Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Android.Gexin.1803

Добавлен в вирусную базу Dr.Web: 2023-10-01

Описание добавлено:

Техническая информация

Вредоносные функции:
Выполняет код следующих детектируемых угроз:
  • Android.Gexin.1
Сетевая активность:
Подключается к:
  • UDP(DNS) 8####.8.4.4:53
  • UDP(DNS) <Google DNS>
  • TCP(HTTP/1.1) cdn-sdk####.g####.com.####.cn:80
  • TCP(HTTP/1.1) p21.p####.cn:80
  • TCP(HTTP/1.1) ti####.c####.l####.####.com:80
  • TCP(HTTP/1.1) 64.2####.165.94:80
  • TCP(HTTP/1.1) sdk.o####.p####.####.com:80
  • TCP(HTTP/1.1) sdk.c####.g####.####.cn:80
  • TCP(HTTP/1.1) a.appj####.com:80
  • TCP(HTTP/1.1) www.yy.c####.cn:80
  • TCP(HTTP/1.1) c-h####.g####.com:80
  • TCP(HTTP/1.1) a####.u####.com:80
  • TCP(HTTP/1.1) m.yy.c####.cn:80
  • TCP(TLS/1.0) c####.c####.cn:443
  • TCP(TLS/1.0) c.c####.com:443
  • TCP(TLS/1.0) rr18---####.g####.com:443
  • TCP(TLS/1.0) p####.google####.com:443
  • TCP(TLS/1.0) and####.a####.go####.com:443
  • TCP(TLS/1.0) c####.baidust####.com.####.com:443
  • TCP(TLS/1.0) pos.b####.com:443
  • TCP(TLS/1.0) rr9---s####.g####.com:443
  • TCP(TLS/1.0) 64.2####.165.94:443
  • TCP(TLS/1.0) pla####.google####.com:443
  • TCP(TLS/1.0) p21.p####.cn:443
  • TCP(TLS/1.0) rr2---s####.g####.com:443
  • TCP(TLS/1.0) and####.google####.com:443
  • TCP(TLS/1.2) 64.2####.165.94:443
  • TCP(TLS/1.2) p####.google####.com:443
  • TCP(TLS/1.2) 64.2####.165.105:443
  • TCP sdk.o####.t####.####.com:5224
  • TCP cm-10####.g####.com:5226
  • UDP and####.google####.com:443
Запросы DNS:
  • 7j####.c####.z0.####.com
  • a####.u####.com
  • a.appj####.com
  • and####.a####.go####.com
  • and####.google####.com
  • c####.baidust####.com
  • c####.c####.cn
  • c-h####.g####.com
  • cdn-sdk####.g####.com
  • cm-10####.g####.com
  • gmscomp####.google####.com
  • img.p####.cn
  • m####.go####.com
  • m.yy.c####.cn
  • p####.google####.com
  • p21.p####.cn
  • p5.p####.cn
  • p9.p####.cn
  • pla####.google####.com
  • pos.b####.com
  • rr18---####.g####.com
  • rr2---s####.g####.com
  • rr9---s####.g####.com
  • s4.c####.com
  • s5.c####.com
  • sdk-ope####.g####.com
  • sdk.c####.g####.com
  • sdk.o####.i####.####.com
  • sdk.o####.p####.####.com
  • sdk.o####.t####.####.com
  • www.yy.c####.cn
Запросы HTTP GET:
  • cdn-sdk####.g####.com.####.cn/tdata_EDB102
  • cdn-sdk####.g####.com.####.cn/tdata_EvJ733
  • cdn-sdk####.g####.com.####.cn/tdata_XwJ757
  • m.yy.c####.cn/
  • m.yy.c####.cn/common/getopensite
  • p21.p####.cn/admin/20220304/2022030409344144254292_132_132.png
  • p21.p####.cn/cnews/20181217/2018121714021413749093_100_100.png
  • p21.p####.cn/cnews/20181217/2018121714042384638578_100_100.png
  • p21.p####.cn/tp/wx_common/images/city-logo.png
  • p21.p####.cn/wap/webapp/fabu/ewm.png
  • p21.p####.cn/wap/webapp/fabu/house.png
  • p21.p####.cn/wap/webapp/fabu/job.png
  • p21.p####.cn/wap/webapp/fabu/post.png
  • p21.p####.cn/wap/webapp/fabu/smallvideo.png
  • p21.p####.cn/wap/webapp/fabu/takepic.png
  • p21.p####.cn/weixin/20190528/2019052818243513689934.jpg
  • p21.p####.cn/wx/app/fang-images/icon_4.png
