ПОЛЬЗОВАТЕЛЯМ

Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Android.Packed.25746

Добавлен в вирусную базу Dr.Web: 2017-07-28

Описание добавлено:

Техническая информация

Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
  • Android.HiddenAds.79.origin
  • Android.Mixi.16.origin
  • Android.Mixi.21.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony)
Сетевая активность:
Подключается к:
  • a####.####.com
  • a-ced####.####.net
  • b####.####.com
  • c####.####.com
  • chinac####.####.com
  • deazs14####.####.net
  • f####.####.com
  • g####.####.com
  • gcjgdrd####.####.com
  • glo####.####.com
  • i####.####.cc
  • i2-ezkw####.####.net
  • m####.####.com
  • p####.####.cc
  • p####.####.com
  • r####.####.com
  • s####.####.com
  • w####.####.com
Запросы HTTP GET:
  • a-ced####.####.net/img/21222/r20.gif?rnd=####
  • b####.####.com/item/%E8%85%B0%E6%A4%8E%E9%97%B4%E7%9B%98%E7%AA%81%E5%87%...
  • c####.####.com/files/129865d43439b3fbad6b88edd4c2c8a3
  • chinac####.####.com/node2/17min.html?rnd=####
  • deazs14####.####.net/img/14/r20.gif?rnd=####
  • f####.####.com/it/u=4223411956,1750649741&fm=76
  • g####.####.com/bdt/apkd/gpp.apk
  • g####.####.com/cr/sv/crn?m5=####&nm=####
  • g####.####.com/cr/sv/getGoFile?name=####
  • gcjgdrd####.####.com/mda-gj6ptreuz6hzdr42/mda-gj6ptreuz6hzdr42.m3u8.0.1.ts
  • glo####.####.com/ops/akamai/images/r20.gif?rnd=####
  • i####.####.cc/s
  • i2-ezkw####.####.net/i2/1/18918/j1/20/56/1501141259/providers.json?image...
  • m####.####.com/from=1019694v/bd_page_type=1/ssid=0/uid=0/pu=usm%4010%2Cs...
  • p####.####.cc/api/ads/check?app=####&sn=####&os_v=####&md5=####&secret=#...
  • p####.####.com/img/221/r20.gif?rnd=####
  • p####.####.com/img/258/r20.gif?rnd=####
  • p####.####.com/img/262/r20.gif?rnd=####
  • r####.####.com/1501179645/radar.js
  • r####.####.com/f1/_CgJqMRAUGDgiBggBEOaTASiR1ofAATDVz1s4s7LtywVArYWnxQRKF...
  • s####.####.com/cr/sdk/dynV17041701D/des_dyV17041701Dj1so32.zip
  • w####.####.com/adx.php?c=####
Запросы HTTP POST:
  • a####.####.com/api.php?sk=####
  • a####.####.com/app_logs
Изменения в файловой системе:
Создает следующие файлы:
  • <Package Folder>/app_dex/mocean-sdk.zip
  • <Package Folder>/app_dex/mocean-sdk.zip.tmp
  • <Package Folder>/app_patch/p.dex (deleted)
  • <Package Folder>/app_tmpdex/mocean-sdk.zip
  • <Package Folder>/cache/####/data_0
  • <Package Folder>/cache/####/data_1
  • <Package Folder>/cache/####/data_2
  • <Package Folder>/cache/####/data_3
  • <Package Folder>/cache/####/f_000001
  • <Package Folder>/cache/####/f_000002
  • <Package Folder>/cache/####/f_000003
  • <Package Folder>/cache/####/f_000004
  • <Package Folder>/cache/####/f_000005
  • <Package Folder>/cache/####/f_000006
  • <Package Folder>/cache/####/f_000007
  • <Package Folder>/cache/####/f_000008
  • <Package Folder>/cache/####/f_000009
  • <Package Folder>/cache/####/f_00000a
  • <Package Folder>/cache/####/f_00000b
  • <Package Folder>/cache/####/f_00000c
  • <Package Folder>/cache/####/f_00000d
  • <Package Folder>/cache/####/f_00000e
  • <Package Folder>/cache/####/f_00000f
  • <Package Folder>/cache/####/f_000010
  • <Package Folder>/cache/####/f_000011
