ПОЛЬЗОВАТЕЛЯМ

Закрыть

Поиск

Поиск

Поддержка
Круглосуточная поддержка

Напишите

Запрос через форму

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Напишите

Задать вопрос в поддержку

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

BY

RU CN DE EN ES FR IT JP KZ UZ PL BY
Закрыть
Сервисы
Сканеры
Dr.Web vxCube
Демо
Экспертиза ВКИ
Вирусная библиотека
База знаний

Технологии

Термины

Обучение и просвещение

Мифы

Новости

BackDoor.Maxplus.2389

Добавлен в вирусную базу Dr.Web: 2012-02-10

Описание добавлено:

Техническая информация

Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000002] 'PackedCatalogItem' = ''
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000003] 'PackedCatalogItem' = ''
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000004] 'PackedCatalogItem' = ''
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000001] 'LibraryPath' = 'mswsock.dll'
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000003] 'LibraryPath' = 'mswsock.dll'
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000001] 'PackedCatalogItem' = ''
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000005] 'PackedCatalogItem' = ''
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000009] 'PackedCatalogItem' = ''
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000010] 'PackedCatalogItem' = ''
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000011] 'PackedCatalogItem' = ''
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000006] 'PackedCatalogItem' = ''
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000007] 'PackedCatalogItem' = ''
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000008] 'PackedCatalogItem' = ''
Создает следующие сервисы:
  • [<HKLM>\SYSTEM\ControlSet001\Services\.afd] 'ImagePath' = '\?'
Вредоносные функции:
Внедряет код в
следующие системные процессы:
  • <SYSTEM32>\winlogon.exe
  • %WINDIR%\Explorer.EXE
Изменения в файловой системе:
Создает следующие файлы:
  • %WINDIR%\$NtUninstallKB27979$\4121336045\@
  • %WINDIR%\$NtUninstallKB27979$\4121336045\cfg.ini
  • %WINDIR%\$NtUninstallKB27979$\4121336045\Desktop.ini
  • %WINDIR%\$NtUninstallKB27979$\4121336045\L\alehhooo
Самоудаляется.
Сетевая активность:
Подключается к:
  • '71.##3.220.17':34354
  • '2.##.137.13':34354
  • '75.##1.231.194':34354
  • '69.##1.174.34':34354
  • '46.##.32.238':34354
  • '10#.#3.174.75':34354
  • '74.##5.116.239':34354
  • '17#.#03.222.178':34354
  • '24.#.0.2':34354
  • '11#.#42.132.55':34354
  • '17#.#4.125.113':34354
  • '67.##8.41.24':34354
  • '92.##5.57.70':34354
  • '17#.#26.234.103':34354
  • '67.##7.214.67':34354
  • '66.#9.92.46':34354
  • '76.#08.1.64':34354
  • '17#.#71.15.143':34354
  • '68.#.140.66':34354
  • '78.##.150.84':34354
  • '10#.#62.108.107':34354
  • '68.##.237.30':34354
  • '98.##8.108.160':34354
  • '72.##4.145.205':34354
  • '65.##1.142.180':34354
  • '88.##3.190.139':34354
  • '71.##6.132.94':34354
  • '14#.#69.250.196':34354
  • '72.##7.106.92':34354
  • '99.##.176.82':34354
  • '68.##5.240.183':34354
  • '65.##.40.225':34354
  • '74.##.239.25':34354
  • '72.##7.30.222':34354
  • '76.##6.180.26':34354
  • '98.##6.64.209':34354
  • '68.##.136.253':34354
  • '92.##.60.122':34354
  • '87.##0.42.20':34354
  • '24.##.171.96':34354
  • '46.##3.168.88':34354
  • '18#.#9.119.34':34354
  • '98.##3.158.156':34354
  • '83.#7.103.0':34354
  • '68.##.232.198':34354
  • '68.#.48.31':34354
  • '17#.#85.253.195':34354
  • '74.##3.253.108':34354
  • '68.##8.166.58':34354
  • '75.##2.115.141':34354
  • '75.##2.222.47':34354
  • '76.##.115.48':34354
  • '71.##.76.192':34354
  • '76.##5.199.212':34354
  • '17#.#6.43.111':34354
  • '18#.#30.18.113':34354
  • '12#.#45.129.213':34354
  • '98.##7.91.24':34354
  • '17#.#0.102.103':34354
  • '87.#10.96.8':34354
  • '17#.#.11.195':34354
  • '24.##.48.183':34354
  • '24.##.117.230':34354
  • '70.##9.36.199':34354
  • '75.##6.84.252':34354
  • '18#.#15.176.153':34354
  • '97.##.40.228':34354
  • '84.##.138.181':34354
  • '75.##8.21.101':34354
  • '89.##3.22.236':34354
  • '24.#.117.71':34354
  • '70.##.254.207':34354
  • '17#.#4.103.71':34354
  • '70.##0.233.93':34354
  • '76.##.248.231':34354
  • '24.##0.153.138':34354
  • '24.##2.127.106':34354
  • '68.##.82.216':34354
  • '24.##.206.54':34354
  • '98.#0.73.56':34354
  • '10#.#0.80.252':34354
  • '75.##5.75.39':34354
  • '76.##8.50.134':34354
  • '98.##3.143.5':34354
  • '72.#25.43.7':34354
  • '67.##7.241.125':34354
  • '24.##.152.118':34354
  • '72.##7.215.2':34354
  • '72.#18.54.5':34354
  • '10#.#2.95.33':34354
  • '71.##4.75.104':34354
  • '18#.40.0.27':34354
  • '10#.85.4.83':34354
  • '18#.#70.170.250':34354
  • '50.#3.99.31':34354
  • '87.##5.94.240':34354
  • '72.##5.6.132':34354
  • '98.##2.227.234':34354
  • '18#.#7.64.25':34354
  • '76.##0.33.251':34354
  • '64.##1.248.204':34354
  • '18#.#37.91.254':34354
  • '72.##0.95.68':34354
  • '98.##6.4.103':34354
  • '68.##0.186.184':34354
  • '18#.#3.54.193':34354
  • '17#.#4.35.120':34354
  • '97.##2.238.169':34354
  • '98.##1.147.213':34354
  • '76.##7.240.180':34354
  • '80.##2.83.117':34354
  • '76.##7.29.179':34354
  • '93.#5.33.70':34354
  • '19#.#46.214.127':34354
  • '19#.#1.96.10':34354
  • '68.##1.51.87':34354
  • '17#.#.98.204':34354
  • '98.##7.66.137':34354
  • '67.##2.97.41':34354
  • '67.##1.29.12':34354
  • '41.##.66.205':34354
  • '24.##.92.235':34354
  • '68.##.110.242':34354
  • '21#.#38.254.35':34354
  • '20#.#14.105.69':34354
  • '50.##.128.67':34354
  • '18#.#37.207.121':34354
  • '18#.#5.155.104':34354
  • '99.##5.74.78':34354
  • '75.##6.72.136':34354
  • '19#.#3.170.174':34354
  • '18#.#2.123.84':34354
  • '50.##.66.147':34354
  • '10.##.227.22':34354
  • '93.##.120.171':34354
  • '76.##7.223.9':34354
  • '84.##1.189.210':34354
  • '10.##.13.230':34354
  • '71.#0.35.24':34354
  • '67.#43.40.3':34354
  • '18#.#7.194.140':34354
  • '98.##8.224.160':34354
  • '92.##5.181.134':34354
  • '17#.#7.243.208':34354
  • '68.##0.69.172':34354
  • '20#.#20.200.211':34354
  • '68.##1.81.189':34354
  • '24.##1.62.235':34354
  • '98.#9.31.94':34354
  • '24.##.146.17':34354
  • '17#.#0.19.84':34354
  • '17#.#8.71.44':34354
  • '76.##.118.200':34354
  • '18#.#9.79.232':34354
  • '71.##3.123.138':34354
  • '17#.#7.28.218':34354
  • '18#.#94.214.185':34354
  • '50.##.142.174':34354
  • '17#.#17.0.92':34354
  • '66.##8.136.17':34354
  • '83.##3.197.224':34354
  • '70.##3.207.75':34354
  • '68.#6.1.79':34354
  • '66.##6.234.77':34354
  • '68.##6.180.220':34354
  • '93.##7.94.23':34354
  • '79.##2.53.60':34354
  • '93.##.115.92':34354
  • '24.#.111.55':34354
  • '74.##.67.254':34354
  • '68.#7.52.33':34354
  • 'pr####.fling.com':80
  • '17#.#2.190.142':80
  • '24.##.40.197':34354
  • '69.##8.254.61':34354
  • '68.#5.15.35':34354
  • '85.##9.131.246':34354
  • '98.##4.252.7':34354
  • '2.#.49.107':34354
  • '19#.#8.85.200':34354
  • '70.##8.46.213':34354
  • '31.##1.69.54':34354
  • '50.##3.81.53':34354
  • '10#.#28.160.144':34354
  • '18#.#4.56.250':34354
  • '20#.#74.98.50':34354
  • '17#.#5.79.242':34354
  • '13#.#21.154.136':34354
  • '99.#6.94.59':34354
  • '95.##.227.69':34354
  • '10#.#85.148.129':34354
  • '18#.#92.125.36':34354
  • '67.##1.16.207':34354
  • '98.##2.34.188':34354
  • '24.##.222.67':34354
  • '69.##0.194.34':34354
  • '50.##6.80.40':34354
  • '75.#6.56.10':34354
  • '75.##5.142.18':34354
  • '17#.#16.103.84':34354
  • '99.##5.126.238':34354
  • '13#.#0.250.70':34354
  • '70.##3.169.8':34354
  • '24.##2.153.210':34354
  • '17#.#1.154.9':34354
  • '17#.#4.34.51':34354
  • '98.##2.221.146':34354
  • '85.##4.24.26':34354
  • '50.##.192.19':34354
  • '98.##6.130.186':34354
  • '68.##.69.228':34354
  • '69.##1.15.103':34354
  • '46.##2.177.96':34354
  • '68.##2.36.183':34354
  • '72.##.181.191':34354
  • '76.##0.167.146':34354
  • '98.##1.142.83':34354
  • '17#.#7.54.72':34354
  • '10#.#04.162.104':34354
  • '15#.#1.149.73':34354
  • '12#.#35.33.137':34354
  • '76.##9.50.233':34354
  • '75.##.104.113':34354
  • '69.##1.56.127':34354
  • '20#.#0.24.190':34354
  • '24.##.24.180':34354
  • '72.##9.154.209':34354
  • '98.#46.8.65':34354
  • '68.##.16.240':34354
  • '20#.#99.132.31':34354
  • '17#.#18.52.224':34354
  • '24.##6.181.106':34354
  • '17#.#34.237.206':34354
  • '69.##5.196.42':34354
  • '71.##.100.204':34354
  • '50.##.196.246':34354
  • '98.##0.101.111':34354
  • '98.##0.42.229':34354
  • '98.##7.54.106':34354
  • '46.##8.103.53':34354
  • '96.##.160.121':34354
  • '98.##7.47.81':34354
  • '10#.#0.240.104':34354
  • '17#.#4.38.244':34354
  • '98.##0.135.14':34354
  • '70.##1.197.231':34354
  • '16#.#32.13.177':34354
  • '18#.#9.41.234':34354
  • '17#.#3.242.105':34354
  • '71.##1.39.182':34354
  • '70.##5.171.33':34354
  • '68.##9.213.19':34354
  • '18#.#31.57.162':34354
  • '17#.#17.123.28':34354
  • '67.##6.79.21':34354
  • '24.##.214.168':34354
  • '18#.#01.27.209':34354
  • '2.###.242.225':34354
TCP:
Запросы HTTP GET:
  • 17#.#2.190.142/stat2.php?w=#############################################
  • 17#.#2.190.142/stat2.php?w=############################################
  • pr####.fling.com/geo/txt/city.php
UDP:
  • DNS ASK z#���
  • DNS ASK z#���
  • DNS ASK z#�5r
  • DNS ASK z#+���
  • DNS ASK z#G103
  • DNS ASK z#�
  • DNS ASK z#$��
  • DNS ASK z#֠X�
  • DNS ASK z#�#@
  • DNS ASK z#���!
  • DNS ASK pr####.fling.com
  • DNS ASK z#�Dz
  • DNS ASK z#�M]
  • DNS ASK z#r���
  • DNS ASK z#�h�[
  • '8.#.8.8':1035

Рекомендации по лечению

  1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
  2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Демо бесплатно

 

Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

Демо бесплатно

 

Скачать Dr.Web

По серийному номеру

Скачать Dr.Web с Apple Store

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Демо бесплатно

 

Скачать Dr.Web

По серийному номеру

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке

Скачать с сайта
Скачать с Google Play