  • p21.p####.cn/wx/app/fang-images/icon_69.png
  • p21.p####.cn/wx/app/fang-images/icon_72.png
  • p21.p####.cn/wx/app/fang-images/icon_78.png
  • p21.p####.cn/wx/app/yuan/icon_11.png
  • sdk.c####.g####.####.cn/config/hzv9.conf
  • sdk.o####.p####.####.com/api/addr.htm
  • ti####.c####.l####.####.com/tdata_eoG063
  • www.yy.c####.cn/
Запросы HTTP POST:
  • a####.u####.com/app_logs
  • a.appj####.com/ad-service/ad/mark
  • c-h####.g####.com/api.php?format=####&t=####
  • m.yy.c####.cn/Handler/js/AppDownload.ashx
  • m.yy.c####.cn/Home/GetVisitHomeInfo
  • m.yy.c####.cn/common/getalicodeconfig
  • m.yy.c####.cn/home/GetAppConfigInfo
  • sdk.o####.p####.####.com/api.php?format=####&t=####
  • sdk.o####.p####.####.com/api.php?format=####&t=####&d=####&k=####
Изменения в файловой системе:
Создает следующие файлы:
  • /data/data/####/.imprint
  • /data/data/####/.jg.ic
  • /data/data/####/03ea8afabf43f7ad_0
  • /data/data/####/06685e60174f2e31_0
  • /data/data/####/0a32d552c2c48c24_0
  • /data/data/####/0de8e47c68e838b1_0
  • /data/data/####/0e3d68dcbe9b432e_0
  • /data/data/####/10282f5a0cb69c98_0
  • /data/data/####/1094a541571b331d_0
  • /data/data/####/13f866f49b803503_0
  • /data/data/####/150ba5eb5a15f33b_0
  • /data/data/####/16f3a2b9e596e43d_0
  • /data/data/####/2c280ce8f143c07b_0 (deleted)
  • /data/data/####/3004a425da47f766_0
  • /data/data/####/317b9bd4c41e9cc6_0
  • /data/data/####/329a8b55e5025b6b_0 (deleted)
  • /data/data/####/379748984a1d6731_0
  • /data/data/####/447a23a6e8a7ec43_0
  • /data/data/####/45edf0e396d554a2_0 (deleted)
  • /data/data/####/49c091c2a4de9455_0
  • /data/data/####/4cf019d45cdb4ae5_0
  • /data/data/####/4cf019d45cdb4ae5_1
  • /data/data/####/4d179d0882349e89_0
  • /data/data/####/4d179d0882349e89_1
  • /data/data/####/4d9a768f78cb5a80_0 (deleted)
  • /data/data/####/5084c6731de1cd01_0
  • /data/data/####/55678c3eb2cbee60_0
  • /data/data/####/582f3e217f1aaf1c_0
  • /data/data/####/59cdb9cbf2b6c87b_0
  • /data/data/####/5bc7afe25f3853c6_0
  • /data/data/####/5d463c755505ab8b_0
  • /data/data/####/5d463c755505ab8b_1
  • /data/data/####/5d481f32c612c138_0
  • /data/data/####/5d481f32c612c138_1
  • /data/data/####/5dca413bd25af11e_0
  • /data/data/####/5dca413bd25af11e_1
  • /data/data/####/6348c1a54734582b_0
  • /data/data/####/64470e327d9f84e5_0
  • /data/data/####/64470e327d9f84e5_1
  • /data/data/####/7949ea6c553b267d_0
  • /data/data/####/7b2541d6581eb7d1_0
  • /data/data/####/84b485368e13a79d_0
  • /data/data/####/869618105c836cdb_0
  • /data/data/####/8bc0781da25fd687_0
  • /data/data/####/8bc0781da25fd687_1
  • /data/data/####/9090d683213d10cd_0
  • /data/data/####/90db12b4b4c2cadc_0
  • /data/data/####/90f3c1733eecf796_0
  • /data/data/####/90f3c1733eecf796_1
  • /data/data/####/976129359fe1ad51_0
  • /data/data/####/9ac16c87a682ecbc_0
  • /data/data/####/Alvin2.xml
  • /data/data/####/ContextData.xml
  • /data/data/####/Cookies-journal
  • /data/data/####/H5FA35F6A.xml
  • /data/data/####/WebViewChromiumPrefs.xml
  • /data/data/####/a76dc3ba75b03518_0
  • /data/data/####/a963c9a487efc8c1_0
  • /data/data/####/b9eb2b991728064e_0