  • <Package Folder>/cache/####/f_000012
  • <Package Folder>/cache/####/f_000013
  • <Package Folder>/cache/####/f_000014
  • <Package Folder>/cache/####/f_000015
  • <Package Folder>/cache/####/f_000016
  • <Package Folder>/cache/####/f_000017
  • <Package Folder>/cache/####/f_000018
  • <Package Folder>/cache/####/f_000019
  • <Package Folder>/cache/####/f_00001a
  • <Package Folder>/cache/####/f_00001b
  • <Package Folder>/cache/####/f_00001c
  • <Package Folder>/cache/####/f_00001d
  • <Package Folder>/cache/####/f_00001e
  • <Package Folder>/cache/####/f_00001f
  • <Package Folder>/cache/####/f_000020
  • <Package Folder>/cache/####/f_000021
  • <Package Folder>/cache/####/f_000022
  • <Package Folder>/cache/####/f_000023
  • <Package Folder>/cache/####/f_000024
  • <Package Folder>/cache/####/f_000025
  • <Package Folder>/cache/####/f_000026
  • <Package Folder>/cache/####/f_000027
  • <Package Folder>/cache/####/f_000028
  • <Package Folder>/cache/####/f_000029
  • <Package Folder>/cache/####/index
  • <Package Folder>/databases/28eb76fc9b80e6803fb23b1b05e2a7d0.db-journal
  • <Package Folder>/databases/app.manager-journal
  • <Package Folder>/databases/cc.db
  • <Package Folder>/databases/cc.db-journal
  • <Package Folder>/databases/mbook_reader.db
  • <Package Folder>/databases/mbook_reader.db-journal
  • <Package Folder>/databases/mocean.database.ad-journal
  • <Package Folder>/databases/ua.db
  • <Package Folder>/databases/ua.db-journal
  • <Package Folder>/databases/webview.db-journal
  • <Package Folder>/databases/webviewCookiesChromium.db-journal
  • <Package Folder>/databases/webviewCookiesChromium.db-journal (deleted)
  • <Package Folder>/files/####/5reader2<System Property>46
  • <Package Folder>/files/####/<Package>12<System Property>2
  • <Package Folder>/files/####/exchangeIdentity.json
  • <Package Folder>/files/####/ntmp22552391
  • <Package Folder>/files/.imprint
  • <Package Folder>/files/1501141266377_dyV17041701Dj1so32.so
  • <Package Folder>/files/<System Property>112.jar
  • <Package Folder>/files/exid.dat
  • <Package Folder>/files/g.apk
  • <Package Folder>/files/hftJcw46N.jar
  • <Package Folder>/files/p.apk
  • <Package Folder>/files/umeng_it.cache
  • <Package Folder>/files/us.908GhK3z1XIE6J7u3B4nRKlfEI88s
  • <Package Folder>/shared_prefs/<Package>_preferences.xml
  • <Package Folder>/shared_prefs/<Package>_preferences.xml.bak
  • <Package Folder>/shared_prefs/MBookRreaderSetting.xml
  • <Package Folder>/shared_prefs/MBookRreaderSetting.xml.bak
  • <Package Folder>/shared_prefs/MO.xml
  • <Package Folder>/shared_prefs/MO.xml.bak
  • <Package Folder>/shared_prefs/resc_b.xml
  • <Package Folder>/shared_prefs/resc_c.xml
  • <Package Folder>/shared_prefs/resc_d.xml
  • <Package Folder>/shared_prefs/resc_i.xml
  • <Package Folder>/shared_prefs/resc_i.xml.bak
  • <Package Folder>/shared_prefs/umeng_general_config.xml
  • <Package Folder>/shared_prefs/umeng_general_config.xml.bak
  • <SD-Card>/Android/####/.nomedia
  • <SD-Card>/Android/####/a
  • <SD-Card>/Android/####/c
  • <SD-Card>/Android/####/cdn.ads.go2reach.com_files_129865d43439b3fbad6b88edd4c2c8a3
  • <SD-Card>/Android/####/u=231422080,2053777132&fm=76
