace.html
- /data/data/####/about_us.html
- /data/data/####/achievement_type1.jpg
- /data/data/####/achievement_type2.jpg
- /data/data/####/achievement_type3.jpg
- /data/data/####/achievement_type4.jpg
- /data/data/####/achievement_type5.jpg
- /data/data/####/achievement_type6.jpg
- /data/data/####/active_notice.doc
- /data/data/####/activity_detail.html
- /data/data/####/ad001.jpg
- /data/data/####/ad002.jpg
- /data/data/####/add_ball.png
- /data/data/####/admin_approve_apply.html
- /data/data/####/admin_approve_detail.html
- /data/data/####/admin_available_domain_list.html
- /data/data/####/admin_domain_apply.html
- /data/data/####/admin_enter_apply.html
- /data/data/####/admin_enter_apply_detail.html
- /data/data/####/admin_equipment_apply.html
- /data/data/####/admin_head.jpg
- /data/data/####/admin_index.html
- /data/data/####/admin_join_apply.html
- /data/data/####/admin_join_apply_detail.html
- /data/data/####/admin_login.html
- /data/data/####/admin_submit_enter_apply_result.html
- /data/data/####/admin_team_list.html
- /data/data/####/admin_team_sign_histroy.html
- /data/data/####/ai.jpg
- /data/data/####/all_comments.html
- /data/data/####/apk.jpg
- /data/data/####/approve_detail.html
- /data/data/####/authStatus_com.yidingtang.zchuang.xml
- /data/data/####/avi.jpg
- /data/data/####/bg001.jpg
- /data/data/####/black.jpg
- /data/data/####/bmp.jpg
- /data/data/####/camera001.jpg
- /data/data/####/camera002.jpg
- /data/data/####/camera003.jpg
- /data/data/####/camera_detail.html
- /data/data/####/camera_list.html
- /data/data/####/cbd.jpg
- /data/data/####/city.data-3.js
- /data/data/####/city.data.js
- /data/data/####/clientid_igexin.xml
- /data/data/####/comment_common.js
- /data/data/####/commodity001.jpg
- /data/data/####/commodity002.jpg
- /data/data/####/commodity003.jpg
- /data/data/####/commodity004.jpg
- /data/data/####/common.js
- /data/data/####/common_data.js
- /data/data/####/consult_detail.html
- /data/data/####/corporation001.jpg
- /data/data/####/corporation002.jpg
- /data/data/####/corporation003.jpg
- /data/data/####/corporation004.jpg
- /data/data/####/corporation_image001.jpg
- /data/data/####/corporation_image002.jpg
- /data/data/####/course001.jpg
- /data/data/####/course002.jpg
- /data/data/####/course003.jpg
- /data/data/####/course004.jpg
- /data/data/####/course005.jpg
- /data/data/####/course006.jpg
- /data/data/####/course_detail.html
- /data/data/####/course_icon001.jpg
- /data/data/####/course_icon002.jpg
- /data/data/####/course_icon003.jpg
- /data/data/####/course_icon004.jpg
- /data/data/####/course_icon005.jpg
- /data/data/####/course_icon006.jpg
- /data/data/####/course_list.html
- /data/data/####/creative001.jpg
- /data/data/####/creative002.jpg
- /data/data/####/creative003.jpg
- /data/data/####/creative004.jpg
- /data/data/####/creative005.jpg
- /data/data/####/creative_image001.jpg
- /data/data/####/creative_image002.jpg
- /data/data/####/creative_image003.jpg
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/dc_ad_type_key.xml
- /data/data/####/default_head.jpg
- /data/data/####/doc.jpg
- /data/data/####/docx.jpg
- /data/data/####/domain_icon1.jpg
- /data/data/####/domain_icon2.jpg
- /data/data/####/domain_icon3.jpg
- /data/data/####/domain_icon4.jpg
- /data/data/####/domain_icon5.jpg
- /data/data/####/download_file_tip.html
- /data/data/####/dwg.jpg
- /data/data/####/dwt.jpg
- /data/data/####/edit_ball.png
- /data/data/####/eje3cnc
- /data/data/####/equipment_icon1.jpg
- /data/data/####/equipment_icon2.jpg
- /data/data/####/equipment_icon3.jpg
- /data/data/####/equipment_icon4.jpg
- /data/data/####/equipment_icon5.jpg
- /data/data/####/equipment_type1.jpg
- /data/data/####/equipment_type2.jpg
- /data/data/####/equipment_type3.jpg
- /data/data/####/equipment_type4.jpg
- /data/data/####/equipment_type5.jpg
- /data/data/####/equipment_type6.jpg
- /data/data/####/error_common.js
- /data/data/####/exit_ball.png
- /data/data/####/ezuikit.js
- /data/data/####/field_type1.jpg
- /data/data/####/field_type2.jpg
- /data/data/####/field_type3.jpg
- /data/data/####/field_type4.jpg
- /data/data/####/field_type5.jpg
- /data/data/####/field_type6.jpg
- /data/data/####/file__0.localstorage-journal
- /data/data/####/file_icon.jpg
- /data/data/####/file_reviewer.html
- /data/data/####/find_list_icon1.jpg
- /data/data/####/find_list_icon2.jpg
- /data/data/####/find_list_icon3.jpg
- /data/data/####/find_list_icon4.jpg
- /data/data/####/find_list_icon5.jpg
- /data/data/####/finger.png
- /data/data/####/foget.html
- /data/data/####/gdaemon_20161017
- /data/data/####/getui_sp.xml
- /data/data/####/gif.jpg
- /data/data/####/good001.jpg
- /data/data/####/good002.jpg
- /data/data/####/good003.jpg
- /data/data/####/good004.jpg
- /data/data/####/good005.jpg
- /data/data/####/good006.jpg
- /data/data/####/good007.jpg
- /data/data/####/group001.jpg
- /data/data/####/group002.jpg
- /data/data/####/group003.jpg
- /data/data/####/group004.jpg
- /data/data/####/group005.jpg
- /data/data/####/hackerspace001.jpg
- /data/data/####/hackerspace002.jpg
- /data/data/####/hackerspace003.jpg
- /data/data/####/hackerspace004.jpg
- /data/data/####/hackerspace_approve_icon1.jpg
- /data/data/####/hackerspace_approve_icon2.jpg
- /data/data/####/hackerspace_approve_icon3.jpg
- /data/data/####/hackerspace_approve_icon4.jpg
- /data/data/####/hackerspace_approve_icon5.jpg
- /data/data/####/hackerspace_approve_icon6.jpg
- /data/data/####/hackerspace_approve_icon7.jpg
- /data/data/####/hackerspace_console_icon1.jpg
- /data/data/####/hackerspace_console_icon2.jpg
- /data/data/####/hackerspace_console_icon3.jpg
- /data/data/####/hackerspace_console_icon4.jpg
- /data/data/####/hackerspace_console_icon5.jpg
- /data/data/####/hackerspace_console_icon6.jpg
- /data/data/####/hackerspace_detail.html
- /data/data/####/hackerspace_image001.jpg
- /data/data/####/hackerspace_image002.jpg
- /data/data/####/hackerspace_image003.jpg
- /data/data/####/hackerspace_image004.jpg
- /data/data/####/hackerspace_list.html
- /data/data/####/hackerspace_member_list.html
- /data/data/####/hackerspace_member_work.html
- /data/data/####/hackerspace_notice_detail.html
- /data/data/####/hackerspace_project_list.html
- /data/data/####/hackerspace_team_list.html
- /data/data/####/header_theme.css
- /data/data/####/html.jpg
- /data/data/####/html5Geo.xml
- /data/data/####/icon6.jpg
- /data/data/####/iconfont.css
- /data/data/####/iconfont.ttf
- /data/data/####/icons-extra.css
- /data/data/####/identity.html
- /data/data/####/identity_union.html
- /data/data/####/image_preview.css
- /data/data/####/index
- /data/data/####/index.html
- /data/data/####/init.pid
- /data/data/####/init_c1.pid
- /data/data/####/java.jpg
- /data/data/####/jpeg.jpg
- /data/data/####/jpg.jpg
- /data/data/####/libcuid.so
- /data/data/####/libjiagu-1412952277.so
- /data/data/####/login.html
- /data/data/####/logo.jpg
- /data/data/####/logo_icon.jpg
- /data/data/####/main.html
- /data/data/####/main_btn001.jpg
- /data/data/####/main_btn002.jpg
- /data/data/####/main_btn003.jpg
- /data/data/####/main_btn004.jpg
- /data/data/####/main_btn005.jpg
- /data/data/####/main_btn006.jpg
- /data/data/####/main_btn007.jpg
- /data/data/####/main_btn008.jpg
- /data/data/####/main_btn009.jpg
- /data/data/####/main_btn010.jpg
- /data/data/####/main_btn011.jpg
- /data/data/####/main_btn012.jpg
- /data/data/####/manifest.json
- /data/data/####/match_detail.html
- /data/data/####/match_work_detail.html
- /data/data/####/match_work_list.html
- /data/data/####/max.jpg
- /data/data/####/me.html
- /data/data/####/me_list_icon1.jpg
- /data/data/####/me_list_icon2.jpg
- /data/data/####/me_list_icon3.jpg
