BackDoor.Maxplus.206

Добавлен в вирусную базу Dr.Web: 2011-10-26

Описание добавлено: 2011-10-26

Техническая информация

Для обеспечения автозапуска и распространения:

Модифицирует следующие ключи реестра:

[<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Shell' = '<LS_APPDATA>\a72a1ac3\X'

Создает следующие сервисы:

[<HKLM>\SYSTEM\ControlSet001\Services\a72a1ac3] 'ImagePath' = '%WINDIR%\3273271975:1490412860.exe'
[<HKLM>\SYSTEM\ControlSet001\Services\.afd] 'ImagePath' = '\?'

Вредоносные функции:

Создает и запускает на исполнение:

<LS_APPDATA>\a72a1ac3\X

Запускает на исполнение:

%WINDIR%\explorer.exe

Внедряет код в

следующие системные процессы:

<SYSTEM32>\winlogon.exe
%WINDIR%\Explorer.EXE

Изменения в файловой системе:

Создает следующие файлы:

%WINDIR%\$NtUninstallKB16918$\2804554435\L\acbrwqkz
%WINDIR%\$NtUninstallKB16918$\2804554435\@
%WINDIR%\3273271975:1490412860.exe
<LS_APPDATA>\a72a1ac3\@
<LS_APPDATA>\a72a1ac3\X

Самоудаляется.

Сетевая активность:

Подключается к:

'79.##8.38.39':21810
'59.#5.65.2':21810
'89.##4.199.7':21810
'19#.#89.33.75':21810
'12#.#35.47.76':21810
'67.##.176.77':21810
'17#.#38.163.74':21810
'92.##2.173.238':21810
'94.##.163.232':21810
'20#.#20.229.230':21810
'98.##3.133.85':21810
'79.##9.168.13':21810
'19#.#76.40.238':21810
'11#.#7.84.79':21810
'82.#70.3.80':21810
'94.##6.58.70':21810
'19#.#51.150.123':21810
'62.#1.9.117':21810
'41.##7.212.109':21810
'74.##.166.55':21810
'85.##8.109.127':21810
'46.#59.15.5':21810
'17#.#44.172.116':21810
'17#.#25.234.64':21810
'11#.#5.180.68':21810
'31.##0.83.91':21810
'11#.#9.50.79':21810
'94.##6.92.97':21810
'18#.#52.84.65':21810
'18#.#01.177.98':21810
'17#.#76.23.98':21810
'69.#0.17.37':21810
'99.##4.71.191':21810
'41.##3.64.185':21810
'41.##.65.108':21810
'71.##4.85.199':21810
'11#.#9.18.198':21810
'21#.#19.74.104':21810
'19#.#28.102.113':21810
'94.##1.133.56':21810
'17#.#76.187.126':21810
'95.##9.205.126':21810
'86.##2.148.119':21810
'17#.#68.121.184':21810
'78.##.240.181':21810
'14#.#0.28.177':21810
'95.##5.105.100':21810
'89.##.16.224':21810
'91.##2.145.222':21810
'79.##8.10.219':21810
'98.#1.12.88':21810
'85.#17.0.27':21810
'79.##7.114.14':21810
'31.#6.69.27':21810
'20#.#31.118.29':21810
'95.#2.8.67':21810
'85.##.139.66':21810
'18#.#14.35.200':21810
'87.##.191.67':21810
'79.##7.72.213':21810
'18#.#9.52.31':21810
'18#.#7.46.206':21810
'82.##3.143.128':21810
'70.##.41.226':21810
'93.##.115.23':21810
'71.#0.84.25':21810
'74.##.139.206':21810
'95.##.199.226':21810
'18#.#9.43.32':21810
'18#.#15.50.21':21810
'70.##7.83.225':21810
'11#.#1.19.213':21810
'86.##5.65.253':21810
'79.##3.174.210':21810
'79.##4.6.218':21810
'24.##8.57.225':21810
'17#.#26.241.219':21810
'75.##2.84.29':21810
'18#.#.53.204':21810
'24.##2.166.242':21810
'77.#0.62.10':21810
'27.#.131.138':21810
'77.##2.20.243':21810
'79.#13.17.6':21810
'70.##3.104.249':21810
'67.##4.115.46':21810
'86.##.27.140':21810
'92.#7.24.44':21810
'79.##5.170.42':21810
'18#.#67.45.39':21810
'91.#5.25.44':21810
'20#.#36.177.35':21810
'17#.#06.207.237':21810
'18#.#15.245.231':21810
'84.##.21.151':21810
'92.#7.64.15':21810
'94.##3.161.149':21810
'79.##9.13.153':21810
'80.##7.96.169':21810
'13#.#12.187.41':21810
'88.##9.248.159':21810
'92.##9.211.229':21810
'17#.#7.65.247':21810
'59.#5.8.6':21810
'86.#5.93.5':21810
'19#.#2.95.240':21810
'66.##9.32.230':21810
'17#.#1.37.144':21810
'19#.#13.133.238':21810
'18#.#5.70.172':21810
'11#.#97.245.16':21810
'24.##2.194.35':21810
'18#.#73.77.199':21810
'72.##5.42.17':21810
'70.##0.167.218':21810
'79.##6.79.226':21810
'46.##4.133.206':21810
'94.##3.134.194':21810
'83.##8.249.172':21810
'20#.#13.206.16':21810
'89.##.122.172':21810
'11#.#8.12.176':21810
'46.##7.155.180':21810
'50.##.252.179':21810
'11#.#9.49.177':21810
'62.##8.250.176':21810
'79.##8.211.219':21810
'19#.#62.15.154':21810
'19#.#90.39.243':21810
'11#.#19.170.219':21810
'21#.#20.206.234':21810
'67.#69.4.12':21810
'95.##2.34.38':21810
'18#.#6.36.89':21810
'10.##5.171.127':21810
'89.##6.201.29':21810
'12#.#25.159.18':21810
'93.##5.221.215':21810
'10#.#68.250.77':21810
'12#.#24.38.88':21810
'10#.4.96.23':21810
'17#.#0.25.46':21810
'89.##7.245.41':21810
'95.##.128.116':21810
'21#.#2.186.9':21810
'20#.#0.51.205':21810
'10#.#7.166.47':21810
'21#.#56.115.165':21810
'77.##.152.14':21810
'79.##1.126.127':21810
'41.##7.139.11':21810
'19#.#3.89.38':21810
'15#.75.7.88':21810
'89.##.235.169':21810
'89.##6.51.157':21810
'17#.#68.18.69':21810
'79.##8.36.209':21810
'18#.#73.168.149':21810
'24.#1.6.30':21810
'93.##.129.235':21810
'18#.#10.36.201':21810
'31.##8.200.241':21810
'41.##7.106.18':21810
'18#.#87.170.144':21810
'77.##.208.137':21810
'98.#7.23.79':21810
'94.##7.182.83':21810
'19#.#05.154.210':80
'18#.#44.80.191':21810
'85.##.199.90':21810
'93.##2.19.224':21810
'95.##6.51.243':21810
'31.##.212.249':21810
'18#.#9.82.103':21810
'64.##.60.146':21810
'98.#0.86.82':21810
'79.##9.249.167':21810
'18#.#2.11.95':21810
'83.##3.111.165':21810
'77.##2.166.46':21810
'13#.#04.192.38':21810
'21#.#6.106.178':21810
'17#.#7.168.35':21810
'79.##9.212.250':21810
'20#.#14.97.64':21810
'20#.#41.152.50':21810
'18#.#7.93.69':21810
'84.##1.41.130':21810
'83.#9.243.6':21810
'82.##8.127.86':21810
'86.##6.197.87':21810
'18#.#6.106.221':21810
'46.##8.215.13':21810
'82.##0.222.133':21810
'18#.#10.219.242':21810
'62.##.60.236':21810
'78.##1.141.223':21810
'95.##.253.90':21810
'24.##.111.32':21810
'89.##2.75.206':21810
'10#.#7.71.154':21810
'18#.#1.170.42':21810
'86.#6.34.42':21810
'17#.#56.136.90':21810
'19#.#29.79.142':21810
'92.##6.10.147':21810
'14#.#30.73.38':21810
'93.##8.240.144':21810
'78.#.99.147':21810
'79.##4.123.164':21810
'93.##3.63.159':21810
'15#.#3.127.155':21810
'19#.#.56.133':21810
'12#.#3.159.244':21810
'98.##4.157.8':21810
'19#.#9.116.47':21810
'46.##.178.249':21810
'24.##9.144.133':21810
'17#.#3.210.44':21810
'92.##.154.45':21810
'10#.#4.165.77':21810
'19#.#11.120.110':21810
'77.##1.11.237':21810
'79.##4.206.80':21810
'79.##9.163.58':21810
'79.##8.40.137':21810
'17#.#63.70.28':21810
'89.##5.110.73':21810
'19#.#94.54.128':21810
'18#.#4.91.228':21810
'13#.#1.170.198':21810
'92.##.190.42':21810
'19#.#42.119.28':21810
'79.##9.35.218':21810
'17#.#8.44.193':21810
'85.#4.4.181':21810
'17#.#8.48.99':21810
'17#.#4.12.103':21810
'20#.#.156.40':21810
'95.##1.47.39':21810
'82.##.98.204':21810
'83.##3.206.49':21810
'11#.#67.88.202':21810
'19#.#19.117.36':21810
'95.##.78.192':21810
'84.##1.69.58':21810
'79.##4.128.191':21810
'18#.#2.105.108':21810
'79.##6.242.39':21810
'10#.#31.35.1':21810
'31.#.168.173':21810

TCP:

Запросы HTTP GET:

19#.#05.154.210/stat2.php?w=#########################################
19#.#05.154.210/stat2.php?w=##########################################

Технологии

Термины

Обучение и просвещение

Мифы

Техническая информация

Рекомендации по лечению

Демо бесплатно на 14 дней