  • <SD-Card>/Android/####/u=4223411956,1750649741&fm=76
  • <SD-Card>/mbook/####/000
  • <SD-Card>/mbook/####/001
  • <SD-Card>/mbook/####/002
  • <SD-Card>/mbook/####/cover_1076445.gif
  • <SD-Card>/mbook/####/cover_1277756.gif
  • <SD-Card>/mbook/####/cover_573589.gif
Другие:
Запускает следующие shell-скрипты:
  • /data/data/cn.mbook.android.reader/files/us.908GhK3z1XIE6J7u3B4nRKlfEI88s -h b06dba9df8ba47e5be63aa4fed71f9b7 /data/data/cn.mbook.android.reader/.syslib-
  • chmod 0771 /data/data/cn.mbook.android.reader/.syslib-
  • chmod 0771 <Package Folder>/.syslib-
  • getenforce
  • getprop ro.bootloader
  • getprop ro.build.fingerprint
  • getprop ro.build.product
  • getprop ro.hardware
  • getprop ro.kernel.qemu
  • getprop ro.product.brand
  • getprop ro.product.device
  • getprop ro.product.manufacturer
  • getprop ro.product.model
  • getprop ro.secure
  • rm -f <Package Folder>/files/hftJcw46N.dex
  • rm -f <Package Folder>/files/hftJcw46N.jar
  • rm -f <Package Folder>/files/us.908GhK3z1XIE6J7u3B4nRKlfEI88s
  • rm <Package Folder>/files/hftJcw46N.dex
  • rm <Package Folder>/files/hftJcw46N.jar
  • rm <Package Folder>/files/us.908GhK3z1XIE6J7u3B4nRKlfEI88s
  • sh
  • sh -c /system/usr/toolbox rm -f <Package Folder>/files/hftJcw46N.dex > /dev/null 2>&1
  • sh -c /system/usr/toolbox rm -f <Package Folder>/files/hftJcw46N.jar > /dev/null 2>&1
  • sh -c /system/usr/toolbox rm -f <Package Folder>/files/us.908GhK3z1XIE6J7u3B4nRKlfEI88s > /dev/null 2>&1
  • sh -c rm <Package Folder>/files/hftJcw46N.dex > /dev/null 2>&1
  • sh -c rm <Package Folder>/files/hftJcw46N.jar > /dev/null 2>&1
  • sh -c rm <Package Folder>/files/us.908GhK3z1XIE6J7u3B4nRKlfEI88s > /dev/null 2>&1
  • sh -c rm -f <Package Folder>/files/hftJcw46N.dex > /dev/null 2>&1
  • sh -c rm -f <Package Folder>/files/hftJcw46N.jar > /dev/null 2>&1
  • sh -c rm -f <Package Folder>/files/us.908GhK3z1XIE6J7u3B4nRKlfEI88s > /dev/null 2>&1
  • sh <Package Folder>/files/us.908GhK3z1XIE6J7u3B4nRKlfEI88s -h b06dba9df8ba47e5be63aa4fed71f9b7 <Package Folder>/.syslib-
Загружает динамические библиотеки:
  • 1501141266377_dyV17041701Dj1so32
Использует следующие алгоритмы для шифрования данных:
  • AES-CBC-PKCS7Padding
Использует следующие алгоритмы для расшифровки данных:
  • AES-CBC-PKCS7Padding
  • AES-CFB-NoPadding
Осуществляет доступ к информации о геолокации
Осуществляет доступ к информации о сети
Осуществляет доступ к информации о телефоне (номер, imei и тд.)
Осуществляет доступ к информации об установленных приложениях
Осуществляет доступ к информации о запущенных приложениях
Добавляет задания в системный планировщик
Отрисовывает собственные окна поверх других приложений

Рекомендации по лечению


Android

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке

Российский разработчик антивирусов Dr.Web с 1992 года
Dr.Web в Реестре Отечественного ПО
Dr.Web совместим с российскими ОС и оборудованием
Dr.Web пользуются в 200+ странах мира
Техническая поддержка 24х7х365 Рус | En

© «Доктор Веб»
2003 — 2022

«Доктор Веб» — российский производитель антивирусных средств защиты информации под маркой Dr.Web. Продукты Dr.Web разрабатываются с 1992 года.

125124, Россия, Москва, 3-я улица Ямского поля, д.2, корп.12А