- /data/data/####/me_list_icon4.jpg
- /data/data/####/me_list_icon5.jpg
- /data/data/####/me_list_icon6.jpg
- /data/data/####/me_list_icon7.jpg
- /data/data/####/member_phone.xlsx
- /data/data/####/mind_challenge001.jpg
- /data/data/####/mind_challenge002.jpg
- /data/data/####/mind_challenge003.jpg
- /data/data/####/mind_challenge004.jpg
- /data/data/####/mind_challenge005.jpg
- /data/data/####/mind_challenge006.jpg
- /data/data/####/mind_challenge007.jpg
- /data/data/####/mov.jpg
- /data/data/####/mp3.jpg
- /data/data/####/mp4.jpg
- /data/data/####/mui-icons-extra.ttf
- /data/data/####/mui.lazyload.img.js
- /data/data/####/mui.lazyload.js
- /data/data/####/mui.min.css
- /data/data/####/mui.min.js
- /data/data/####/mui.picker.min.css
- /data/data/####/mui.picker.min.js
- /data/data/####/mui.poppicker.css
- /data/data/####/mui.poppicker.js
- /data/data/####/mui.previewimage.js
- /data/data/####/mui.pullToRefresh.js
- /data/data/####/mui.pullToRefresh.material.js
- /data/data/####/mui.ttf
- /data/data/####/mui.zoom.js
- /data/data/####/multidex.version.xml
- /data/data/####/my_collect.html
- /data/data/####/my_consult.html
- /data/data/####/my_default_questions.html
- /data/data/####/my_default_questions_detail.html
- /data/data/####/my_hackerspace_approve.html
- /data/data/####/my_hackerspace_approve_detail.html
- /data/data/####/my_hackerspace_approve_histroy.html
- /data/data/####/my_hackerspace_approve_pending.html
- /data/data/####/my_hackerspace_approve_type.html
- /data/data/####/my_hackerspace_console_sign.html
- /data/data/####/my_hackerspace_console_sign_detail.html
- /data/data/####/my_hackerspace_console_sign_detail_map.html
- /data/data/####/my_hackerspace_console_sign_histroy.html
- /data/data/####/my_hackerspace_console_sign_locations.html
- /data/data/####/my_hackerspace_console_sign_map.html
- /data/data/####/my_hackerspace_daily_report.html
- /data/data/####/my_hackerspace_daily_report_detail.html
- /data/data/####/my_hackerspace_detail.html
- /data/data/####/my_hackerspace_domain.html
- /data/data/####/my_hackerspace_domain_detail.html
- /data/data/####/my_hackerspace_domain_equipment.html
- /data/data/####/my_hackerspace_domain_histroy.html
- /data/data/####/my_hackerspace_domain_list.html
- /data/data/####/my_hackerspace_domain_type.html
- /data/data/####/my_hackerspace_equipment.html
- /data/data/####/my_hackerspace_equipment_detail.html
- /data/data/####/my_hackerspace_equipment_histroy.html
- /data/data/####/my_hackerspace_equipment_list.html
- /data/data/####/my_hackerspace_equipment_type.html
- /data/data/####/my_hackerspace_project_detail.html
- /data/data/####/my_hackerspace_team.html
- /data/data/####/my_hackerspace_team_join_member.html
- /data/data/####/my_hackerspace_team_member.html
- /data/data/####/my_hackerspace_team_supervisor.html
- /data/data/####/my_hackerspace_work.html
- /data/data/####/my_head.jpg
- /data/data/####/my_info.html
- /data/data/####/my_info_edit_name.html
- /data/data/####/my_info_edit_sex.html
- /data/data/####/my_info_edit_team_member.html
- /data/data/####/my_info_edit_team_name.html
- /data/data/####/my_match.html
- /data/data/####/my_project_check.html
- /data/data/####/my_project_detail.html
- /data/data/####/my_project_files.html
- /data/data/####/my_project_list.html
- /data/data/####/my_project_money.html
- /data/data/####/my_project_plan.html
- /data/data/####/my_project_plan_detail.html
- /data/data/####/news001.jpg
- /data/data/####/news002.jpg
- /data/data/####/news003.jpg
- /data/data/####/news004.jpg
- /data/data/####/news005.jpg
- /data/data/####/news_detail.html
- /data/data/####/news_image001.jpg
- /data/data/####/news_image002.jpg
- /data/data/####/news_list.html
- /data/data/####/notice.html
- /data/data/####/notice_detail.html
- /data/data/####/office_icon_excel.jpg
- /data/data/####/office_icon_ppt.jpg
- /data/data/####/office_icon_word.jpg
- /data/data/####/patent_charge.doc
- /data/data/####/patent_function1.jpg
- /data/data/####/patent_function2.jpg
- /data/data/####/patent_function3.jpg
- /data/data/####/patent_logo.jpg
- /data/data/####/patent_paper1.jpg
- /data/data/####/patent_paper2.jpg
- /data/data/####/patent_paper3.jpg
- /data/data/####/patent_paper4.jpg
- /data/data/####/patent_paper5.jpg
- /data/data/####/patent_process1.jpg
- /data/data/####/patent_process2.jpg
- /data/data/####/patent_sample.doc
- /data/data/####/pdf.jpg
- /data/data/####/pdr.xml
- /data/data/####/png.jpg
- /data/data/####/port_icon001.jpg
- /data/data/####/port_icon002.jpg
- /data/data/####/port_icon003.jpg
- /data/data/####/port_icon004.jpg
- /data/data/####/port_icon005.jpg
- /data/data/####/port_icon005_disable.jpg
- /data/data/####/port_icon006.jpg
- /data/data/####/port_icon006_disable.jpg
- /data/data/####/port_icon007.jpg
- /data/data/####/port_icon007_disable.jpg
- /data/data/####/port_icon008.jpg
- /data/data/####/port_icon008_disable.jpg
- /data/data/####/port_icon009.jpg
- /data/data/####/port_icon009_disable.png
- /data/data/####/port_icon010.jpg
- /data/data/####/port_icon011.jpg
- /data/data/####/ppt.jpg
- /data/data/####/pptx.jpg
- /data/data/####/private.properties
- /data/data/####/private.xml
- /data/data/####/product001.jpg
- /data/data/####/product002.jpg
- /data/data/####/product003.jpg
- /data/data/####/product004.jpg
- /data/data/####/product005.jpg
- /data/data/####/product006.jpg
- /data/data/####/product007.jpg
- /data/data/####/project.properties
- /data/data/####/project.xml
- /data/data/####/project001.jpg
- /data/data/####/project002.jpg
- /data/data/####/project003.jpg
- /data/data/####/project004.jpg
- /data/data/####/project005.jpg
- /data/data/####/project_detail.html
- /data/data/####/project_image001.jpg
- /data/data/####/project_image002.jpg
- /data/data/####/project_image003.jpg
- /data/data/####/project_list.html
- /data/data/####/province_list.html
- /data/data/####/psd.jpg
- /data/data/####/push.pid
- /data/data/####/pushext.db-journal
- /data/data/####/pushg.db-journal
- /data/data/####/pushsdk.db-journal
- /data/data/####/rar.jpg
- /data/data/####/register.html
- /data/data/####/register_protocol.html
- /data/data/####/requirement001.jpg
- /data/data/####/requirement002.jpg
- /data/data/####/requirement003.jpg
- /data/data/####/requirement004.jpg
- /data/data/####/requirement005.jpg
- /data/data/####/run.pid
- /data/data/####/school_file.xls
- /data/data/####/school_list.html
- /data/data/####/search_entrance.html
- /data/data/####/setting.html
- /data/data/####/share_ball.png
- /data/data/####/share_common.js
- /data/data/####/splash1024x748.png
- /data/data/####/splash1024x768.png
- /data/data/####/splash1080x1882.png
- /data/data/####/splash1125x2436.png
- /data/data/####/splash1242x2208.png
- /data/data/####/splash1536x2008.png
- /data/data/####/splash1536x2048.png
- /data/data/####/splash2048x1496.png
- /data/data/####/splash2048x1536.png
- /data/data/####/splash2208x1242.png
- /data/data/####/splash240x282.png
- /data/data/####/splash2436x1125.png
- /data/data/####/splash320x442.png
- /data/data/####/splash320x480.png
- /data/data/####/splash480x762.png
- /data/data/####/splash640x1136.png
- /data/data/####/splash640x960.png
- /data/data/####/splash720x1242.png
- /data/data/####/splash750x1334.png
- /data/data/####/splash768x1004.png
- /data/data/####/splash768x1024.png
- /data/data/####/start_statistics_data.xml
- /data/data/####/stream_permission.xml
- /data/data/####/sub_index.html
- /data/data/####/sub_index_union.html
- /data/data/####/sub_index_union_main.html
- /data/data/####/submit_approve_away.html
- /data/data/####/submit_approve_away.js
- /data/data/####/submit_approve_expense.html
- /data/data/####/submit_approve_expense.js
- /data/data/####/submit_approve_fund.html
- /data/data/####/submit_approve_leave.html
- /data/data/####/submit_approve_overtime.html
- /data/data/####/submit_approve_purchase.html
- /data/data/####/submit_approve_purchase.js
- /data/data/####/submit_approve_purchase_return.html
- /data/data/####/submit_approve_purchase_return.js
- /data/data/####/submit_comment_common.html
- /data/data/####/submit_complain.js
- /data/data/####/submit_consult.html
- /data/data/####/submit_domain_apply.html
- /data/data/####/submit_domain_record.html
- /data/data/####/submit_domain_record.js
- /data/data/####/submit_equipment_apply.html
- /data/data/####/submit_equipment_record.html
- /data/data/####/submit_equipment_record.js
- /data/data/####/submit_feedback.html
- /data/data/####/submit_feedback.js
- /data/data/####/submit_hackerspace_complain.html
- /data/data/####/submit_hackerspace_daily_report.html
- /data/data/####/submit_hackerspace_daily_report.js
- /data/data/####/submit_hackerspace_join.html
- /data/data/####/submit_hackerspace_join.js
- /data/data/####/submit_hackerspace_sign.html
- /data/data/####/submit_hackerspace_sign.js
- /data/data/####/submit_hackerspace_team_work.html
- /data/data/####/submit_hackerspace_team_work.js
- /data/data/####/submit_interface.css
- /data/data/####/submit_join_team.html
- /data/data/####/submit_money_record.html
- /data/data/####/submit_money_record_edit.html
- /data/data/####/submit_my_hackerspace_team.html
- /data/data/####/submit_my_hackerspace_team.js
- /data/data/####/submit_my_hackerspace_team_edit.html
- /data/data/####/submit_my_hackerspace_team_edit.js
- /data/data/####/submit_on_pc_tip.html
- /data/data/####/submit_project_plan.html
- /data/data/####/submit_project_plan_edit.html
- /data/data/####/submit_supervisor.html
- /data/data/####/submit_team_enter_apply.html
- /data/data/####/supervisor_head.jpg
- /data/data/####/supervisor_list.html
- /data/data/####/team001.jpg
- /data/data/####/team002.jpg
- /data/data/####/team003.jpg
- /data/data/####/team004.jpg
- /data/data/####/test.doc
- /data/data/####/test_app
- /data/data/####/test_paper.jpg
- /data/data/####/txt.jpg
- /data/data/####/type6.jpg
- /data/data/####/uiAlertView-1.0.0.css
- /data/data/####/unkonw.jpg
- /data/data/####/video-js.css
- /data/data/####/video.min.js
- /data/data/####/video_bg.jpg
- /data/data/####/video_icon.jpg
- /data/data/####/vr_compare.pptx
- /data/data/####/wav.jpg
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/data/####/webviewCookiesChromiumPrivate.db-journal
- /data/data/####/webviewCookiesChromiumPrivate.db-journal (deleted)
- /data/data/####/wma.jpg
- /data/data/####/wmv.jpg
- /data/data/####/work_list_checking.html
- /data/data/####/work_list_finish.html
- /data/data/####/work_list_going.html
- /data/data/####/work_list_undo.html
- /data/data/####/xls.jpg
- /data/data/####/xlsx.jpg
- /data/data/####/xml.jpg
- /data/data/####/zip.jpg
- /data/media/####/.cuid
- /data/media/####/.cuid2
- /data/media/####/.imei.txt
- /data/media/####/AdEnable.dat
- /data/media/####/app.db
- /data/media/####/com.igexin.sdk.deviceId.db
- /data/media/####/com.yidingtang.zchuang.bin
- /data/media/####/com.yidingtang.zchuang.db
- /data/media/####/test.log
Другие:
Запускает следующие shell-скрипты:
- <Package Folder>/files/gdaemon_20161017 0 <Package>/io.dcloud.feature.apsGt.GTNormalPushService 25233 300 0
- chmod 700 <Package Folder>/files/gdaemon_20161017
- sh <Package Folder>/files/gdaemon_20161017 0 <Package>/io.dcloud.feature.apsGt.GTNormalPushService 25233 300 0
Загружает динамические библиотеки:
- BaiduMapSDK_base_v4_3_1
- getuiext2
- libjiagu-1412952277
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- RSA-NONE-OAEPWithSHA1AndMGF1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
