Adware.Gexin.21469

Technical information

Malicious functions:

Executes code of the following detected threats:

Adware.Gexin.2.origin

Network activity:

Connects to:

UDP(DNS) 8####.8.4.4:53
TCP(HTTP/1.1) 1####.11.190.3:443
TCP(HTTP/1.1) 1####.134.80.166:443
TCP(HTTP/1.1) 8.2####.35.113:443
TCP(HTTP/1.1) d####.c####.l####.####.com:80
TCP(HTTP/1.1) 1####.238.29.11:443
TCP(HTTP/1.1) 1####.14.197.250:443
TCP(HTTP/1.1) anal####.tr####.com:80
TCP(TLS/1.0) c####.51zhan####.com:443
TCP(TLS/1.0) md####.google####.com:443
TCP(TLS/1.0) 64.2####.162.95:443
TCP(TLS/1.0) api.tr####.com:443
TCP(TLS/1.0) hk.wagbr####.non####.####.com:443
TCP(TLS/1.0) 1####.238.29.11:443
TCP(TLS/1.0) 1####.14.197.250:443
TCP(TLS/1.0) 1####.134.80.166:443
TCP(TLS/1.0) redi####.network####.com:443
TCP(TLS/1.0) a####.u51.com:443
TCP(TLS/1.0) 8.2####.35.113:443
TCP(TLS/1.0) 1####.11.190.3:443
TCP(TLS/1.2) 74.1####.131.94:443
UDP www.google####.com:443
TCP sdk.o####.t####.####.net:5224

DNS requests:

a####.u51.com
ab.u####.com
anal####.tr####.com
api.tr####.com
api.w####.com
c####.51zhan####.com
cm-1####.g####.com
cm-1####.g####.com
m####.go####.com
md####.google####.com
no####.u51.com
norma-e####.m####.com
redi####.network####.com
sdk-ope####.g####.com
sdk.c####.g####.com
sdk.o####.t####.####.com
sdk.o####.t####.####.com
sdk.o####.t####.####.com
sdk.o####.t####.####.net
u####.u####.com
w####.u51.com
www.5####.com
www.google####.com
y####.al####.com

HTTP GET requests:

1####.134.80.166:443/oauth2/getaid.json?appkey=####&mfp=####&packagename...
1####.14.197.250:443/xcurrency/unionpay/v1/rates
1####.238.29.11:443/channel/api/v1/channel/queryPatch?version_code=####&...
1####.238.29.11:443/channel/api/v1/statisticsChannel?nonce=####&h_t=####...
1####.238.29.11:443/forwardgateway/api/v1/h5/url/white-list?nonce=####&h...
1####.238.29.11:443/janus/api/v1/system/time
1####.238.29.11:443/nodejs-super-speed-manager/api/v1/client/projects?no...
1####.238.29.11:443/nx-track-backend/api/v2/track/release/controlconfig?...
1####.238.29.11:443/polaris-gateway/api/v1/getConfigs?serviceCode=####&m...
1####.238.29.11:443/rp-api/api/v1/unToken/query/rpPlanTenderAndTransferL...
1####.238.29.11:443/rp-api/api/v1/unToken/query/showRedPointNew?nonce=##...
1####.238.29.11:443/rpplan-gateway/api/notLogin/v1/query/getRpPlanSafety...
1####.238.29.11:443/rpplan-gateway/api/notLogin/v1/query/queryNewCustome...
1####.238.29.11:443/rpplan-gateway/api/notLogin/v1/query/queryWeekMonthR...
1####.238.29.11:443/rpplan-gateway/api/notLogin/v1/query/rpplanProjectLi...
1####.238.29.11:443/rpplan-gateway/api/v1/query/rpPlanRecommendInfo?nonc...
1####.238.29.11:443/static-configs/minipgwhitelist.json
d####.c####.l####.####.com/config/hzv9.conf

HTTP POST requests:

1####.11.190.3:443/saveWb.json
1####.238.29.11:443/manager/v3/message?nonce=####&h_t=####&big_app_id=##...
1####.238.29.11:443/manager/v3/zip?nonce=####&h_t=####&big_app_id=####&a...
1####.238.29.11:443/pay-portal-gateway/api/v2/render?nonce=####&h_t=####...
8.2####.35.113:443/unify_logs
anal####.tr####.com/api/log
anal####.tr####.com/api/settings

Miscellaneous:

Uses special library to hide executable bytecode.

Requests the system alert window permission.

Рекомендации по лечению

В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.

Демо бесплатно

Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

Демо бесплатно

Скачать Dr.Web

По серийному номеру

Скачать Dr.Web с Apple Store

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Демо бесплатно

Скачать Dr.Web

По серийному номеру

Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
- загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
- после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
- выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android