Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Adware.Gexin.20325

Добавлен в вирусную базу Dr.Web: 2020-05-16

Описание добавлено:

Техническая информация

Вредоносные функции:
Выполняет код следующих детектируемых угроз:
  • Adware.Gexin.3.origin
Сетевая активность:
Подключается к:
  • UDP(DNS) <Google DNS>
  • TCP(HTTP/1.1) qin####.com.www.####.com:80
  • TCP(HTTP/1.1) tinychi####.q####.com.####.com:80
  • TCP(HTTP/1.1) c-h####.g####.com:80
  • TCP(HTTP/1.1) sdk.o####.p####.####.com:80
  • TCP(TLS/1.0) ser####.dc####.net.cn:443
  • TCP(TLS/1.0) 2####.58.211.110:443
  • TCP sdk.o####.t####.####.com:5224
  • TCP cm-1####.g####.com:5226
Запросы DNS:
  • c-h####.g####.com
  • cm-1####.g####.com
  • mc.w####.cn
  • mt####.go####.com
  • pub-####.qin####.com
  • sdk-ope####.g####.com
  • sdk.c####.g####.com
  • sdk.o####.p####.####.com
  • sdk.o####.t####.####.com
  • sdk.o####.t####.####.com
  • sdk.o####.t####.####.com
  • sdk.o####.t####.####.net
  • ser####.dc####.net.cn
  • st####.dc####.net.cn
Запросы HTTP GET:
  • qin####.com.www.####.com/tdata_EDT356
  • sdk.o####.p####.####.com/api/addr.htm
  • tinychi####.q####.com.####.com/config/hzv9.conf
Запросы HTTP POST:
  • c-h####.g####.com/api.php?format=####&t=####
  • sdk.o####.p####.####.com/api.php?format=####&t=####
Изменения в файловой системе:
Создает следующие файлы:
  • /data/data/####/.imei.txt
  • /data/data/####/.jg.ic
  • /data/data/####/A6929087054179.xml
  • /data/data/####/Validform.js
  • /data/data/####/_adio.dcloud.feature.ad.a.a.xml
  • /data/data/####/a-down.png
  • /data/data/####/a-w.png
  • /data/data/####/a1.png
  • /data/data/####/a2.png
  • /data/data/####/addcart.js
  • /data/data/####/address_list.html
  • /data/data/####/address_list.js
  • /data/data/####/address_opera.html
  • /data/data/####/address_opera.js
  • /data/data/####/address_opera_edit.html
  • /data/data/####/address_opera_edit.js
  • /data/data/####/affiliated_company.html
  • /data/data/####/announcement-detail.html
  • /data/data/####/announcement_list.html
  • /data/data/####/arrow_left_b.png
  • /data/data/####/arrow_left_r.png
  • /data/data/####/arrow_right_b.png
  • /data/data/####/back_down.png
  • /data/data/####/base.css
  • /data/data/####/browse_grid.png
  • /data/data/####/browse_list.png
  • /data/data/####/btn-linear1.png
  • /data/data/####/btn-linear2.png
  • /data/data/####/btn-linear3.png
  • /data/data/####/buy_step1.html
  • /data/data/####/buy_step1.js
  • /data/data/####/cancel_b.png
  • /data/data/####/cart-list.js
  • /data/data/####/cart.html
  • /data/data/####/cart_add.png
  • /data/data/####/cart_b.png
  • /data/data/####/cart_list.html
  • /data/data/####/cart_w.png
  • /data/data/####/chat_info.html
  • /data/data/####/chat_info.js
  • /data/data/####/checkbox1-ok.png
  • /data/data/####/checkbox1.png
  • /data/data/####/checkbox2-ok.png
  • /data/data/####/checkbox2.png
  • /data/data/####/child.css
  • /data/data/####/classify.html
  • /data/data/####/classify1.html
  • /data/data/####/clientid_igexin.xml
  • /data/data/####/close_window.png
  • /data/data/####/common.js
  • /data/data/####/config.js
  • /data/data/####/data_0
  • /data/data/####/data_1
  • /data/data/####/data_2
  • /data/data/####/data_3
  • /data/data/####/dc_ad_type_key.xml
  • /data/data/####/default_user_portrait.gif
  • /data/data/####/del_b.png
  • /data/data/####/delete.png
  • /data/data/####/edit_b.png
  • /data/data/####/eje3cnc
  • /data/data/####/exif.js
  • /data/data/####/favorite_r.png
  • /data/data/####/favorite_rs.png
  • /data/data/####/favorites.html
  • /data/data/####/favorites.js
  • /data/data/####/ff85f6facf2b
  • /data/data/####/find_password.html
  • /data/data/####/find_password.js
  • /data/data/####/find_password_code.html
  • /data/data/####/find_password_code.js
  • /data/data/####/find_password_password.html
  • /data/data/####/find_password_password.js
  • /data/data/####/footer.js
  • /data/data/####/gdaemon_20161017
  • /data/data/####/getui_sp.xml
  • /data/data/####/goods_browse_b.png
  • /data/data/####/gotop_b.png
  • /data/data/####/gx_sp.xml
  • /data/data/####/home.css
  • /data/data/####/home_b.png
  • /data/data/####/html5Geo.xml
  • /data/data/####/icon-addr-w.png
  • /data/data/####/icon-addr.png
  • /data/data/####/icon-addr3.png
  • /data/data/####/icon-b-carts.png
  • /data/data/####/icon-b-kefus.png
  • /data/data/####/icon-b-save.png
  • /data/data/####/icon-b-saved.png
  • /data/data/####/icon-back.png
  • /data/data/####/icon-comment.png
  • /data/data/####/icon-dele-s.png
  • /data/data/####/icon-dele.png
  • /data/data/####/icon-filter.png
  • /data/data/####/icon-find-c.png
  • /data/data/####/icon-kefu.png
  • /data/data/####/icon-l-mobile.png
  • /data/data/####/icon-l-password.png
  • /data/data/####/icon-l-test.png
  • /data/data/####/icon-mess.png
  • /data/data/####/icon-more.png
  • /data/data/####/icon-phone-w.png
  • /data/data/####/icon-sort.png
  • /data/data/####/icon-stars.png
  • /data/data/####/icon-t-back-w.png
  • /data/data/####/icon-t-back.png
  • /data/data/####/icon-t-cart-w.png
  • /data/data/####/icon-t-cart.png
  • /data/data/####/icon-t-find-w.png
  • /data/data/####/icon-t-find.png
  • /data/data/####/icon-t-loca-w.png
  • /data/data/####/icon-t-mess-w.png
  • /data/data/####/icon-t-phone.png
  • /data/data/####/icon-t-set-w.png
  • /data/data/####/icon-t-share.png
  • /data/data/####/icon-weix.png
  • /data/data/####/icon-x.png
  • /data/data/####/icon-zan.png
  • /data/data/####/img-ok.png
  • /data/data/####/index
  • /data/data/####/index.css
  • /data/data/####/index.html
  • /data/data/####/index.mui.js
  • /data/data/####/init.pid
  • /data/data/####/init_c1.pid
  • /data/data/####/iscroll.js
  • /data/data/####/jpush.js
  • /data/data/####/jquery.area.js
  • /data/data/####/jquery.js
  • /data/data/####/jquery.min.js
  • /data/data/####/kefu.png
  • /data/data/####/kefu_b.png
  • /data/data/####/layer.css
  • /data/data/####/layer.js
  • /data/data/####/lib.js
  • /data/data/####/libjiagu-2074004169.so
  • /data/data/####/loading.gif
  • /data/data/####/location_b.png
  • /data/data/####/login-bg.png
  • /data/data/####/login.html
  • /data/data/####/logo-1.png
  • /data/data/####/logo.bak.png
  • /data/data/####/logo.png
  • /data/data/####/main.css
  • /data/data/####/manifest.json
  • /data/data/####/mcc_01.png
  • /data/data/####/mcc_03.png
  • /data/data/####/mcc_06_b.png
  • /data/data/####/mcc_08_b.png
  • /data/data/####/member.css
  • /data/data/####/member.html
  • /data/data/####/member_b.png
  • /data/data/####/menu-icon1-on.png
  • /data/data/####/menu-icon1.png
  • /data/data/####/menu-icon2-on.png
  • /data/data/####/menu-icon2.png
  • /data/data/####/menu-icon3-on.png
  • /data/data/####/menu-icon3.png
  • /data/data/####/menu-icon4-on.png
  • /data/data/####/menu-icon4.png
  • /data/data/####/menu-icon5-on.png
  • /data/data/####/menu-icon5.png
  • /data/data/####/message.html
  • /data/data/####/messagedetail.html
  • /data/data/####/messages.html
  • /data/data/####/minireset.min.css
  • /data/data/####/mint-ui.js
  • /data/data/####/mint.css
  • /data/data/####/moment.js
  • /data/data/####/more_b.png
  • /data/data/####/more_r.png
  • /data/data/####/mui.css
  • /data/data/####/mui.js
  • /data/data/####/mui.min.css
  • /data/data/####/mui.min.js
  • /data/data/####/mui.ttf
  • /data/data/####/multidex.version.xml
  • /data/data/####/nav-icon1.png
  • /data/data/####/nav-icon2.png
  • /data/data/####/nav-icon3.png
  • /data/data/####/nav-icon4.png
  • /data/data/####/ncscroll-load.js
  • /data/data/####/nctouch_cart.css
  • /data/data/####/nctouch_categroy.css
  • /data/data/####/nctouch_chat.css
  • /data/data/####/nctouch_common.css
  • /data/data/####/nctouch_member.css
  • /data/data/####/nctouch_products_detail.css
  • /data/data/####/nctouch_products_list.css
  • /data/data/####/nctouch_store.css
  • /data/data/####/news-detail.html
  • /data/data/####/news.html
  • /data/data/####/ok.png
  • /data/data/####/order.html
  • /data/data/####/order_delivery.html
  • /data/data/####/order_delivery.js
  • /data/data/####/order_detail.html
  • /data/data/####/order_detail.js
  • /data/data/####/order_detail_.html
  • /data/data/####/order_detail_other.js