  • /data/data/####/c09e7bada0c5
  • /data/data/####/c2f8f8193ec8a78d_0
  • /data/data/####/cae61edc46afdf88_0
  • /data/data/####/cc.db
  • /data/data/####/cc.db-journal
  • /data/data/####/ce2fd58597d98c69_0
  • /data/data/####/cf496f5d5b6300d7_0
  • /data/data/####/cf496f5d5b6300d7_1
  • /data/data/####/classes.dex
  • /data/data/####/classes.oat
  • /data/data/####/classes2.dex
  • /data/data/####/clientid_igexin.xml
  • /data/data/####/com.yiyang.wangluo_preferences.xml
  • /data/data/####/dc81476afc93dece_0
  • /data/data/####/e1605e5b8678109d_0
  • /data/data/####/e18e1b67788eba80_0
  • /data/data/####/e577e23a948f59be_0
  • /data/data/####/e76a275fdc881d5e_0
  • /data/data/####/ee28434c2acdb205_0
  • /data/data/####/exchangeIdentity.json
  • /data/data/####/f0f51aa273342c35_0
  • /data/data/####/f10fe90723c2aef3_0
  • /data/data/####/fa2fb863db3e3e78_0
  • /data/data/####/gkt-journal
  • /data/data/####/http_m.yy.ccoo.cn_0.localstorage-journal
  • /data/data/####/increment.db-journal
  • /data/data/####/index
  • /data/data/####/init.pid
  • /data/data/####/jg_app_update_settings_random.xml
  • /data/data/####/libjiagu.so
  • /data/data/####/metrics_guid
  • /data/data/####/pdr.xml
  • /data/data/####/push.pid
  • /data/data/####/pushg.db-journal
  • /data/data/####/pushsdk.db-journal
  • /data/data/####/run.pid
  • /data/data/####/tdata_EvJ733.dex
  • /data/data/####/tdata_EvJ733.dex.flock (deleted)
  • /data/data/####/tdata_EvJ733.jar
  • /data/data/####/tdata_EvJ733.tmp
  • /data/data/####/tdata_XwJ757.dex
  • /data/data/####/tdata_XwJ757.dex.flock (deleted)
  • /data/data/####/tdata_XwJ757.jar
  • /data/data/####/tdata_XwJ757.tmp
  • /data/data/####/temp-index
  • /data/data/####/the-real-index
  • /data/data/####/umeng_general_config.xml
  • /data/data/####/umeng_it.cache
  • /data/media/####/Alvin2.xml
  • /data/media/####/ContextData.xml
  • /data/media/####/app.db
  • /data/media/####/com.igexin.sdk.deviceId.db
  • /data/media/####/com.yiyang.wangluo.db
  • /data/media/####/gkt
  • /data/media/####/gkt-journal
  • /data/media/####/gktper
  • /data/media/####/gktper (deleted)
  • /data/media/####/tdata_EvJ733
  • /data/media/####/tdata_XwJ757
  • /data/misc/####/primary.prof
Другие:
Запускает следующие shell-скрипты:
  • /system/bin/cat /proc/cpuinfo
  • cat /proc/self/cgroup
  • cat /sys/class/net/wlan0/address
  • chmod 755 <Package Folder>/.jiagu/libjiagu.so
  • mount
  • sh
Загружает динамические библиотеки:
  • libjiagu
Использует следующие алгоритмы для шифрования данных:
  • AES-CBC-PKCS5Padding
  • AES-CFB-NoPadding
  • AES-ECB-PKCS5Padding
  • RSA-NONE-OAEPWithSHA1AndMGF1Padding
Использует следующие алгоритмы для расшифровки данных:
  • AES-CFB-NoPadding
  • AES-ECB-PKCS5Padding
Осуществляет доступ к приватному интерфейсу ITelephony.
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию об установленных приложениях.
Отрисовывает собственные окна поверх других приложений.
Запрашивает разрешение на отображение системных уведомлений.

Рекомендации по лечению


Android

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке