BackDoor.Maxplus.111

Добавлен в вирусную базу Dr.Web: 2011-10-18

Описание добавлено: 2011-10-18

Техническая информация

Для обеспечения автозапуска и распространения:

Модифицирует следующие ключи реестра:

[<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Shell' = '<LS_APPDATA>\a72a1ac3\X'

Создает следующие сервисы:

[<HKLM>\SYSTEM\ControlSet001\Services\a72a1ac3] 'ImagePath' = '%WINDIR%\3273271975:1490412860.exe'
[<HKLM>\SYSTEM\ControlSet001\Services\.afd] 'ImagePath' = '\?'

Вредоносные функции:

Создает и запускает на исполнение:

<LS_APPDATA>\a72a1ac3\X

Запускает на исполнение:

%WINDIR%\explorer.exe

Внедряет код в

следующие системные процессы:

<SYSTEM32>\winlogon.exe
%WINDIR%\Explorer.EXE

Изменения в файловой системе:

Создает следующие файлы:

%WINDIR%\$NtUninstallKB16918$\2804554435\L\acbrwqkz
%WINDIR%\$NtUninstallKB16918$\2804554435\@
%WINDIR%\3273271975:1490412860.exe
<LS_APPDATA>\a72a1ac3\@
<LS_APPDATA>\a72a1ac3\X

Самоудаляется.

Сетевая активность:

Подключается к:

'66.##8.195.205':21810
'17#.#1.38.87':21810
'10#.#91.18.28':21810
'17#.#18.109.190':21810
'11#.#2.94.84':21810
'1.##.174.134':21810
'64.##.60.218':21810
'20#.#3.162.70':21810
'89.##6.44.16':21810
'11#.#94.41.44':21810
'17#.#76.23.98':21810
'11#.#9.55.233':21810
'66.##.81.192':21810
'15#.#9.70.115':21810
'11#.#9.28.97':21810
'18#.#37.4.235':21810
'49.#.143.136':21810
'85.##.189.214':21810
'62.##9.113.56':21810
'78.##.20.209':21810
'17#.#5.148.204':21810
'12#.#16.253.43':21810
'27.##6.124.117':21810
'58.##.42.126':21810
'82.##6.108.26':21810
'19#.#50.75.78':21810
'66.##.168.65':21810
'24.##9.144.133':21810
'46.##4.243.211':21810
'85.#6.8.129':21810
'18#.#56.165.125':21810
'78.##.248.213':21810
'11#.#72.98.78':21810
'12#.#04.159.54':21810
'18#.#1.47.125':21810
'11#.#02.128.154':21810
'72.##.235.242':21810
'70.##0.167.218':21810
'21#.#8.187.115':21810
'10#.#27.121.7':21810
'87.#7.3.60':21810
'94.#3.80.22':21810
'14#.#36.156.19':21810
'89.##.246.57':21810
'24.#42.9.78':21810
'87.#7.69.17':21810
'31.#3.0.187':21810
'15#.#7.84.130':21810
'13#.#12.207.104':21810
'11#.#0.100.209':21810
'86.##2.171.67':21810
'89.##2.13.161':21810
'46.##.42.250':21810
'82.#9.88.76':21810
'88.##7.67.168':21810
'11#.#04.89.196':21810
'19#.#38.52.250':21810
'11#.#6.153.177':21810
'67.##.203.229':21810
'24.##.89.220':21810
'59.##.241.107':21810
'71.##6.139.5':21810
'72.##9.138.180':21810
'11#.#19.251.29':21810
'12#.#8.37.41':21810
'20#.#94.117.150':21810
'11#.#25.202.243':21810
'12#.#38.164.35':21810
'18#.#29.251.208':21810
'18#.#40.255.185':21810
'58.##5.160.20':21810
'77.##9.133.53':21810
'91.##2.159.32':21810
'18#.#4.104.146':21810
'78.##.192.245':21810
'89.##.64.243':21810
'18#.#6.75.162':21810
'19#.#94.49.194':21810
'76.##.243.191':21810
'66.##.225.114':21810
'10#.#7.192.79':21810
'69.#7.96.59':21810
'17#.#2.160.198':21810
'74.##1.240.198':21810
'10#.#95.221.75':21810
'79.##1.187.229':21810
'11#.#54.56.231':21810
'10#.#92.126.254':21810
'89.#56.3.69':21810
'11#.#9.75.234':21810
'81.##2.33.138':21810
'18#.#48.34.16':21810
'97.#0.158.9':21810
'11#.55.7.33':21810
'11#.#13.189.185':21810
'81.##.192.241':21810
'75.##8.102.118':21810
'83.##9.127.24':21810
'95.##.99.130':21810
'75.##.186.72':21810
'11#.#42.74.90':21810
'89.##.96.136':21810
'79.##8.34.129':21810
'12#.#4.163.193':21810
'18#.#58.205.195':21810
'95.##.172.100':21810
'12#.#89.72.142':21810
'20#.#.159.179':21810
'12#.#2.194.143':21810
'11#.#01.20.243':21810
'81.##3.188.241':21810
'16#.#31.40.224':21810
'10#.#00.248.200':21810
'11#.#00.241.118':21810
'24.##5.248.58':21810
'95.#8.42.99':21810
'91.##7.9.171':21810
'88.##.94.114':21810
'11#.#00.135.76':21810
'68.##.28.233':21810
'17#.#39.66.255':21810
'11#.#9.29.97':21810
'76.##9.216.55':21810
'17#.#63.70.89':21810
'18#.#.90.161':21810
'12#.#25.82.99':21810
'85.##5.78.198':21810
'89.##5.215.159':21810
'12#.#01.174.59':21810
'24.#.213.183':21810
'62.##.136.251':21810
'78.##.77.235':21810
'18#.#3.75.167':21810
'87.##.137.12':21810
'11#.#6.120.218':21810
'75.##.76.244':21810
'66.##8.19.179':21810
'94.##.84.184':21810
'41.##.163.192':21810
'12#.#8.226.86':21810
'83.##.34.190':21810
'11#.#17.178.138':21810
'22#.#24.142.196':21810
'11#.88.9.15':21810
'82.##2.62.17':21810
'67.##7.37.97':21810
'11#.#3.152.181':21810
'19#.#9.91.113':21810
'46.##4.49.231':21810
'17#.#41.141.196':21810
'11#.#2.48.71':21810
'11#.#61.81.101':21810
'18#.#.123.25':21810
'19#.#05.135.219':21810
'89.##.10.230':21810
'93.##6.80.144':21810
'85.##6.137.54':21810
'11#.#00.245.94':21810
'95.##.164.13':21810
'90.##7.17.13':21810
'77.##.117.198':21810
'18#.#15.191.96':21810
'66.##1.127.115':21810
'95.#04.2.8':21810
'12#.#0.187.238':21810
'20#.#43.1.65':21810
'11#.#01.109.42':21810
'94.##8.99.248':21810
'92.##.124.109':21810
'86.##2.229.150':21810
'17#.#68.19.134':21810
'19#.#05.154.210':80
'11#.#40.187.32':21810
'1.##.97.205':21810
'11#.#2.66.252':21810
'79.##6.17.49':21810
'10#.#33.219.97':21810
'18#.#.173.64':21810
'92.##1.209.156':21810
'18#.#5.166.39':21810
'19#.#2.47.107':21810
'79.##3.187.214':21810
'17#.#06.199.247':21810
'17#.#48.132.8':21810
'17#.#04.3.159':21810
'49.#.151.43':21810
'95.##9.205.126':21810
'49.##9.162.154':21810
'27.##7.241.255':21810
'11#.#6.159.177':21810
'79.##.169.206':21810
'27.#.120.88':21810
'77.##.135.225':21810
'20#.#3.104.35':21810
'49.##1.203.184':21810
'71.#.52.89':21810
'11#.#19.181.23':21810
'27.#07.2.68':21810
'79.##3.91.145':21810
'89.##6.93.138':21810
'94.##7.230.179':21810
'12#.#21.252.40':21810
'11#.#3.136.51':21810
'62.##9.131.100':21810
'12#.#38.114.250':21810
'22#.#36.153.28':21810
'11#.#87.59.232':21810
'12#.#36.112.111':21810
'12#.#01.178.114':21810
'79.##2.149.72':21810
'11#.#35.197.51':21810
'18#.#79.69.166':21810
'89.##.166.183':21810
'20#.#.200.176':21810
'69.##7.69.125':21810
'22#.#47.39.136':21810
'11#.#9.154.135':21810
'11#.#18.150.233':21810
'11#.#41.95.146':21810
'96.##.193.178':21810
'46.##7.33.243':21810
'18#.#23.38.147':21810
'95.##.109.201':21810
'14#.#23.87.66':21810
'77.#4.47.7':21810
'10#.#24.202.80':21810
'74.#5.90.4':21810
'95.#0.68.71':21810
'11#.#2.214.77':21810
'27.#51.89.2':21810
'12#.#39.244.158':21810
'17#.#41.13.80':21810
'24.##3.87.196':21810
'58.##6.27.182':21810
'46.##9.21.252':21810
'12#.#25.121.250':21810
'14.#6.63.3':21810
'20#.#09.163.115':21810
'11#.#96.245.76':21810
'89.##2.180.56':21810
'18#.#4.201.7':21810
'83.##3.202.28':21810
'31.##3.93.158':21810
'17#.#0.87.138':21810
'98.#0.124.0':21810
'11#.#4.17.224':21810
'27.##6.24.107':21810
'19#.#6.74.216':21810
'11#.#41.88.60':21810
'15#.#14.182.91':21810
'21#.#97.140.60':21810
'18#.#4.138.63':21810
'62.##.33.106':21810
'17#.#11.20.139':21810
'58.##.64.184':21810
'10#.#87.97.143':21810
'18#.#60.29.139':21810

TCP:

Запросы HTTP GET:

19#.#05.154.210/stat2.php?w=#########################################
19#.#05.154.210/stat2.php?w=##########################################

Технологии

Термины

Обучение и просвещение

Мифы

Техническая информация

Рекомендации по лечению

Демо бесплатно на 14 дней