Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Adware.Gexin.2.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) q####.c####.l####.####.com:80
- TCP(HTTP/1.1) 39.97.1####.190:80
- TCP(HTTP/1.1) c-h####.g####.com:80
- TCP(HTTP/1.1) sdk-ope####.g####.com:80
- TCP(HTTP/1.1) cdn-sdk####.g####.com.####.com:80
- TCP(HTTP/1.1) sdk.o####.p####.####.com:80
- TCP(HTTP/1.1) 3####.97.9.53:80
- TCP(HTTP/1.1) 3####.97.9.52:80
- TCP(TLS/1.0) a####.eas####.com:443
- TCP sdk.o####.t####.####.com:5224
- TCP cm-1####.ig####.com:5225
Запросы DNS:
- a####.eas####.com
- c-h####.g####.com
- cdn-sdk####.g####.com
- cm-1####.ig####.com
- sdk-ope####.g####.com
- sdk.c####.ig####.com
- sdk.o####.p####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.com
- sdk.o####.t####.####.net
- www.k####.cn
Запросы HTTP GET:
- cdn-sdk####.g####.com.####.com/tdata_CoH340
- cdn-sdk####.g####.com.####.com/tdata_EDB102
- cdn-sdk####.g####.com.####.com/tdata_JmH262
- cdn-sdk####.g####.com.####.com/tdata_pKX830
- q####.c####.l####.####.com/config/hz-hzv6.conf
- sdk.o####.p####.####.com/api/addr.htm
Запросы HTTP POST:
- 3####.97.9.52/svell-cn/goodscend/devices
- 3####.97.9.53/svell-cn/goodscend/devices
- c-h####.g####.com/api.php?format=####&t=####
- sdk-ope####.g####.com/api.php?format=####&t=####
- sdk-ope####.g####.com/api.php?format=####&t=####&d=####&k=####
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.jg.ic
- /data/data/####/15f32f3ead37
- /data/data/####/cc.db
- /data/data/####/cc.db-journal
- /data/data/####/clientid_igexin.xml
- /data/data/####/cn.svell.goodscend.xml
- /data/data/####/cn.svell.goodscend_preferences.xml
- /data/data/####/config.json
- /data/data/####/data_0
- /data/data/####/data_1
- /data/data/####/data_2
- /data/data/####/data_3
- /data/data/####/device_id.xml.xml
- /data/data/####/gdaemon_20161017
- /data/data/####/getui_sp.xml
- /data/data/####/gx_sp.xml
- /data/data/####/index
- /data/data/####/init.pid
- /data/data/####/init_c1.pid
- /data/data/####/libjiagu.so
- /data/data/####/mobclick_agent_cached_cn.svell.goodscend86
- /data/data/####/pdr.xml
- /data/data/####/push.pid
- /data/data/####/pushext.db-journal
- /data/data/####/pushg.db-journal
- /data/data/####/pushk.db-journal
- /data/data/####/pushsdk.db-journal
- /data/data/####/run.pid
- /data/data/####/server.json
- /data/data/####/tdata_CoH340
- /data/data/####/tdata_CoH340.jar
- /data/data/####/tdata_JmH262
- /data/data/####/tdata_JmH262.jar
- /data/data/####/tdata_pKX830
- /data/data/####/tdata_pKX830.jar
- /data/data/####/umeng_general_config.xml
- /data/data/####/webview.db-journal
- /data/data/####/webviewCookiesChromium.db-journal
- /data/data/####/webviewCookiesChromiumPrivate.db-journal
- /data/media/####/224a95e400ddc281dff88c732af525db.jpg
- /data/media/####/42_pic_3.png
- /data/media/####/5_2pic3.png
- /data/media/####/60x60.gif
- /data/media/####/TB22c9PjohnpuFjSZFEXXX0PFXa_!!118-0-yamato.jpg_q50.jpg
- /data/media/####/TB2HqHjg4xmpuFjSZFNXXXrRXXa_!!49-0-yamato.jpg_q50.jpg
- /data/media/####/TB2sruOXY.b61Bjy0FnXXaEpXXa_!!102569258.jpg_24...90.jpg
- /data/media/####/about_pic.png
- /data/media/####/addTxAccount.html
- /data/media/####/agreement.html
- /data/media/####/app.css
- /data/media/####/app.db
- /data/media/####/back_sao_m_pic.png
- /data/media/####/bind_login.html
- /data/media/####/body.html
- /data/media/####/brand.html
- /data/media/####/cardList.html
- /data/media/####/card_history.html
- /data/media/####/card_select_addr.html
- /data/media/####/cart.html
- /data/media/####/cart_icon.jpg
- /data/media/####/cbd.jpg
- /data/media/####/clock.svg
- /data/media/####/cn.svell.goodscend.bin
- /data/media/####/cn.svell.goodscend.db
- /data/media/####/code.js
- /data/media/####/com.getui.sdk.deviceId.db
- /data/media/####/com.igexin.sdk.deviceId.db
- /data/media/####/common_cp_icon_si_selection_hl.png
- /data/media/####/common_cp_icon_si_selection_nor.png
- /data/media/####/consult.html
- /data/media/####/contact.html
- /data/media/####/customer_service_page.html
- /data/media/####/doctor.html
- /data/media/####/doctor_message.html
- /data/media/####/doctor_view.html
- /data/media/####/domutil.js
- /data/media/####/easemob.im-1.1.js
- /data/media/####/easemob.im-1.1.shim.js
- /data/media/####/easemob.im.config.js
- /data/media/####/easemob.log
- /data/media/####/edit_new_comment.html
- /data/media/####/empty.png
- /data/media/####/entity.js
- /data/media/####/feedback.html
- /data/media/####/fx-11.png
- /data/media/####/fx-2.png
- /data/media/####/fx-6.png
- /data/media/####/fx-7.png
- /data/media/####/getpwd.html
- /data/media/####/globalconfig.js
- /data/media/####/gs_add_x_pic.png
- /data/media/####/gs_car_pic_1.png
- /data/media/####/gs_cata_pic_1.png
- /data/media/####/gs_del_s_pic.png
- /data/media/####/gs_dzk_pic_tb.png
- /data/media/####/gs_hs_pic_t_1.png
- /data/media/####/gs_hs_pic_t_2.png
- /data/media/####/gs_hs_pic_t_3.png
- /data/media/####/gs_hs_pic_t_4.png
- /data/media/####/gs_hs_pic_t_5.png
- /data/media/####/gs_hs_pic_t_6.png
- /data/media/####/gs_hs_pic_t_7.png
- /data/media/####/gs_hs_pic_t_8.png
- /data/media/####/gs_hymain10.png
- /data/media/####/gs_hymain15.png
- /data/media/####/gs_hymain16.png
- /data/media/####/gs_hymain17.png
- /data/media/####/gs_hymain18.png
- /data/media/####/gs_hymain19.png
- /data/media/####/gs_hymain20.png
- /data/media/####/gs_hymain21.png
- /data/media/####/gs_hymain3.png
- /data/media/####/gs_hymain4.png
- /data/media/####/gs_hymain5.png
- /data/media/####/gs_hymain6.png
- /data/media/####/gs_hymain7.png
- /data/media/####/gs_hymain8.png
- /data/media/####/gs_hymain9.png
- /data/media/####/gs_ka_line_pic.png
- /data/media/####/gs_newspic1.png
- /data/media/####/gs_newspic2.png
- /data/media/####/gs_newsxx1.png
- /data/media/####/gs_newsxx2.png
- /data/media/####/gs_newsxx3.png
- /data/media/####/gs_newsxx4.png
- /data/media/####/gs_pic_2.png
- /data/media/####/gs_pic_aa_1.png
- /data/media/####/gs_pic_aa_1_q.png
- /data/media/####/gs_pic_aa_2.png
- /data/media/####/gs_pic_aa_2_q.png
- /data/media/####/gs_pic_aa_3.png
- /data/media/####/gs_pic_aa_32222.png
- /data/media/####/gs_pic_aa_322222_q.png
- /data/media/####/gs_pic_aa_4.png
- /data/media/####/gs_pic_aa_4_q.png
- /data/media/####/gs_pic_aa_5.png
- /data/media/####/gs_pic_aa_5_q.png
- /data/media/####/gs_pic_aa_6.png
- /data/media/####/gs_pic_aa_7.png
- /data/media/####/gs_pic_aa_7_q.png
- /data/media/####/gs_pic_aa_8.png
- /data/media/####/gs_pic_cc_7.png
- /data/media/####/gs_pic_zixun1.png
- /data/media/####/gs_pic_zixun2.png
- /data/media/####/gs_pro_kf_1.png
- /data/media/####/gs_pro_sc_1.png
- /data/media/####/gs_pro_sc_1on.png
- /data/media/####/gs_sc_newsxx1.png
- /data/media/####/gs_sc_newsxx2.png
- /data/media/####/gs_wtlist_yjd.png
- /data/media/####/gs_yd_li.png
- /data/media/####/gs_ye_pic_tb.png
- /data/media/####/gs_zhif_fs_1.png
- /data/media/####/gs_zhif_fs_2.png
- /data/media/####/gs_zhif_fs_3.png
- /data/media/####/gs_zhif_fs_4.png
- /data/media/####/gs_zx_ser_pic_1.png
- /data/media/####/gzh_pic1.png
- /data/media/####/home.html
- /data/media/####/huiyuanmain1.png
- /data/media/####/hy_fx_pic.png
- /data/media/####/hymain1.png
- /data/media/####/hymain14.png
- /data/media/####/hymain17.png
- /data/media/####/hymain20.png
- /data/media/####/icon50.png
- /data/media/####/icon_add.png
- /data/media/####/icon_add2.png
- /data/media/####/icons-extra.css
- /data/media/####/im-chat.css
- /data/media/####/im-chat.html
- /data/media/####/im.css
- /data/media/####/im.html
- /data/media/####/im.js
- /data/media/####/index.html
- /data/media/####/loding.gif
- /data/media/####/log_xz_pic_1.png
- /data/media/####/log_xz_pic_2.png
- /data/media/####/login-1.png
- /data/media/####/login.html
- /data/media/####/logo.png
- /data/media/####/lv-1.png
- /data/media/####/lv-2.png
- /data/media/####/lv-3.png
- /data/media/####/lv-4.png
- /data/media/####/maccount.html
- /data/media/####/maccount_add.html
- /data/media/####/maddr.html
- /data/media/####/maddr_add.html
- /data/media/####/manifest.json
- /data/media/####/mcomment.html
- /data/media/####/member.html
- /data/media/####/member_eait_password.html
- /data/media/####/mer_balance.html
- /data/media/####/mer_card.html
- /data/media/####/mer_pic_3.png
- /data/media/####/message-storage.js
- /data/media/####/mfavorite.html
- /data/media/####/mgrade.html
- /data/media/####/minfo.html
- /data/media/####/minfo_edit.html
- /data/media/####/mpasswd.html
- /data/media/####/mquestion.html
- /data/media/####/mscore.html
- /data/media/####/mspend.html
- /data/media/####/mui-icons-extra.ttf
- /data/media/####/mui.css
- /data/media/####/mui.imageViewer.js
- /data/media/####/mui.imageviewer.css
- /data/media/####/mui.js
- /data/media/####/mui.min.css
- /data/media/####/mui.min.js
- /data/media/####/mui.pullToRefresh.js
- /data/media/####/mui.pullToRefresh.material.js
- /data/media/####/mui.ttf
- /data/media/####/muwu.jpg
- /data/media/####/nav.html
- /data/media/####/new_comment.html
- /data/media/####/news.html
- /data/media/####/news_view.html
- /data/media/####/note.svg
- /data/media/####/null.png
- /data/media/####/order.html
- /data/media/####/orderLog.html
- /data/media/####/order_comment.html
- /data/media/####/order_view.html
- /data/media/####/pcategory.html
- /data/media/####/pcategory_view.html
- /data/media/####/pic_aa_7_q.png
- /data/media/####/pnew.html
- /data/media/####/product.html
- /data/media/####/product_view.html
- /data/media/####/push_message_alert.html
- /data/media/####/qrcode.html
- /data/media/####/qrcode.png
- /data/media/####/question.html
- /data/media/####/question_add.html
- /data/media/####/refreshIcon.css
- /data/media/####/reg.html
- /data/media/####/search.html
- /data/media/####/self_member.html
- /data/media/####/self_shop_order.html
- /data/media/####/self_three_order.html
- /data/media/####/self_tow_order.html
- /data/media/####/self_tow_order_list.html
- /data/media/####/service_pic.png
- /data/media/####/shop.html
- /data/media/####/shop.png
- /data/media/####/shopCord.html
- /data/media/####/shuijiao.jpg
- /data/media/####/stringutil.js
- /data/media/####/strophe.js
- /data/media/####/sw.css
- /data/media/####/sw.js
- /data/media/####/sw.js.bak
- /data/media/####/sw_fa_huo_pic_1.png
- /data/media/####/sw_kj_log_1.png
- /data/media/####/sw_kj_log_2.png
- /data/media/####/sw_kj_log_3.png
- /data/media/####/tdata_CoH340
- /data/media/####/tdata_JmH262
- /data/media/####/tdata_pKX830
- /data/media/####/test.log
- /data/media/####/timeline.css
- /data/media/####/txAccound.html
- /data/media/####/updatePayPass.html
- /data/media/####/updateTxAccount.html
- /data/media/####/update_addr.html
- /data/media/####/wdyj.html
- /data/media/####/wdyj_view.html
- /data/media/####/wdzh_3.png
- /data/media/####/webIm.html
- /data/media/####/webImConfig.js
- /data/media/####/websql.js
- /data/media/####/webviewutil.js
- /data/media/####/xia_d_s_pic_2.png
- /data/media/####/yinlian.html
- /data/media/####/yjTx.html
- /data/media/####/yuantiao.jpg
Другие:
Запускает следующие shell-скрипты:
- /system/bin/cat /proc/cpuinfo
- <Package Folder>/files/gdaemon_20161017 0 <Package>/io.dcloud.feature.apsGt.GTNormalPushService 24801 300 0
- cat /sys/class/net/wlan0/address
- chmod 700 <Package Folder>/files/gdaemon_20161017
- chmod 755 <Package Folder>/.jiagu/libjiagu.so
- mount
- sh
- sh <Package Folder>/files/gdaemon_20161017 0 <Package>/io.dcloud.feature.apsGt.GTNormalPushService 24801 300 0
Загружает динамические библиотеки:
- getuiext2
- hyphenate
- libjiagu
Использует следующие алгоритмы для шифрования данных:
- AES-CFB-NoPadding
- RSA-NONE-OAEPWithSHA1AndMGF1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-ECB-PKCS5Padding
Осуществляет доступ к приватному интерфейсу ITelephony.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Получает информацию о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
