ПОЛЬЗОВАТЕЛЯМ

Закрыть

Поиск

Поиск

Поддержка
Круглосуточная поддержка

Напишите

Запрос через форму

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Напишите

Задать вопрос в поддержку

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

BY

RU CN DE EN ES FR IT JP KZ UZ PL BY
Закрыть
Сервисы
Сканеры
Dr.Web vxCube
Демо
Экспертиза ВКИ
Вирусная библиотека
База знаний

Технологии

Термины

Обучение и просвещение

Мифы

Новости

BackDoor.Maxplus.2064

Добавлен в вирусную базу Dr.Web: 2012-02-01

Описание добавлено:

Техническая информация

Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000002] 'PackedCatalogItem' = ''
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000003] 'PackedCatalogItem' = ''
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000004] 'PackedCatalogItem' = ''
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000001] 'LibraryPath' = 'mswsock.dll'
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000003] 'LibraryPath' = 'mswsock.dll'
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000001] 'PackedCatalogItem' = ''
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000005] 'PackedCatalogItem' = ''
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000009] 'PackedCatalogItem' = ''
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000010] 'PackedCatalogItem' = ''
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000011] 'PackedCatalogItem' = ''
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000006] 'PackedCatalogItem' = ''
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000007] 'PackedCatalogItem' = ''
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000008] 'PackedCatalogItem' = ''
Создает следующие сервисы:
  • [<HKLM>\SYSTEM\ControlSet001\Services\.netbt] 'ImagePath' = '\?'
Вредоносные функции:
Внедряет код в
следующие системные процессы:
  • <SYSTEM32>\winlogon.exe
  • %WINDIR%\Explorer.EXE
Изменения в файловой системе:
Создает следующие файлы:
  • %WINDIR%\$NtUninstallKB27979$\4121336045\@
  • %WINDIR%\$NtUninstallKB27979$\4121336045\cfg.ini
  • %WINDIR%\$NtUninstallKB27979$\4121336045\Desktop.ini
  • %WINDIR%\$NtUninstallKB27979$\4121336045\L\alehhooo
Самоудаляется.
Сетевая активность:
Подключается к:
  • '22#.#24.126.92':34354
  • '68.##.113.93':34354
  • '19#.#17.98.94':34354
  • '17#.#02.42.90':34354
  • '67.#6.97.88':34354
  • '17#.#74.133.231':34354
  • '10#.#.190.38':34354
  • '18#.#.15.209':34354
  • '10#.#1.154.80':34354
  • '77.##.200.82':34354
  • '15#.#1.115.153':34354
  • '10#.#.148.104':34354
  • '99.##1.119.111':34354
  • '98.##5.160.89':34354
  • '93.##.205.83':34354
  • '12#.#8.70.35':34354
  • '70.##0.73.135':34354
  • '69.##5.217.118':34354
  • '84.##9.125.233':34354
  • '58.##.155.103':34354
  • '93.##.140.58':34354
  • '46.##3.134.117':34354
  • '17#.#07.156.77':34354
  • '24.#7.5.196':34354
  • '18#.#55.61.206':34354
  • '68.##.118.87':34354
  • '24.##5.221.133':34354
  • '24.##1.28.182':34354
  • '50.##.141.143':34354
  • '71.##9.95.29':34354
  • '14#.#56.198.4':34354
  • '24.##.207.178':34354
  • '76.#4.41.9':34354
  • '17#.#4.182.176':34354
  • '17#.#11.232.182':34354
  • '84.##2.27.181':34354
  • '15#.#6.81.57':34354
  • '70.##7.154.246':34354
  • '74.##8.102.47':34354
  • '79.##3.105.120':34354
  • '2.##4.17.39':34354
  • '98.##2.2.134':34354
  • '18#.#4.190.122':34354
  • '68.##.67.226':34354
  • '10.##5.4.133':34354
  • '98.##0.194.183':34354
  • '72.##8.26.24':34354
  • '68.##1.51.87':34354
  • '17#.#17.122.213':34354
  • '82.##0.44.200':34354
  • '69.##4.95.109':34354
  • '49.##5.91.107':34354
  • '17#.#1.108.105':34354
  • '69.##4.42.156':34354
  • '88.##8.73.70':34354
  • '99.##8.65.160':34354
  • '11#.#36.199.191':34354
  • '24.##3.81.32':34354
  • '71.##2.245.244':34354
  • '19#.#05.44.243':34354
  • '67.##3.35.239':34354
  • '71.##.181.141':34354
  • '12#.#22.75.68':34354
  • '67.##.77.165':34354
  • '75.##.211.105':34354
  • '75.#0.0.160':34354
  • '93.##8.157.167':34354
  • '71.##9.117.142':34354
  • '99.##0.194.26':34354
  • '89.##4.218.183':34354
  • '11#.#42.93.184':34354
  • '19#.#60.171.251':34354
  • '17#.#.158.181':34354
  • '24.#1.4.96':34354
  • '46.##.251.116':34354
  • '93.##.116.34':34354
  • '15#.#5.151.86':34354
  • '17#.#55.134.132':34354
  • '10#.#.13.137':34354
  • '87.##.193.117':34354
  • '21#.#02.83.121':34354
  • '18#.#.220.227':34354
  • '98.##3.236.243':34354
  • '15#.#2.151.225':34354
  • '68.##7.199.226':34354
  • '17#.#5.167.250':34354
  • '21#.#12.37.85':34354
  • '76.##8.242.243':34354
  • '10#.#28.58.249':34354
  • '72.##3.175.16':34354
  • '11#.#61.223.157':34354
  • '71.##5.83.192':34354
  • '74.##2.120.201':34354
  • '70.##.137.214':34354
  • '50.##0.79.224':34354
  • '71.##.176.205':34354
  • '11#.#65.40.210':34354
  • '11#.#12.224.227':34354
  • '50.##8.245.142':34354
  • '84.##6.151.63':34354
  • '17#.#37.210.191':34354
  • '68.##2.126.248':34354
  • '76.#4.44.51':34354
  • '70.##.159.104':34354
  • '19#.#4.56.80':34354
  • '69.##1.226.116':34354
  • '69.#.6.189':34354
  • '63.##6.36.203':34354
  • '75.##.193.195':34354
  • '88.##3.235.219':34354
  • '96.#5.225.5':34354
  • '76.##7.28.112':34354
  • '24.##8.127.162':34354
  • '17#.#6.42.29':34354
  • '84.##1.189.210':34354
  • '98.##3.222.32':34354
  • '17#.#9.100.40':34354
  • '67.##1.193.1':34354
  • '24.##1.69.35':34354
  • '76.##4.205.165':34354
  • '46.##5.205.254':34354
  • '50.##.190.151':34354
  • '98.##2.51.144':34354
  • '19#.#91.35.250':34354
  • '87.##.138.198':34354
  • '24.#0.23.98':34354
  • '66.##.235.210':34354
  • '75.##3.6.123':34354
  • '20#.#72.162.25':34354
  • '10#.#0.240.253':34354
  • '86.##4.48.45':34354
  • '99.##6.127.245':34354
  • '11#.#7.180.140':34354
  • '98.##7.159.28':34354
  • '65.##.113.18':34354
  • '17#.#.165.233':34354
  • '18#.#5.55.147':34354
  • '24.#.210.119':34354
  • '17#.#69.153.5':34354
  • '31.##.163.134':34354
  • '17#.#22.150.27':34354
  • '68.##7.138.144':34354
  • '12.#2.70.68':34354
  • '18#.#9.8.201':34354
  • '17#.#6.49.77':34354
  • '72.##4.32.49':34354
  • '17#.#05.183.22':34354
  • '78.##.45.215':34354
  • '17#.#3.183.105':34354
  • '69.##4.238.77':34354
  • '69.##4.236.42':34354
  • '67.##6.242.213':34354
  • '18#.#5.240.64':34354
  • '75.##.11.170':34354
  • '71.#8.54.75':34354
  • '24.##2.237.196':34354
  • '24.#0.114.7':34354
  • '21#.#11.151.15':34354
  • '71.##.111.192':34354
  • '18#.#87.8.251':34354
  • '74.##2.206.57':34354
  • '76.##6.172.87':34354
  • '99.##.140.190':34354
  • '75.##1.173.242':34354
  • '76.#8.44.45':34354
  • '41.#13.10.5':34354
  • '95.#8.83.82':34354
  • '68.##3.226.122':34354
  • '46.##3.210.57':34354
  • '15#.#3.157.148':34354
  • '99.##.40.142':34354
  • 'pr####.fling.com':80
  • '17#.#2.190.142':80
  • '65.##.68.202':34354
  • '71.##7.235.104':34354
  • '71.#4.20.67':34354
  • '69.##4.209.165':34354
  • '93.#5.33.70':34354
  • '69.##9.226.199':34354
  • '46.##6.85.16':34354
  • '86.##7.18.202':34354
  • '19#.#7.250.94':34354
  • '72.##.181.158':34354
  • '75.##.162.142':34354
  • '93.##.133.254':34354
  • '76.##.125.215':34354
  • '37.##.128.145':34354
  • '1.##.184.240':34354
  • '85.##0.54.134':34354
  • '20#.#15.189.216':34354
  • '71.##.178.191':34354
  • '76.##3.78.175':34354
  • '98.##7.101.50':34354
  • '24.#.138.212':34354
  • '74.##.107.234':34354
  • '72.##1.65.72':34354
  • '88.##5.193.66':34354
  • '76.##1.18.46':34354
  • '74.##3.149.251':34354
  • '10#.#.78.231':34354
  • '76.##.10.232':34354
  • '24.##.243.45':34354
  • '21#.#5.178.185':34354
  • '89.#3.61.68':34354
  • '17#.#8.179.68':34354
  • '12#.#45.137.242':34354
  • '19#.#5.105.16':34354
  • '76.##0.182.156':34354
  • '72.##6.39.26':34354
  • '68.##9.218.204':34354
  • '75.##8.218.7':34354
  • '93.##.203.28':34354
  • '24.##.124.194':34354
  • '69.##7.216.112':34354
  • '24.#9.77.12':34354
  • '24.##5.194.134':34354
  • '12.##0.136.118':34354
  • '75.##8.88.226':34354
  • '62.##1.182.211':34354
  • '76.##5.40.254':34354
  • '76.##0.21.98':34354
  • '98.##1.250.144':34354
  • '93.##2.55.106':34354
  • '76.##3.122.26':34354
  • '46.##2.42.41':34354
  • '17#.#1.101.230':34354
  • '75.##0.112.161':34354
  • '11#.#72.23.71':34354
  • '50.##8.220.135':34354
  • '65.##.94.141':34354
  • '68.##.24.117':34354
  • '17#.#4.111.38':34354
  • '69.##2.109.191':34354
  • '24.##4.133.165':34354
  • '68.##2.93.214':34354
  • '95.##.48.135':34354
  • '70.##1.235.31':34354
  • '24.#1.41.82':34354
  • '10#.#00.222.51':34354
  • '68.##2.19.133':34354
  • '68.##.223.162':34354
  • '68.##.99.145':34354
  • '17#.#33.108.235':34354
  • '85.##9.216.130':34354
  • '75.##1.6.100':34354
  • '69.#77.3.5':34354
  • '78.##.117.204':34354
  • '93.##8.228.102':34354
  • '72.##2.213.165':34354
  • '68.#.214.236':34354
  • '76.#1.4.33':34354
  • '99.##.111.23':34354
  • '71.##3.123.213':34354
  • '98.##.130.154':34354
  • '68.#.240.191':34354
  • '18#.#0.247.88':34354
  • '75.##.66.213':34354
  • '68.##2.116.45':34354
TCP:
Запросы HTTP GET:
  • 17#.#2.190.142/stat2.php?w=#############################################
  • 17#.#2.190.142/stat2.php?w=############################################
  • pr####.fling.com/geo/txt/city.php
UDP:
  • DNS ASK z#9Px�
  • DNS ASK z#7�
  • DNS ASK z#�n_g
  • DNS ASK z#� �
  • DNS ASK z#�Z&
  • DNS ASK z#o�}�
  • DNS ASK z#����
  • DNS ASK z#`2�
  • DNS ASK z#�IU
  • DNS ASK z#C�4
  • DNS ASK pr####.fling.com
  • DNS ASK z#Zu�
  • DNS ASK z#6�7
  • DNS ASK z#�K�
  • DNS ASK z#UڗN
  • '8.#.8.8':1036

Рекомендации по лечению

  1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
  2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Демо бесплатно

 

Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

Демо бесплатно

 

Скачать Dr.Web

По серийному номеру

Скачать Dr.Web с Apple Store

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Демо бесплатно

 

Скачать Dr.Web

По серийному номеру

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке

Скачать с сайта
Скачать с Google Play