Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Android.Packed.53268

Добавлен в вирусную базу Dr.Web: 2020-05-29

Описание добавлено:

Техническая информация

Вредоносные функции:
Выполняет код следующих детектируемых угроз:
  • Android.DownLoader.687.origin
Сетевая активность:
Подключается к:
  • UDP(DNS) <Google DNS>
  • TCP(HTTP/1.1) a####.u####.com:80
  • TCP(HTTP/1.1) sdk-new####.dftou####.com:80
  • TCP(HTTP/1.1) sh####.2####.cn:80
  • TCP(HTTP/1.1) sh####.y####.com:80
  • TCP(HTTP/1.1) up####.app.2####.com:80
  • TCP(HTTP/1.1) sdk-ac####.dftou####.com:80
  • TCP(HTTP/1.1) 04img####.eas####.com.####.com:80
  • TCP(HTTP/1.1) sdk-ser####.dftou####.com:80
  • TCP(HTTP/1.1) sdk-col####.dftou####.com:80
  • TCP(HTTP/1.1) lian####.dftou####.com:80
  • TCP(HTTP/1.1) t####.dftou####.com:80
  • TCP(HTTP/1.1) d####.y####.com:80
  • TCP(HTTP/1.1) sdknati####.dftou####.com:80
  • TCP(TLS/1.0) yu####.3g.qq.com:443
  • TCP(TLS/1.0) d####.y####.com:443
  • TCP(TLS/1.0) app.50####.org:443
Запросы DNS:
  • 02img####.eas####.com
  • 04img####.eas####.com
  • 09img####.eas####.com
  • a####.u####.com
  • app.50####.org
  • d####.y####.com
  • lian####.dftou####.com
  • sdk-ac####.dftou####.com
  • sdk-col####.dftou####.com
  • sdk-new####.dftou####.com
  • sdk-ser####.dftou####.com
  • sdknati####.dftou####.com
  • sh####.2####.cn
  • sh####.y####.com
  • t####.dftou####.com
  • up####.app.2####.com
  • yu####.3g.qq.com
Запросы HTTP GET:
  • 04img####.eas####.com.####.com/mobile/20200102/20200102145846_c2f9f144a2...
  • 04img####.eas####.com.####.com/mobile/20200529/2020052913_84c412d9ce9d43...
  • 04img####.eas####.com.####.com/mobile/20200529/2020052913_d1fa06d5457748...
  • 04img####.eas####.com.####.com/mobile/20200529/2020052913_daf1c5dcd0d649...
  • 04img####.eas####.com.####.com/mobile/20200529/20200529160802_5d9492dcad...
  • 04img####.eas####.com.####.com/video/vvideo/20200529/2020052906105434741...
  • d####.y####.com/?action=####
  • d####.y####.com/index.php?action=####
  • d####.y####.com/wangpai/index.php?_c=####&action=####
  • sh####.2####.cn/upload/smartDesktopStation/2345_58tongcheng (1) (1)_1525...
  • sh####.2####.cn/upload/smartDesktopStation/2345_aitaobao1 (1) (1) (1) (1...
  • sh####.2####.cn/upload/smartDesktopStation/2345_jindong (1)_1525428295.p...
  • sh####.2####.cn/upload/smartDesktopStation/2345_manhua (1) (1) (1)_15254...
  • sh####.2####.cn/upload/smartDesktopStation/2345_suanming (1) (2)_1525429...
  • sh####.2####.cn/upload/smartDesktopStation/2345_wangzhi (1) (1)_15254290...
  • sh####.2####.cn/upload/smartDesktopStation/2345_weibo (1)_1525428099.png...
  • sh####.2####.cn/upload/smartDesktopStation/2345_xiaohua (1) (1) (1) (1)_...
  • sh####.2####.cn/upload/smartDesktopStation/2345_xiaoshuo (1)_1525429094....
  • sh####.2####.cn/upload/smartDesktopStation/2345_xinwen (1) (1)_152542853...
  • sh####.y####.com/api/desktop/getStations?projectName=####
  • sh####.y####.com/api/getStatisticListNew.php?promotion_method=####
Запросы HTTP POST:
  • a####.u####.com/app_logs
  • d####.y####.com/?action=####
  • d####.y####.com/index.php?action=####
  • d####.y####.com/wangpai/index.php?_c=####&action=####
  • lian####.dftou####.com/union/api
  • sdk-ac####.dftou####.com/actlog_sdk/data
  • sdk-ac####.dftou####.com/actlog_sdk/install
  • sdk-ac####.dftou####.com/actlog_sdk/open
  • sdk-col####.dftou####.com/columns_sdk/news
  • sdk-new####.dftou####.com/newsapi_sdk/newspool
  • sdk-ser####.dftou####.com/cloudcontrol/cloudcontrol
  • sdk-ser####.dftou####.com/serverts/getserverts
  • sdknati####.dftou####.com/admethod/appad
  • sh####.y####.com/api/api_get_ad.php?action=####
  • sh####.y####.com/api/desktop/searchlink
  • t####.dftou####.com/getkey/key
  • up####.app.2####.com/index.php
Изменения в файловой системе:
Создает следующие файлы:
  • /data/data/####/.imprint
  • /data/data/####/00cdeae4d810de2da031e4686801c262.0.tmp
  • /data/data/####/00cdeae4d810de2da031e4686801c262.1.tmp
  • /data/data/####/3691a5e1461deb87876314b53ae5fb97.0.tmp
  • /data/data/####/3691a5e1461deb87876314b53ae5fb97.1.tmp
  • /data/data/####/3972c95f9a73767aee570a4216f30adf.0.tmp
  • /data/data/####/3972c95f9a73767aee570a4216f30adf.1.tmp
  • /data/data/####/4bb096f9f32cbdfebaefec130ee55771.0.tmp
  • /data/data/####/4bb096f9f32cbdfebaefec130ee55771.1.tmp
  • /data/data/####/5c6777f287ccd2aa0ee20441ed514b0f.0.tmp
  • /data/data/####/5c6777f287ccd2aa0ee20441ed514b0f.1.tmp
  • /data/data/####/5c7c20dbaa5eb21a936ace11509490f7.0.tmp
  • /data/data/####/5c7c20dbaa5eb21a936ace11509490f7.1.tmp
  • /data/data/####/69407a0767677ab5d96896e738c350cd.0.tmp
  • /data/data/####/69407a0767677ab5d96896e738c350cd.1.tmp
  • /data/data/####/72ea29f5537f49b59e3a54c76091ac66.0.tmp
  • /data/data/####/72ea29f5537f49b59e3a54c76091ac66.1.tmp
  • /data/data/####/73bd4a3a2dd1f9af14cfb07bb9b2dde2.0.tmp
  • /data/data/####/73bd4a3a2dd1f9af14cfb07bb9b2dde2.1.tmp
  • /data/data/####/8f04b51e4833e5bf84503decbf0cb182.0.tmp
  • /data/data/####/8f04b51e4833e5bf84503decbf0cb182.1.tmp
  • /data/data/####/9211e0eb31239d30aacdda3e2a5e23d7.0.tmp
  • /data/data/####/9211e0eb31239d30aacdda3e2a5e23d7.1.tmp
  • /data/data/####/CryptLordHeart.jar
  • /data/data/####/HalleyServicePreferences_100.xml
  • /data/data/####/HalleyServicePreferences_100_.xml
  • /data/data/####/b8b2e770039213a727166f4a82b751eb.0.tmp
  • /data/data/####/b8b2e770039213a727166f4a82b751eb.1.tmp
  • /data/data/####/cc.db
  • /data/data/####/cc.db-journal
  • /data/data/####/cc_c_t_m_l_txsdk.xml
  • /data/data/####/d5ef558ee52209b7112eeda77d344989.0.tmp
  • /data/data/####/d5ef558ee52209b7112eeda77d344989.1.tmp
  • /data/data/####/dfttsdk-db
  • /data/data/####/dfttsdk-db-journal
  • /data/data/####/e0042300332b53e3d692eb66a8f83bcb.0.tmp
  • /data/data/####/e0042300332b53e3d692eb66a8f83bcb.1.tmp
  • /data/data/####/ea40bdc561e2239581ccc2fc34168d92.0.tmp
