BackDoor.Maxplus.196

Добавлен в вирусную базу Dr.Web: 2011-10-25

Описание добавлено: 2011-10-26

Техническая информация

Для обеспечения автозапуска и распространения:

Модифицирует следующие ключи реестра:

[<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Shell' = '<LS_APPDATA>\a72a1ac3\X'

Создает следующие сервисы:

[<HKLM>\SYSTEM\ControlSet001\Services\.ipsec] 'ImagePath' = '\?'

Вредоносные функции:

Создает и запускает на исполнение:

<LS_APPDATA>\a72a1ac3\X

Запускает на исполнение:

%WINDIR%\explorer.exe

Внедряет код в

следующие системные процессы:

<SYSTEM32>\winlogon.exe
%WINDIR%\Explorer.EXE

Изменения в файловой системе:

Создает следующие файлы:

<LS_APPDATA>\a72a1ac3\X
<LS_APPDATA>\a72a1ac3\@

Самоудаляется.

Сетевая активность:

Подключается к:

'14.##.151.78':21810
'21#.#2.34.105':21810
'2.###.246.64':21810
'11#.#84.17.114':21810
'89.##.139.198':21810
'95.##.124.40':21810
'11#.#41.135.238':21810
'10.##5.118.129':21810
'93.##3.170.232':21810
'98.##1.148.84':21810
'18#.#96.148.141':21810
'79.##2.124.140':21810
'21#.#3.147.46':21810
'10.##1.12.102':21810
'31.##1.21.31':21810
'70.##6.96.79':21810
'12#.#23.46.228':21810
'10.##0.117.43':21810
'85.##0.69.187':21810
'95.##.130.22':21810
'83.##6.217.20':21810
'90.##1.55.46':21810
'20#.#48.51.236':21810
'89.##.52.154':21810
'46.##4.246.106':21810
'11#.#32.89.210':21810
'18#.#7.243.133':21810
'20#.#39.42.90':21810
'19#.#8.115.236':21810
'79.##6.116.60':21810
'20#.#64.57.28':21810
'11#.#18.236.137':21810
'2.##.246.158':21810
'19#.#97.153.251':21810
'84.##1.150.228':21810
'18#.22.62.6':21810
'95.##.248.32':21810
'89.##6.201.29':21810
'17#.#4.245.52':21810
'17#.4.1.131':21810
'11#.#02.59.7':21810
'31.##0.6.250':21810
'20#.#22.39.185':21810
'86.##5.190.74':21810
'18#.#18.87.65':21810
'84.##4.255.144':21810
'79.##4.77.250':21810
'68.##7.114.44':21810
'2.###.33.202':21810
'2.##4.8.81':21810
'11#.#98.195.234':21810
'85.##.202.103':21810
'89.##.165.12':21810
'78.##.131.197':21810
'95.##.78.192':21810
'17#.#9.4.222':21810
'49.##1.106.101':21810
'31.#7.12.61':21810
'75.##8.152.235':21810
'18#.#8.193.238':21810
'17#.#22.131.62':21810
'89.##.15.151':21810
'11#.#12.73.236':21810
'19#.#06.10.11':21810
'89.##8.54.229':21810
'11#.#60.149.72':21810
'79.##8.39.127':21810
'79.##5.8.114':21810
'18#.#15.14.123':21810
'17#.#4.242.191':21810
'19#.#4.70.62':21810
'95.##4.161.167':21810
'17#.#57.165.13':21810
'11#.#2.74.104':21810
'18#.#6.150.163':21810
'83.##9.127.24':21810
'11#.#06.225.19':21810
'83.##.213.211':21810
'92.##4.123.121':21810
'79.##4.125.75':21810
'20#.#65.186.169':21810
'17#.2.24.5':21810
'91.##.159.239':21810
'92.##5.199.125':21810
'83.##9.157.98':21810
'89.#4.74.46':21810
'19#.#1.170.138':21810
'10#.#0.199.130':21810
'10#.#53.81.254':21810
'19#.#9.78.81':21810
'66.#68.5.43':21810
'18#.#54.114.148':21810
'19#.#27.136.254':21810
'10#.#05.20.120':21810
'89.##.243.225':21810
'18#.#04.164.22':21810
'99.##3.127.244':21810
'81.#.177.155':21810
'17#.#22.122.101':21810
'19#.#7.16.118':21810
'78.##.28.122':21810
'93.##4.228.199':21810
'17#.#57.186.219':21810
'11#.#6.141.75':21810
'79.##1.126.127':21810
'79.##6.46.203':21810
'94.##.30.221':21810
'18#.#78.148.93':21810
'93.##5.231.252':21810
'86.##5.243.125':21810
'20#.#6.87.188':21810
'18#.#.247.182':21810
'17#.#8.57.199':21810
'85.##8.247.239':21810
'79.##6.152.21':21810
'89.##.133.15':21810
'18#.#8.185.231':21810
'89.#76.2.55':21810
'27.##.49.150':21810
'71.##1.132.112':21810
'11#.#93.132.115':21810
'69.##.115.251':21810
'11#.#84.206.141':21810
'17#.#9.13.100':21810
'79.##5.63.154':21810
'86.##.27.140':21810
'19#.#12.121.195':21810
'24.##.252.61':21810
'94.##6.215.237':21810
'85.##.40.242':21810
'20#.#5.222.70':21810
'18#.#34.75.23':21810
'18#.#3.142.40':21810
'11#.#99.64.90':21810
'18#.#5.199.229':21810
'41.##1.87.11':21810
'18#.#6.209.139':21810
'93.##3.43.58':21810
'24.##.100.211':21810
'95.##.252.70':21810
'89.#8.87.96':21810
'89.##0.203.137':21810
'10#.#75.230.106':21810
'17#.#7.232.3':21810
'18#.#0.207.192':21810
'20#.#64.192.29':21810
'95.##.59.155':21810
'17#.#63.70.28':21810
'11#.#00.182.173':21810
'60.##9.182.130':21810
'11#.#19.200.81':21810
'17#.#41.113.19':21810
'19#.#00.48.200':21810
'11#.#15.39.21':21810
'46.##4.86.79':21810
'90.##3.65.44':21810
'10.##5.210.42':21810
'95.##.165.143':21810
'11#.#9.54.134':21810
'11#.#00.230.41':21810
'19#.#39.140.172':21810
'93.#4.51.70':21810
'21#.#61.124.44':21810
'76.##7.44.31':21810
'79.##9.126.164':21810
'79.##3.176.41':21810
'46.##.108.193':21810
'86.##4.225.23':21810
'93.##3.63.159':21810
'11#.#3.71.148':21810
'19#.#05.135.219':21810
'19#.#05.154.210':80
'16#.#16.123.57':21810
'27.##4.28.175':21810
'18#.#55.78.128':21810
'19#.#5.116.199':21810
'93.##5.165.11':21810
'94.##6.58.70':21810
'58.##.149.111':21810
'46.##7.109.232':21810
'93.##4.222.173':21810
'49.##6.112.17':21810
'18#.#37.32.254':21810
'31.##3.93.158':21810
'20#.#.158.101':21810
'18#.#3.142.212':21810
'20#.#79.86.230':21810
'79.##6.20.238':21810
'89.#2.98.78':21810
'83.#.118.82':21810
'49.#.150.18':21810
'89.##.99.211':21810
'89.##.86.148':21810
'86.#7.28.86':21810
'11#.#01.117.19':21810
'18#.#4.222.135':21810
'11#.#9.218.131':21810
'79.##3.72.126':21810
'19#.#11.120.110':21810
'12#.#37.212.85':21810
'18#.#1.169.148':21810
'21#.#26.226.40':21810
'18#.#5.70.49':21810
'11#.#41.129.229':21810
'16#.#87.249.82':21810
'18#.#10.243.83':21810
'92.#3.48.36':21810
'79.##9.110.101':21810
'59.##.113.133':21810
'17#.#1.184.173':21810
'18#.#7.98.69':21810
'12#.#1.214.84':21810
'17#.#55.192.70':21810
'92.##.153.95':21810
'91.##7.147.186':21810
'14.#9.74.1':21810
'95.##.245.230':21810
'49.##.122.104':21810
'11#.#94.230.255':21810
'18#.#32.141.80':21810
'17#.#22.48.139':21810
'21#.#.136.167':21810
'79.##3.36.101':21810
'17#.#37.184.163':21810
'19#.#99.113.38':21810
'14.##.35.128':21810
'11#.#16.75.78':21810
'95.##.106.20':21810
'49.##.130.132':21810
'10.##3.61.91':21810
'77.#35.3.33':21810
'79.##4.193.90':21810
'98.##.211.54':21810
'11#.#0.248.194':21810
'85.##.228.169':21810
'95.##6.22.208':21810
'11#.#52.40.189':21810
'41.##1.58.104':21810
'46.##4.53.73':21810
'83.##3.202.28':21810
'18#.#4.112.196':21810
'18#.#95.64.248':21810
'13#.#4.28.128':21810
'11#.#7.11.59':21810
'86.##7.172.112':21810
'21#.#29.147.54':21810
'31.#30.4.84':21810
'21#.#1.242.163':21810
'79.##7.238.52':21810
'89.##5.95.74':21810
'46.##6.166.235':21810
'95.##.216.180':21810
'46.##.30.227':21810
'79.##3.21.31':21810
'78.##.15.119':21810
'11#.#84.54.147':21810
'92.##4.211.30':21810

TCP:

Запросы HTTP GET:

19#.#05.154.210/bad.php?w=#############################################
19#.#05.154.210/stat2.php?w=##########################################
19#.#05.154.210/stat2.php?w=###########################################

Технологии

Термины

Обучение и просвещение

Мифы

Техническая информация

Рекомендации по лечению

Демо бесплатно на 14 дней