BackDoor.Maxplus.371

Добавлен в вирусную базу Dr.Web: 2011-11-24

Описание добавлено: 2011-11-27

Техническая информация

Для обеспечения автозапуска и распространения:

Модифицирует следующие ключи реестра:

[<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Shell' = '<LS_APPDATA>\f5a698ed\X'

Создает следующие сервисы:

[<HKLM>\SYSTEM\ControlSet001\Services\.<Служебное имя>] 'ImagePath' = '\?'

Вредоносные функции:

Создает и запускает на исполнение:

<LS_APPDATA>\f5a698ed\X

Внедряет код в

следующие системные процессы:

<SYSTEM32>\winlogon.exe
%WINDIR%\Explorer.EXE

Изменения в файловой системе:

Создает следующие файлы:

<LS_APPDATA>\f5a698ed\@
<LS_APPDATA>\f5a698ed\X
%WINDIR%\$NtUninstallKB37556$\4121336045\L\alehhooo
%WINDIR%\$NtUninstallKB37556$\4121336045\@

Сетевая активность:

Подключается к:

'58.##6.27.182':21810
'17#.#8.223.154':21810
'11#.#95.190.160':21810
'17#.#1.68.38':21810
'11#.#00.191.206':21810
'27.##.70.250':21810
'17#.#24.26.88':21810
'86.##6.234.150':21810
'95.#8.85.19':21810
'18#.2.29.23':21810
'18#.#7.219.131':21810
'78.##1.150.130':21810
'10#.#95.75.89':21810
'50.##3.83.102':21810
'21#.#67.242.97':21810
'11#.#53.10.249':21810
'12#.#53.197.103':21810
'92.##.213.118':21810
'11#.#54.66.162':21810
'61.##.78.155':21810
'79.##9.177.160':21810
'71.#5.19.90':21810
'11#.#4.32.73':21810
'96.##.143.170':21810
'18#.#96.26.64':21810
'11#.#9.51.220':21810
'84.##0.253.212':21810
'58.#4.80.8':21810
'89.##2.237.183':21810
'2.###.194.145':21810
'18#.#60.3.111':21810
'11#.#13.92.56':21810
'95.##.199.201':21810
'17#.#19.145.240':21810
'41.##1.42.165':21810
'95.#8.30.17':21810
'79.##6.32.48':21810
'93.##3.63.159':21810
'18#.#79.36.71':21810
'58.##.214.39':21810
'46.##7.212.195':21810
'85.##.236.166':21810
'19#.#53.153.191':21810
'10.##9.89.140':21810
'11#.#93.100.41':21810
'92.##3.136.67':21810
'10#.#6.151.42':21810
'11#.#18.224.235':21810
'92.##.235.234':21810
'92.#7.128.9':21810
'2.###.29.149':21810
'94.##4.129.123':21810
'24.##2.11.51':21810
'76.#09.54.6':21810
'85.##.157.130':21810
'11#.#84.137.184':21810
'79.##2.91.77':21810
'11#.#05.54.27':21810
'18#.#6.37.35':21810
'18#.#60.36.110':21810
'46.##4.113.118':21810
'92.##1.6.213':21810
'46.##.129.80':21810
'46.#9.65.69':21810
'18#.#15.218.22':21810
'18#.#.251.85':21810
'95.#9.36.86':21810
'11#.#42.231.208':21810
'19#.#14.152.80':21810
'77.##.208.151':21810
'69.##6.150.143':21810
'84.##0.217.47':21810
'11#.#5.137.212':21810
'11#.#68.70.233':21810
'31.##1.231.31':21810
'17#.#7.190.54':21810
'18#.#6.42.249':21810
'16#.#80.145.127':21810
'11#.#42.173.105':21810
'78.##8.104.100':21810
'18#.#34.93.182':21810
'59.##1.39.211':21810
'71.##.131.199':21810
'68.##.96.201':21810
'20#.#77.246.73':21810
'27.##5.11.82':21810
'92.##.163.120':21810
'2.###.207.116':21810
'95.##.194.218':21810
'18#.#8.213.14':21810
'21#.#9.52.16':21810
'11#.#10.198.196':21810
'92.##.158.249':21810
'18#.#2.220.173':21810
'79.##5.90.193':21810
'10#.#09.56.21':21810
'18#.#21.193.245':21810
'18#.#9.52.234':21810
'22#.#55.28.53':21810
'77.##5.5.248':21810
'17#.#52.108.161':21810
'12#.#89.194.23':21810
'68.##9.56.31':21810
'94.##6.159.50':21810
'19#.#2.18.126':21810
'85.##.171.197':21810
'17#.#08.86.172':21810
'17#.#0.207.208':21810
'95.##.115.134':21810
'17#.#.124.255':21810
'15#.83.54.5':21810
'19#.#80.135.211':21810
'19#.#5.39.21':21810
'22#.#69.78.108':21810
'20#.#14.111.94':21810
'17#.#1.136.162':21810
'10#.#8.139.79':21810
'95.##.14.223':21810
'41.##8.54.189':21810
'77.##.40.142':21810
'91.##.109.114':21810
'18#.#9.95.207':21810
'11#.#93.168.211':21810
'21#.#0.100.6':21810
'77.##.157.56':21810
'41.##1.113.71':21810
'11#.#9.152.221':21810
'19#.#77.73.104':21810
'20#.#09.147.234':21810
'95.##.133.40':21810
'11#.#42.46.13':21810
'19#.#04.217.161':21810
'11#.#1.68.134':21810
'70.##7.116.58':21810
'18#.#60.1.216':21810
'12#.#01.197.23':21810
'17#.#1.52.147':21810
'93.##7.133.212':21810
'21#.#16.163.146':21810
'62.##.157.76':21810
'79.##7.22.155':21810
'15#.181.1.5':21810
'18#.#2.33.58':21810
'81.##3.35.196':21810
'92.#6.4.43':21810
'27.##7.13.34':21810
'11#.#95.33.116':21810
'20#.#.161.100':21810
'18#.#60.19.51':21810
'49.##0.227.47':21810
'11#.#9.146.73':21810
'18#.#6.134.181':21810
'17#.#8.165.54':21810
'85.##6.110.120':21810
'75.##1.162.104':21810
'61.##7.138.164':21810
'12#.#41.166.41':21810
'14.##.101.195':21810
'17#.#4.147.156':21810
'17#.#40.22.240':21810
'18#.#32.27.213':21810
'11#.#43.8.180':21810
'12#.#0.184.23':21810
'79.##2.92.192':21810
'10#.#9.98.197':21810
'31.##3.93.158':21810
'46.##.68.178':21810
'17#.#9.56.233':21810
'12#.#01.100.50':21810
'11#.#42.99.33':21810
'21#.#12.210.42':21810
'localhost':80
'22#.#91.37.194':21810
'79.##2.170.139':21810
'10#.#26.240.105':21810
'11#.#00.140.24':21810
'59.##.166.203':21810
'92.##.210.31':21810
'17#.#01.189.43':21810
'41.#40.4.38':21810
'39.##1.82.230':21810
'18#.#60.62.148':21810
'11#.#35.53.9':21810
'59.##1.118.133':21810
'92.##.140.220':21810
'11#.#.107.159':21810
'92.##4.250.71':21810
'11#.#06.94.198':21810
'19#.#4.118.204':21810
'14.##.216.134':21810
'79.##2.83.114':21810
'93.##3.4.169':21810
'20#.#65.223.48':21810
'10#.#01.161.10':21810
'12#.#79.1.110':21810
'17#.#8.30.157':21810
'95.##7.148.199':21810
'46.##1.72.206':21810
'14.##.168.121':21810
'18#.#3.177.244':21810
'21#.#88.65.251':21810
'11#.#35.81.189':21810
'12#.#45.46.240':21810
'79.##2.99.207':21810
'11#.#93.110.89':21810
'62.##3.244.113':21810
'10.##1.43.212':21810
'95.##.100.63':21810
'11#.#9.54.213':21810
'10#.#84.8.185':21810
'18#.#1.175.130':21810
'11#.#84.69.56':21810
'95.#8.87.84':21810
'96.#0.29.97':21810
'11#.#2.169.182':21810
'11#.#41.245.130':21810
'11#.#93.163.157':21810
'61.##5.233.10':21810
'18#.#60.17.96':21810
'77.##1.83.247':21810
'98.##4.105.236':21810
'49.##0.149.88':21810
'17#.#04.162.104':21810
'17#.#91.152.128':21810
'20#.#48.204.56':21810
'80.##.76.236':21810
'19#.#8.182.61':21810
'89.##5.89.150':21810
'18#.#15.106.209':21810
'92.#7.75.72':21810
'11#.#8.32.15':21810
'41.##1.41.212':21810
'60.##8.81.222':21810
'58.#.239.171':21810
'18#.#15.244.241':21810
'18#.#3.75.226':21810
'11#.#15.65.169':21810
'86.#26.83.9':21810
'11#.#97.204.255':21810
'19#.#05.135.93':21810
'11#.#8.233.115':21810
'12#.#23.150.11':21810
'18#.#36.189.162':21810
'21#.#88.172.50':21810
'95.##.32.235':21810
'41.##0.69.19':21810
'11#.#6.160.26':21810
'11#.#42.217.56':21810
'2.###.241.10':21810
'95.##.198.15':21810
'79.##2.149.79':21810
'11#.#3.35.166':21810
'62.##5.201.164':21810
'58.##3.153.105':21810
'18#.#9.137.81':21810
'95.#9.2.238':21810
'2.##.153.91':21810

TCP:

Запросы HTTP GET:

ac##jwes.cn/stat2.php?w=###########################################
nw##bpes.cn/bad.php?w=######################

UDP:

'localhost':80

Технологии

Термины

Обучение и просвещение

Мифы

Техническая информация

Рекомендации по лечению

Демо бесплатно на 14 дней