  • /data/data/####/ea40bdc561e2239581ccc2fc34168d92.1.tmp
  • /data/data/####/ec077595032264eac96d9d5a27ce03e0.0.tmp
  • /data/data/####/ec077595032264eac96d9d5a27ce03e0.1.tmp
  • /data/data/####/exchangeIdentity.json
  • /data/data/####/exid.dat
  • /data/data/####/fe5e948334dc03bb3cbe09975cffb01c.0.tmp
  • /data/data/####/fe5e948334dc03bb3cbe09975cffb01c.1.tmp
  • /data/data/####/gxcoreframework_app_setting.xml
  • /data/data/####/gxcoreframework_cache_data_news_list.xml
  • /data/data/####/halley_schedule_100__HttpSchedulerClient.db-journal
  • /data/data/####/halley_schedule_100__HttpSchedulerHandler.db-journal
  • /data/data/####/journal.tmp
  • /data/data/####/multidex.version.xml
  • /data/data/####/okhttputils_cache.db
  • /data/data/####/okhttputils_cache.db-journal
  • /data/data/####/sdk_app_used_data.xml
  • /data/data/####/sdk_data.xml
  • /data/data/####/sdk_device_data.xml
  • /data/data/####/sdk_error_list.xml
  • /data/data/####/sdk_event_list.xml
  • /data/data/####/sdk_new_event.xml
  • /data/data/####/sdk_quantity_event.xml
  • /data/data/####/sdk_sdk_data.xml
  • /data/data/####/sdk_today_event.xml
  • /data/data/####/sdk_usbhelper.db
  • /data/data/####/sdk_usbhelper.db-journal
  • /data/data/####/search_url.xml
  • /data/data/####/tj2345.db
  • /data/data/####/tj2345.db-journal
  • /data/data/####/tj2345_error.xml
  • /data/data/####/tj2345_event.xml
  • /data/data/####/tj2345_other.xml
  • /data/data/####/tongji2345.xml
  • /data/data/####/tongji2345_app_use.xml
  • /data/data/####/ua.db
  • /data/data/####/ua.db-journal
  • /data/data/####/umeng_general_config.xml
  • /data/data/####/umeng_it.cache
  • /data/media/####/-1308791162.tmp
  • /data/media/####/-464319291.tmp
  • /data/media/####/-97664708.tmp
  • /data/media/####/.system_uuid
  • /data/media/####/1591279034.tmp
  • /data/media/####/179727543.tmp
  • /data/media/####/1911342743.tmp
  • /data/media/####/2141704263.tmp
  • /data/media/####/584548731.tmp
  • /data/media/####/746807163.tmp
  • /data/media/####/752293630.tmp
  • /data/media/####/CryptLordHeart.jar
  • /data/media/####/sdk_app_used_data.xml
  • /data/media/####/sdk_device_data.xml
  • /data/media/####/sdk_error_list.xml
  • /data/media/####/sdk_event_list.xml
  • /data/media/####/sdk_sdk_data.xml
  • /data/media/####/sdk_today_event.xml
  • /data/media/####/sdk_usbhelper.db
  • /data/media/####/sdk_usbhelper.db-journal
Другие:
Запускает следующие shell-скрипты:
  • app_process /system/bin com.android.commands.pm.Pm list packages
  • getprop gsm.denqin.meid
  • pm list packages
  • ps
Загружает динамические библиотеки:
  • tencentloc
Использует следующие алгоритмы для шифрования данных:
  • AES-CBC-PKCS7Padding
  • AES-ECB-PKCS5Padding
Осуществляет доступ к приватному интерфейсу ITelephony.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.

Рекомендации по лечению


Android

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке