BackDoor.Maxplus.51

BackDoor.Maxplus.51

Добавлен в вирусную базу Dr.Web: 2011-10-12

Описание добавлено: 2011-10-13

Техническая информация

Для обеспечения автозапуска и распространения:

Модифицирует следующие ключи реестра:

[<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Shell' = '<LS_APPDATA>\a72a1ac3\X'

Создает следующие сервисы:

[<HKLM>\SYSTEM\ControlSet001\Services\a72a1ac3] 'ImagePath' = '%WINDIR%\3273271975:1490412860.exe'
[<HKLM>\SYSTEM\ControlSet001\Services\.mrxsmb] 'ImagePath' = '\?'

Вредоносные функции:

Создает и запускает на исполнение:

<LS_APPDATA>\a72a1ac3\X

Запускает на исполнение:

%WINDIR%\explorer.exe

Внедряет код в

следующие системные процессы:

<SYSTEM32>\winlogon.exe
%WINDIR%\Explorer.EXE

Изменения в файловой системе:

Создает следующие файлы:

%WINDIR%\3273271975:1490412860.exe
%WINDIR%\$NtUninstallKB16918$\2804554435\L\acbrwqkz
<LS_APPDATA>\a72a1ac3\@
<LS_APPDATA>\a72a1ac3\X

Самоудаляется.

Сетевая активность:

Подключается к:

'59.##4.185.194':21810
'11#.#41.154.253':21810
'18#.#2.201.20':21810
'19#.#74.125.108':21810
'19#.#99.134.201':21810
'84.##7.21.207':21810
'89.##4.181.169':21810
'89.##3.33.65':21810
'11#.#69.208.128':21810
'21#.#6.250.69':21810
'95.##.155.184':21810
'10#.#0.195.26':21810
'67.##.195.28':21810
'93.##.111.148':21810
'17#.#7.82.226':21810
'61.##6.51.60':21810
'79.##3.203.166':21810
'19#.#21.168.138':21810
'81.##3.45.173':21810
'46.##.42.147':21810
'72.##2.230.99':21810
'76.##7.195.10':21810
'19#.#4.62.240':21810
'19#.#09.206.150':21810
'2.###.234.64':21810
'17#.#72.175.175':21810
'41.##0.126.86':21810
'83.#.198.53':21810
'17#.#.110.48':21810
'41.##4.141.80':21810
'11#.#40.92.173':21810
'77.##1.63.253':21810
'18#.#4.179.171':21810
'31.##5.23.105':21810
'19#.#66.239.76':21810
'81.##3.188.241':21810
'31.##5.62.75':21810
'16#.#16.62.231':21810
'27.##1.210.75':21810
'86.##.106.204':21810
'11#.#01.217.136':21810
'11#.#01.89.116':21810
'78.##3.97.95':21810
'21#.#7.175.196':21810
'92.##.21.174':21810
'10#.#27.96.24':21810
'10#.#33.16.134':21810
'46.##9.122.204':21810
'12#.#36.73.149':21810
'17#.#3.109.20':21810
'93.##.109.75':21810
'20#.#2.112.97':21810
'68.##.177.10':21810
'83.##5.115.132':21810
'98.##3.32.181':21810
'95.#6.22.62':21810
'18#.#15.180.223':21810
'11#.#26.165.197':21810
'79.##9.190.220':21810
'70.##.64.225':21810
'17#.#6.150.37':21810
'75.##.114.53':21810
'21#.#17.182.117':21810
'11#.#40.51.225':21810
'17#.#45.184.42':21810
'19#.#77.173.189':21810
'85.##3.193.246':21810
'18#.#89.157.200':21810
'88.#1.85.45':21810
'92.#.144.241':21810
'78.##.75.122':21810
'58.##.63.223':21810
'81.##5.182.29':21810
'10#.#20.204.31':21810
'17#.#27.38.110':21810
'11#.#9.232.62':21810
'10#.#23.161.167':21810
'18#.#75.141.63':21810
'17#.#7.223.247':21810
'95.##8.73.196':21810
'79.##0.104.232':21810
'74.##7.243.192':21810
'58.##7.63.13':21810
'95.##.117.169':21810
'27.##6.41.206':21810
'71.##5.140.201':21810
'46.#2.63.91':21810
'92.##.55.160':21810
'46.##8.107.133':21810
'12#.#2.34.53':21810
'22#.#36.175.66':21810
'74.##.212.125':21810
'21#.#12.150.216':21810
'95.##.166.171':21810
'74.##2.75.234':21810
'59.##0.240.70':21810
'11#.#02.141.89':21810
'93.##2.89.43':21810
'87.##5.66.158':21810
'92.##4.119.199':21810
'1.##.170.178':21810
'18#.#4.217.69':21810
'19#.#61.71.179':21810
'14.##.169.155':21810
'91.##8.30.105':21810
'39.##9.122.35':21810
'59.##1.198.25':21810
'95.##8.138.91':21810
'98.##8.203.244':21810
'67.##.40.176':21810
'46.##0.106.202':21810
'78.##6.200.119':21810
'98.##3.15.236':21810
'18#.#68.93.186':21810
'68.##.199.161':21810
'79.##4.4.138':21810
'18#.#15.159.101':21810
'85.##.74.189':21810
'77.##9.6.123':21810
'10#.#84.144.100':21810
'18#.#90.223.153':21810
'11#.#04.67.232':21810
'27.#.18.215':21810
'12#.#45.164.10':21810
'95.#7.7.81':21810
'20#.#76.84.68':21810
'17#.#05.2.194':21810
'19#.#40.224.70':21810
'21#.#7.137.167':21810
'18#.#7.20.35':21810
'20#.#79.23.129':21810
'20#.#7.8.232':21810
'18#.#75.31.242':21810
'79.##3.213.229':21810
'41.##0.202.167':21810
'72.##8.142.120':21810
'18#.#3.150.231':21810
'12#.#25.65.167':21810
'22#.#46.210.150':21810
'89.##.71.122':21810
'18#.#3.100.43':21810
'12#.#32.140.121':21810
'12#.#8.177.151':21810
'98.##.19.222':21810
'18#.#2.176.193':21810
'18#.#88.230.120':21810
'17#.#43.237.114':21810
'77.##8.203.117':21810
'21#.#0.62.21':21810
'18#.#5.122.58':21810
'12#.#9.173.48':21810
'2.##2.64.53':21810
'20#.#02.52.55':21810
'85.##1.112.57':21810
'86.##2.244.51':21810
'20#.#48.12.195':21810
'77.##.213.34':21810
'17#.#64.133.105':21810
'83.##.237.75':21810
'17#.#23.141.90':21810
'18#.#2.244.39':21810
'87.##.154.180':21810
'22#.#91.91.119':21810
'17#.#22.90.209':21810
'79.##.154.101':21810
'68.#9.96.61':21810
'59.##.18.117':21810
'89.##2.21.83':21810
'77.#8.30.26':21810
'94.##7.61.20':21810
'10#.#84.100.224':21810
'19#.#05.154.210':80
'82.##.156.209':21810
'88.##9.81.144':21810
'46.##1.206.58':21810
'79.##2.11.148':21810
'18#.#15.90.81':21810
'21#.#69.160.206':21810
'11#.203.9.7':21810
'19#.#05.135.219':21810
'59.##.250.166':21810
'49.#.137.115':21810
'18#.#5.96.125':21810
'18#.#32.61.212':21810
'90.#4.3.113':21810
'83.##5.34.235':21810
'12#.#55.200.142':21810
'95.#6.235.4':21810
'94.##.184.242':21810
'93.##1.35.139':21810
'20#.#20.232.185':21810
'18#.#33.128.162':21810
'70.#.85.212':21810
'92.##9.209.151':21810
'22#.#35.207.123':21810
'11#.#87.35.151':21810
'41.#04.3.91':21810
'95.##.203.62':21810
'89.##2.77.252':21810
'19#.#90.142.154':21810
'11#.#01.43.211':21810
'91.##7.103.162':21810
'4.###.204.147':21810
'87.##3.18.255':21810
'66.##.134.15':21810
'19#.#55.191.253':21810
'19#.#35.181.230':21810
'41.##1.101.105':21810
'19#.#90.39.243':21810
'18#.#2.160.11':21810
'14#.#69.117.84':21810
'17#.#4.228.53':21810
'10#.#95.87.37':21810
'12#.#25.30.181':21810
'89.##5.89.202':21810
'15#.#.238.16':21810
'12#.#83.220.85':21810
'12#.#95.169.3':21810
'78.##.33.214':21810
'94.##7.28.99':21810
'80.##5.224.97':21810
'46.##0.182.249':21810
'10#.#91.228.16':21810
'86.##5.217.95':21810
'18#.#05.235.37':21810
'58.##6.27.182':21810
'31.##2.33.108':21810
'75.##.184.59':21810
'18#.#9.36.147':21810
'11#.#24.102.239':21810
'10#.#87.76.220':21810
'94.##6.133.247':21810
'89.##.42.147':21810
'10#.#17.8.149':21810
'94.##0.194.70':21810
'11#.#9.170.155':21810
'19#.#8.37.64':21810
'10#.#30.15.90':21810
'18#.#3.4.146':21810
'18#.#5.208.139':21810
'11#.92.50.2':21810
'11#.#68.111.114':21810
'21#.#6.191.229':21810
'17#.#16.150.66':21810
'70.#1.40.63':21810
'17#.#21.92.45':21810
'59.##4.176.244':21810
'18#.#0.186.237':21810
'76.##0.165.48':21810
'77.##3.18.75':21810
'39.##9.200.166':21810
'58.##.144.140':21810
'79.##6.246.141':21810
'83.##3.6.204':21810
'19#.#.236.216':21810
'95.##.82.122':21810
'11#.#87.32.118':21810

TCP:

Запросы HTTP GET:

19#.#05.154.210/stat2.php?w=#########################################
19#.#05.154.210/stat2.php?w=##########################################

Технологии

Термины

Обучение и просвещение

Мифы

Техническая информация

Рекомендации по лечению

Демо бесплатно на 14 дней