Для корректной работы нашего сайта необходимо включить поддержку JavaScript в вашем браузере.
Android.SmsSend.21028
Добавлен в вирусную базу Dr.Web:
2017-07-28
Описание добавлено:
2017-07-28
Technical information
Malicious functions:
Sends SMS messages:
106575206321505460: dyl#null,<IMEI>,6000182-1-70714-ZZ_default-0
10691009: @8DYL#null,<IMEI>,6000182-1-70714-ZZ_default-0
106912114516412: systemcGx1dG8yNTAwMjY2OTkxODc3NDM=
106912114: HZSY#<IMSI>
Executes code of the following detected threats:
Android.SmsSend.1848.origin
Android.SmsSend.1848.origin
Android.SmsSend.1848.origin
Android.SmsSend.1893.origin
Tool.Rooter.43.origin
Downloads the following detected threats from the Web:
Android.SmsSend.1848.origin
Android.SmsSend.1848.origin
Android.SmsSend.1848.origin
Android.SmsSend.1893.origin
Tool.Rooter.43.origin
Network activity:
Connecting to:
1####.####.185
1####.####.185:28018
1####.####.25
1####.####.25:28018
1####.####.4:28018
a####.####.com
a####.####.com:6099
a####.####.com:8011
a####.####.site
a####.####.site:8090
aexcep####.####.com
aexcep####.####.com:8012
and####.####.com
huangda####.com
l####.####.com
p####.####.cn
sm####.####.com
HTTP GET requests:
1####.####.185/update/100.zip
1####.####.185:28018/update/101_m.zip
1####.####.25/kr/krsf.jsp?m=####&a=####&e=####
1####.####.25:28018/kr/p.jsp?m=####&l=####
1####.####.4:28018/update/updateclz.zip
a####.####.com/sunnyinit302?channel=####&imsi=####&calltime=####&callcou...
a####.####.com:6099/sunnyinit302?channel=####&imsi=####&calltime=####&ca...
a####.####.site/afee?cpid=####&appfee_id=####&fee=####&smsc=####&imsi=##...
a####.####.site:8090/phoneget?cpid=####&ismi=####&calltime=####&callcoun...
huangda####.com/active!activeLog.action?provider=####&clickId=####&manu=...
sm####.####.com/checkVer144.php?os=####
HTTP POST requests:
a####.####.com/app_logs
a####.####.com:8011/rqd/async
aexcep####.####.com/rqd/async
aexcep####.####.com:8012/rqd/async
and####.####.com/rqd/async
l####.####.com/wxqk/hmAdd
p####.####.cn/index.php/API
sm####.####.com/pay-sms-access//uploadSmsDetailInfo.json?
Modified file system:
Creates the following files:
Miscellaneous:
Executes next shell scripts:
/system/bin/cat /sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_max_freq
/system/bin/sh
/system/bin/sh -c getprop ro.aa.romver
/system/bin/sh -c getprop ro.board.platform
/system/bin/sh -c getprop ro.build.fingerprint
/system/bin/sh -c getprop ro.build.nubia.rom.name
/system/bin/sh -c getprop ro.build.rom.id
/system/bin/sh -c getprop ro.build.tyd.kbstyle_version
/system/bin/sh -c getprop ro.build.version.emui
/system/bin/sh -c getprop ro.build.version.opporom
/system/bin/sh -c getprop ro.gn.gnromvernumber
/system/bin/sh -c getprop ro.lenovo.series
/system/bin/sh -c getprop ro.lewa.version
/system/bin/sh -c getprop ro.meizu.product.model
/system/bin/sh -c getprop ro.miui.ui.version.name
/system/bin/sh -c getprop ro.vivo.os.build.display.id
/system/bin/sh -c type su
<dexopt>
<error:2>
cat /proc/version
cat /sys/block/mmcblk0/device/cid
chmod 700 /data/data/com.cqdly008.jnbodf/tx_shell/libnfix.so
chmod 700 /data/data/com.cqdly008.jnbodf/tx_shell/libshella-2.10.4.1.so
chmod 700 /data/data/com.cqdly008.jnbodf/tx_shell/libufix.so
chmod 700 <Package Folder>/tx_shell/libnfix.so
chmod 700 <Package Folder>/tx_shell/libshella-2.10.4.1.so
chmod 700 <Package Folder>/tx_shell/libufix.so
chmod 755 <Package Folder>/app_krsdk/krmain_1
chmod 755 <Package Folder>/files/
chmod 777 <Package Folder>/files/doup32
chmod 777 <Package Folder>/files/i.sh
chmod 777 <Package Folder>/files/vercheck1
getprop ro.aa.romver
getprop ro.board.platform
getprop ro.build.fingerprint
getprop ro.build.nubia.rom.name
getprop ro.build.rom.id
getprop ro.build.tyd.kbstyle_version
getprop ro.build.version.emui
getprop ro.build.version.opporom
getprop ro.gn.gnromvernumber
getprop ro.lenovo.series
getprop ro.lewa.version
getprop ro.meizu.product.model
getprop ro.miui.ui.version.name
getprop ro.product.cpu.abi
getprop ro.product.cpu.abi2
getprop ro.vivo.os.build.display.id
getprop ro.yunos.version
logcat -d -v threadtime
ls -al /data/data/.cpd
ls -al /data/data/.cpd/cache
ls -al /system/bin/bootdaemon
ls -al /system/etc/init.d/bootdaemon.sh
ls -al /system/etc/install-recovery.sh
ls -lZ <Package Folder>/app_krsdk/
ps
rm -rf <Package Folder>/app_krsdk/
sh
Uses special library to hide executable bytecode.
Рекомендации по лечению
Android
Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light . Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
выключите устройство и включите его в обычном режиме.
Подробнее о Dr.Web для Android
Демо бесплатно на 14 дней
Выдаётся при установке
Поздравляем!
Обменяйте их на скидку до 50% на покупку Dr.Web.
Получить скидку
Скачайте Dr.Web для Android
Бесплатно на 3 месяца
Все компоненты защиты
Продление демо через AppGallery/Google Pay
Если Вы продолжите использование данного сайта, это означает, что Вы даете согласие на использование нами Cookie-файлов и иных технологий по сбору статистических сведений о посетителях. Подробнее
OK