  • /data/data/####/order_list.html
  • /data/data/####/order_list.js
  • /data/data/####/order_payment_common.js
  • /data/data/####/order_w.png
  • /data/data/####/pdr.xml
  • /data/data/####/product_detail.html
  • /data/data/####/product_detail.js
  • /data/data/####/product_info.html
  • /data/data/####/product_info.js
  • /data/data/####/product_list.html
  • /data/data/####/product_list.js
  • /data/data/####/push.pid
  • /data/data/####/pushext.db-journal
  • /data/data/####/pushg.db-journal
  • /data/data/####/pushsdk.db-journal
  • /data/data/####/regist.html
  • /data/data/####/rem.js
  • /data/data/####/requestAnimationFrame.js
  • /data/data/####/reset.css
  • /data/data/####/run.pid
  • /data/data/####/save_b.png
  • /data/data/####/search.html
  • /data/data/####/search.js
  • /data/data/####/search_ico.png
  • /data/data/####/share-icon1.png
  • /data/data/####/share-icon2.png
  • /data/data/####/share-icon3.png
  • /data/data/####/share-icon4.png
  • /data/data/####/share-icon5.png
  • /data/data/####/share-icon6.png
  • /data/data/####/simple-plugin.js
  • /data/data/####/slick.css
  • /data/data/####/slick.min.js
  • /data/data/####/start_statistics_data.xml
  • /data/data/####/stiore_categroy_b.png
  • /data/data/####/store.html
  • /data/data/####/store_b.png
  • /data/data/####/stream_permission.xml
  • /data/data/####/style.css
  • /data/data/####/swipe.js
  • /data/data/####/template.js
  • /data/data/####/test_app
  • /data/data/####/tool_detail.html
  • /data/data/####/touch.js
  • /data/data/####/transport-icon1.png
  • /data/data/####/transport-icon2.png
  • /data/data/####/transport-icon3.png
  • /data/data/####/transport-icon4.png
  • /data/data/####/transport.png
  • /data/data/####/tx4.jpg
  • /data/data/####/understand_us.html
  • /data/data/####/upfile.png
  • /data/data/####/user-bg1.png
  • /data/data/####/user-icon-a1.png
  • /data/data/####/user-icon-a2.png
  • /data/data/####/user-icon-a3.png
  • /data/data/####/user-icon-a4.png
  • /data/data/####/user-icon-a5.png
  • /data/data/####/user-icon1.png
  • /data/data/####/user-icon2.png
  • /data/data/####/user-icon3.png
  • /data/data/####/user-icon4.png
  • /data/data/####/user-save.html
  • /data/data/####/value_add.png
  • /data/data/####/value_minus.png
  • /data/data/####/view_list.js
  • /data/data/####/views_list.html
  • /data/data/####/vue.js
  • /data/data/####/webview.db-journal
  • /data/data/####/webviewCookiesChromium.db-journal
  • /data/data/####/webviewCookiesChromiumPrivate.db-journal
  • /data/data/####/wood_news.html
  • /data/data/####/xiaoxi.html
  • /data/data/####/xinxi-on.png
  • /data/data/####/xinxi.png
  • /data/data/####/xitong.html
  • /data/data/####/zepto.fly.min.js
  • /data/data/####/zepto.js
  • /data/data/####/zepto.min.js
  • /data/data/####/zepto.waypoints.js
  • /data/media/####/.imei.txt
  • /data/media/####/.nomedia
  • /data/media/####/AdEnable.dat
  • /data/media/####/app.db
  • /data/media/####/com.igexin.sdk.deviceId.db
  • /data/media/####/com.wanhe.mucai.bin
  • /data/media/####/com.wanhe.mucai.db
  • /data/media/####/temp.arm
  • /data/media/####/test.log
Другие:
Запускает следующие shell-скрипты:
  • <Package Folder>/files/gdaemon_20161017 0 <Package>/io.dcloud.feature.apsGt.GTNormalPushService 24469 300 0
  • cat /sys/class/net/wlan0/address
  • chmod 700 <Package Folder>/files/gdaemon_20161017
  • mount
  • sh <Package Folder>/files/gdaemon_20161017 0 <Package>/io.dcloud.feature.apsGt.GTNormalPushService 24469 300 0
Загружает динамические библиотеки:
  • getuiext2
  • libjiagu-2074004169
Использует следующие алгоритмы для шифрования данных:
  • AES-CBC-PKCS5Padding
  • RSA-NONE-OAEPWithSHA1AndMGF1Padding
Использует следующие алгоритмы для расшифровки данных:
  • AES-CBC-PKCS5Padding
Осуществляет доступ к приватному интерфейсу ITelephony.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.

Рекомендации по лечению

  1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
  2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Скачать Dr.Web

По серийному номеру

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке