Защити созданное

Другие наши ресурсы

  • free.drweb.kz — бесплатные утилиты, плагины, информеры
  • av-desk.com — интернет-сервис для поставщиков услуг Dr.Web AV-Desk
  • curenet.drweb.kz — сетевая лечащая утилита Dr.Web CureNet!
Закрыть

Библиотека
Моя библиотека

Чтобы добавить ресурс в библиотеку, войдите в аккаунт.

+ Добавить в библиотеку

Ресурсов: -

Последний: -

Моя библиотека

Поиск
Поиск

Поиск

Поддержка
Круглосуточная поддержка | Правила обращения

Напишите

Запрос через форму

Позвоните

Глобальная поддержка:
+7 (495) 789-45-86

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -
Создать новый запрос Частые вопросы

Позвоните

Глобальная поддержка:
+7 (495) 789-45-86

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

KZ

RU CN DE EN ES FR IT JP KZ UZ PL BY
Закрыть
Сервисы
Сканеры
Dr.Web vxCube
Демо
Экспертиза ВКИ
Вирусная библиотека
База знаний

Технологии

Термины

Обучение и просвещение

Мифы

Новости

BackDoor.Maxplus.1743

Добавлен в вирусную базу Dr.Web: 2012-01-25

Описание добавлено:

Техническая информация

Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000002] 'PackedCatalogItem' = ''
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000003] 'PackedCatalogItem' = ''
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000004] 'PackedCatalogItem' = ''
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000001] 'LibraryPath' = 'mswsock.dll'
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000003] 'LibraryPath' = 'mswsock.dll'
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000001] 'PackedCatalogItem' = ''
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000005] 'PackedCatalogItem' = ''
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000009] 'PackedCatalogItem' = ''
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000010] 'PackedCatalogItem' = ''
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000011] 'PackedCatalogItem' = ''
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000006] 'PackedCatalogItem' = ''
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000007] 'PackedCatalogItem' = ''
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000008] 'PackedCatalogItem' = ''
Создает следующие сервисы:
  • [<HKLM>\SYSTEM\ControlSet001\Services\.netbt] 'ImagePath' = '\?'
Вредоносные функции:
Внедряет код в
следующие системные процессы:
  • <SYSTEM32>\winlogon.exe
  • %WINDIR%\Explorer.EXE
Изменения в файловой системе:
Создает следующие файлы:
  • %WINDIR%\$NtUninstallKB27979$\4121336045\@
  • %WINDIR%\$NtUninstallKB27979$\4121336045\cfg.ini
  • %WINDIR%\$NtUninstallKB27979$\4121336045\Desktop.ini
  • %WINDIR%\$NtUninstallKB27979$\4121336045\L\alehhooo
Сетевая активность:
Подключается к:
  • '18#.#52.31.244':34354
  • '71.##.232.86':34354
  • '67.##.171.235':34354
  • '75.##7.240.64':34354
  • '75.##.94.165':34354
  • '67.##9.91.166':34354
  • '93.##.165.111':34354
  • '24.#4.21.64':34354
  • '67.##9.241.101':34354
  • '17#.#07.122.67':34354
  • '76.##.134.176':34354
  • '68.##.143.247':34354
  • '96.##.141.197':34354
  • '99.##7.178.12':34354
  • '80.##.160.83':34354
  • '76.##1.147.14':34354
  • '75.##1.0.144':34354
  • '64.##3.120.156':34354
  • '89.##2.118.210':34354
  • '17#.#18.235.134':34354
  • '1.##.113.26':34354
  • '89.#6.28.25':34354
  • '17#.#2.226.42':34354
  • '68.##.128.127':34354
  • '14#.#33.200.75':34354
  • '17#.#7.163.91':34354
  • '66.##.92.123':34354
  • '67.##7.239.166':34354
  • '76.#2.9.192':34354
  • '75.##4.202.187':34354
  • '17#.#9.43.75':34354
  • '75.##5.128.194':34354
  • '17#.#8.201.106':34354
  • '79.##6.146.12':34354
  • '68.##.76.228':34354
  • '68.#04.0.44':34354
  • '19#.#49.89.117':34354
  • '74.##2.177.176':34354
  • '24.##3.155.111':34354
  • '17#.#02.45.104':34354
  • '17#.#34.164.72':34354
  • '88.##.176.119':34354
  • '24.##.45.172':34354
  • '46.#5.1.142':34354
  • '74.##4.19.103':34354
  • '72.##7.115.118':34354
  • '98.##6.114.121':34354
  • '15#.#24.149.190':34354
  • '18#.#87.174.249':34354
  • '67.##.198.77':34354
  • '89.##9.106.241':34354
  • '46.##3.237.242':34354
  • '69.##5.248.69':34354
  • '18#.#4.25.210':34354
  • '98.##.187.62':34354
  • '13#.#04.136.163':34354
  • '79.##3.212.142':34354
  • '24.##6.67.163':34354
  • '66.##9.244.160':34354
  • '24.#6.0.234':34354
  • '69.##5.121.144':34354
  • '68.#.185.125':34354
  • '10#.#4.156.123':34354
  • '67.##2.253.62':34354
  • '50.##8.235.113':34354
  • '75.##3.56.240':34354
  • '50.##.157.67':34354
  • '69.##3.21.136':34354
  • '87.#.66.68':34354
  • '18#.#63.91.159':34354
  • '79.##0.172.213':34354
  • '92.##3.112.19':34354
  • '12#.#8.35.62':34354
  • '21#.#11.150.75':34354
  • '20#.#32.106.134':34354
  • '95.##5.16.81':34354
  • '11#.#3.54.105':34354
  • '65.##.247.93':34354
  • '65.##4.192.23':34354
  • '68.##.29.151':34354
  • '95.##.192.87':34354
  • '97.##.192.70':34354
  • '71.##6.3.179':34354
  • '10#.#05.233.84':34354
  • '99.#2.36.9':34354
  • '95.##.99.176':34354
  • '15#.#7.56.106':34354
  • '98.##3.85.216':34354
  • '90.##.193.248':34354
  • '79.##1.152.252':34354
  • '10#.89.9.84':34354
  • '72.##8.3.150':34354
  • '93.##2.166.102':34354
  • '79.##.132.28':34354
  • '64.##.195.204':34354
  • '99.##9.174.212':34354
  • '14#.#16.30.23':34354
  • '75.##.28.126':34354
  • '12#.#47.30.134':34354
  • '68.##7.202.249':34354
  • '83.##5.242.208':34354
  • '68.##.65.218':34354
  • '17#.#.182.67':34354
  • '98.##8.43.96':34354
  • '24.#4.44.40':34354
  • '24.##6.207.136':34354
  • '83.##5.187.215':34354
  • '65.#6.71.47':34354
  • '93.##.140.17':34354
  • '21#.#21.77.145':34354
  • '70.##0.167.164':34354
  • '98.#03.91.3':34354
  • '75.#55.72.2':34354
  • '99.#57.4.19':34354
  • '77.##1.2.187':34354
  • '15#.#5.151.148':34354
  • '24.##.207.178':34354
  • '93.##4.252.74':34354
  • '17#.#14.237.83':34354
  • '70.#7.37.18':34354
  • '39.##9.86.85':34354
  • '24.##6.230.69':34354
  • '19#.#2.138.10':34354
  • '24.#1.87.78':34354
  • '70.##6.15.168':34354
  • '15#.#7.134.81':34354
  • '79.##3.255.210':34354
  • '50.##.24.205':34354
  • '81.##4.71.171':34354
  • '74.##.54.191':34354
  • '24.#3.73.78':34354
  • '76.##.124.237':34354
  • '68.##8.222.173':34354
  • '71.##.97.225':34354
  • '18#.#91.215.58':34354
  • '99.##0.251.35':34354
  • '91.##9.60.49':34354
  • '24.#.50.109':34354
  • '17#.#8.237.99':34354
  • '17#.#74.157.43':34354
  • '15#.#0.196.106':34354
  • '24.##5.137.112':34354
  • '67.##9.197.249':34354
  • '24.##.122.148':34354
  • '2.##3.4.2':34354
  • '89.##6.180.220':34354
  • '74.##6.175.148':34354
  • '70.#0.18.77':34354
  • '46.##.14.188':34354
  • '19#.#88.163.37':34354
  • '17#.#1.62.40':34354
  • '17#.#34.253.169':34354
  • '68.##.178.239':34354
  • '91.##4.234.153':34354
  • '17#.#4.81.252':34354
  • '31.##.230.215':34354
  • '76.##5.8.191':34354
  • '13#.#85.47.239':34354
  • '79.##9.39.115':34354
  • '72.##0.94.143':34354
  • '75.##4.20.189':34354
  • '98.##8.213.24':34354
  • '20#.#95.20.212':34354
  • '88.##5.17.71':34354
  • '84.##0.214.84':34354
  • '66.##9.156.218':34354
  • '65.#6.76.16':34354
  • '20#.#.61.163':34354
  • '86.##1.23.31':34354
  • '97.#7.62.95':34354
  • '15#.#7.8.224':34354
  • 'pr####.fling.com':80
  • '79.##7.237.87':80
  • '82.##.191.224':34354
  • '21#.#3.125.249':34354
  • '74.##.115.176':34354
  • '24.#.32.44':34354
  • '76.##.254.138':34354
  • '24.#9.77.12':34354
  • '17#.#12.220.180':34354
  • '65.##6.200.40':34354
  • '18#.#03.113.225':34354
  • '71.##.176.205':34354
  • '93.##3.232.62':34354
  • '75.#0.28.18':34354
  • '17#.#02.30.74':34354
  • '70.##4.42.143':34354
  • '75.##3.245.74':34354
  • '24.##.102.196':34354
  • '76.##5.48.41':34354
  • '24.##3.148.150':34354
  • '93.#5.33.70':34354
  • '90.#.251.87':34354
  • '21#.#29.66.31':34354
  • '24.##0.144.101':34354
  • '76.#1.5.234':34354
  • '75.##9.152.236':34354
  • '95.##2.224.96':34354
  • '67.##.181.55':34354
  • '83.##.201.230':34354
  • '76.##1.154.102':34354
  • '68.##.91.103':34354
  • '24.##6.220.0':34354
  • '88.##8.34.148':34354
  • '94.##.76.210':34354
  • '75.##3.144.203':34354
  • '24.##.241.144':34354
  • '77.##2.174.87':34354
  • '17#.#3.147.155':34354
  • '18#.#40.250.169':34354
  • '19#.#52.88.105':34354
  • '68.##.161.107':34354
  • '17#.#0.101.60':34354
  • '18#.#0.67.125':34354
  • '60.##4.16.209':34354
  • '99.##0.27.25':34354
  • '76.#71.0.66':34354
  • '98.#24.8.25':34354
  • '24.##8.83.176':34354
  • '17#.#1.125.90':34354
  • '98.##.43.223':34354
  • '21#.#27.231.79':34354
  • '68.##.232.198':34354
  • '64.##9.169.30':34354
  • '19#.#8.85.200':34354
  • '46.##1.132.196':34354
  • '98.##.222.82':34354
  • '71.#.52.10':34354
  • '15#.#2.124.231':34354
  • '21#.#0.82.10':34354
  • '71.##4.39.81':34354
  • '74.##.218.20':34354
  • '20#.#8.240.2':34354
  • '68.##1.135.37':34354
  • '74.##0.166.132':34354
  • '71.##9.51.20':34354
  • '17#.#2.235.132':34354
  • '69.##0.40.28':34354
  • '82.##.90.117':34354
  • '98.##1.44.33':34354
  • '17#.#26.203.206':34354
  • '94.##7.110.243':34354
  • '68.##.166.59':34354
  • '75.##5.141.9':34354
  • '15#.#4.75.199':34354
  • '17#.#9.217.81':34354
  • '76.##.111.39':34354
  • '76.##5.177.60':34354
  • '17#.#4.132.249':34354
  • '12.##2.185.144':34354
  • '24.#.239.3':34354
  • '70.##2.77.162':34354
  • '79.##9.213.41':34354
  • '87.##7.41.85':34354
  • '24.##2.68.184':34354
  • '71.##3.152.90':34354
  • '76.##3.39.209':34354
  • '67.##.157.94':34354
TCP:
Запросы HTTP GET:
  • 79.##7.237.87/stat2.php?w=#############################################
  • 79.##7.237.87/stat2.php?w=############################################
  • pr####.fling.com/geo/txt/city.php
UDP:
  • DNS ASK z#g>%
  • DNS ASK z#]Y�B
  • DNS ASK z#� *
  • DNS ASK z#�g
  • DNS ASK z#��k
  • DNS ASK z#1� �
  • DNS ASK z#�ȧ
  • DNS ASK z#>|o
  • DNS ASK z#�r
  • DNS ASK z#i�y
  • DNS ASK pr####.fling.com
  • DNS ASK z#�K
  • DNS ASK z#h�j�
  • DNS ASK z#�%��
  • DNS ASK z# ��
  • '8.#.8.8':1035

Рекомендации по лечению

  1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
  2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Демо бесплатно

 

Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

Демо бесплатно

 

Скачать Dr.Web

По серийному номеру

Скачать Dr.Web с Apple Store

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Демо бесплатно

 

Скачать Dr.Web

По серийному номеру

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке

Скачать с сайта
Скачать с Google Play