Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

BackDoor.Maxplus.212

Добавлен в вирусную базу Dr.Web: 2011-10-27

Описание добавлено:

Техническая информация

Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
  • [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Shell' = '<LS_APPDATA>\a72a1ac3\X'
Создает следующие сервисы:
  • [<HKLM>\SYSTEM\ControlSet001\Services\a72a1ac3] 'ImagePath' = '%WINDIR%\3273271975:1490412860.exe'
  • [<HKLM>\SYSTEM\ControlSet001\Services\.ipsec] 'ImagePath' = '\?'
Вредоносные функции:
Создает и запускает на исполнение:
  • <LS_APPDATA>\a72a1ac3\X 
Запускает на исполнение:
  • %WINDIR%\explorer.exe
Внедряет код в
следующие системные процессы:
  • <SYSTEM32>\winlogon.exe
  • %WINDIR%\Explorer.EXE
Изменения в файловой системе:
Создает следующие файлы:
  • %WINDIR%\$NtUninstallKB16918$\2804554435\L\acbrwqkz
  • %WINDIR%\$NtUninstallKB16918$\2804554435\@
  • %WINDIR%\3273271975:1490412860.exe
  • <LS_APPDATA>\a72a1ac3\@
  • <LS_APPDATA>\a72a1ac3\X
Самоудаляется.
Сетевая активность:
Подключается к:
  • '11#.#02.146.13':21810
  • '18#.#96.128.124':21810
  • '11#.#2.50.38':21810
  • '86.##4.107.225':21810
  • '10#.#.33.209':21810
  • '77.##.247.229':21810
  • '14.#9.18.68':21810
  • '18#.#87.151.245':21810
  • '15#.#05.122.36':21810
  • '92.##.21.174':21810
  • '79.##8.214.61':21810
  • '64.##.60.182':21810
  • '19#.#94.40.100':21810
  • '84.#.19.67':21810
  • '18#.#5.152.53':21810
  • '31.##.127.237':21810
  • '19#.#47.178.174':21810
  • '95.##.194.198':21810
  • '17#.#35.208.37':21810
  • '46.##0.72.44':21810
  • '11#.#03.232.231':21810
  • '11#.#54.91.166':21810
  • '11#.#69.124.166':21810
  • '92.#7.24.44':21810
  • '11#.#05.118.196':21810
  • '21#.#39.43.43':21810
  • '14#.#25.42.202':21810
  • '17#.#4.36.95':21810
  • '19#.#41.196.121':21810
  • '80.#5.25.69':21810
  • '1.##.9.179':21810
  • '18#.#2.210.45':21810
  • '41.##0.42.54':21810
  • '31.#6.5.200':21810
  • '18#.#3.90.197':21810
  • '91.##7.170.149':21810
  • '72.##2.99.16':21810
  • '94.##3.161.149':21810
  • '93.##3.43.140':21810
  • '11#.#06.233.149':21810
  • '69.##2.80.249':21810
  • '88.#0.52.25':21810
  • '11#.#84.247.175':21810
  • '21#.#2.142.229':21810
  • '18#.#8.118.67':21810
  • '76.##.72.252':21810
  • '79.##4.222.140':21810
  • '10#.#10.6.161':21810
  • '19#.#20.81.160':21810
  • '11#.#65.162.160':21810
  • '98.##.195.16':21810
  • '18#.#3.84.121':21810
  • '11#.#42.116.82':21810
  • '92.##4.67.23':21810
  • '74.##3.149.231':21810
  • '19#.#8.115.236':21810
  • '14.#8.86.44':21810
  • '11#.#00.155.254':21810
  • '17#.#7.242.153':21810
  • '22#.#05.83.217':21810
  • '79.##2.228.166':21810
  • '24.##9.65.132':21810
  • '18#.#7.72.184':21810
  • '95.##1.114.211':21810
  • '21#.#2.114.112':21810
  • '79.##5.126.116':21810
  • '11#.#40.6.121':21810
  • '67.##.176.77':21810
  • '93.##3.159.110':21810
  • '84.#.134.167':21810
  • '12#.#35.47.76':21810
  • '18#.#3.147.150':21810
  • '10#.#20.201.46':21810
  • '15#.#14.26.110':21810
  • '24.##6.144.61':21810
  • '24.##5.121.133':21810
  • '19#.#4.126.212':21810
  • '12#.#7.115.100':21810
  • '67.##1.246.89':21810
  • '84.##6.93.53':21810
  • '66.##1.126.10':21810
  • '17#.#54.217.49':21810
  • '92.##4.206.91':21810
  • '75.##0.168.222':21810
  • '19#.#05.135.93':21810
  • '20#.#.156.91':21810
  • '61.##4.134.190':21810
  • '11#.#6.224.159':21810
  • '79.##2.88.147':21810
  • '18#.#2.140.146':21810
  • '87.##.40.166':21810
  • '18#.#64.171.168':21810
  • '66.##4.12.169':21810
  • '89.##4.93.21':21810
  • '18#.#41.238.19':21810
  • '14.##.206.23':21810
  • '66.##8.184.253':21810
  • '77.##9.48.160':21810
  • '95.##8.73.13':21810
  • '11#.#19.205.13':21810
  • '11#.#9.52.178':21810
  • '79.##3.221.46':21810
  • '19#.#4.221.215':21810
  • '27.##6.75.99':21810
  • '11#.#42.168.36':21810
  • '20#.#79.13.71':21810
  • '27.##.115.39':21810
  • '79.##7.124.221':21810
  • '11#.#47.243.91':21810
  • '94.#2.9.158':21810
  • '94.##.170.179':21810
  • '17#.#0.34.249':21810
  • '89.##.231.160':21810
  • '20#.#64.93.248':21810
  • '14.##.220.97':21810
  • '92.##.68.164':21810
  • '20#.#71.245.168':21810
  • '11#.#17.169.108':21810
  • '46.##.156.220':21810
  • '86.#26.5.31':21810
  • '11#.#54.181.87':21810
  • '61.##.150.24':21810
  • '11#.#03.161.67':21810
  • '12#.#63.57.182':21810
  • '10#.#7.226.108':21810
  • '65.##.224.128':21810
  • '46.##4.159.193':21810
  • '86.##0.18.178':21810
  • '18#.#6.212.255':21810
  • '79.##8.206.236':21810
  • '13#.#3.206.225':21810
  • '82.##5.35.163':21810
  • '78.##.235.26':21810
  • '79.##8.35.34':21810
  • '68.##4.200.203':21810
  • '62.##4.144.151':21810
  • '17#.#05.17.93':21810
  • '18#.#4.255.129':21810
  • '79.##4.109.189':21810
  • '20#.#55.59.69':21810
  • '75.##4.242.146':21810
  • '14.##.104.75':21810
  • '10#.#85.115.238':21810
  • '85.##1.185.177':21810
  • '19#.#05.154.210':80
  • '13#.#6.123.141':21810
  • '11#.#93.110.250':21810
  • '12#.#7.232.70':21810
  • '98.##4.170.183':21810
  • '59.##3.213.252':21810
  • '89.##.115.72':21810
  • '77.##.173.190':21810
  • '70.##.64.225':21810
  • '89.##5.90.172':21810
  • '79.##7.79.48':21810
  • '20#.#8.249.24':21810
  • '11#.#04.54.146':21810
  • '18#.#2.91.65':21810
  • '11#.#9.177.136':21810
  • '92.##.140.143':21810
  • '50.#6.54.25':21810
  • '12#.#36.166.122':21810
  • '75.#1.2.42':21810
  • '17#.#6.178.42':21810
  • '88.##2.55.102':21810
  • '11#.#54.69.9':21810
  • '49.#5.200.6':21810
  • '18#.#15.87.41':21810
  • '46.##9.219.162':21810
  • '83.##9.127.24':21810
  • '69.#7.76.98':21810
  • '18#.#23.36.49':21810
  • '14.##.185.162':21810
  • '11#.#2.80.161':21810
  • '79.##1.126.16':21810
  • '93.##5.47.147':21810
  • '15#.#10.48.22':21810
  • '11#.#54.246.226':21810
  • '11#.#6.226.99':21810
  • '41.##3.78.47':21810
  • '31.##1.71.202':21810
  • '14.##.219.146':21810
  • '95.#5.77.29':21810
  • '11#.#40.228.242':21810
  • '11#.#99.241.255':21810
  • '92.##.226.84':21810
  • '18#.#2.150.242':21810
  • '11#.#06.113.10':21810
  • '17#.#04.136.180':21810
  • '11#.#27.190.188':21810
  • '11#.#48.193.187':21810
  • '79.##7.84.213':21810
  • '17#.#0.100.189':21810
  • '46.##4.175.85':21810
  • '70.##0.167.218':21810
  • '46.##6.94.129':21810
  • '11#.#42.161.90':21810
  • '18#.#3.159.68':21810
  • '10#.#3.110.143':21810
  • '98.##7.172.157':21810
  • '11#.#05.15.132':21810
  • '80.##7.96.169':21810
  • '18#.#6.215.46':21810
  • '21#.#63.1.144':21810
  • '20#.#7.216.109':21810
  • '20#.#22.43.198':21810
  • '68.##.189.27':21810
  • '74.##3.189.37':21810
  • '18#.#6.157.113':21810
  • '75.##.218.225':21810
  • '11#.#40.97.122':21810
  • '46.##0.169.71':21810
  • '75.##.132.93':21810
  • '11#.#54.187.139':21810
  • '31.##0.1.177':21810
TCP:
Запросы HTTP GET:
  • 19#.#05.154.210/stat2.php?w=#########################################
  • 19#.#05.154.210/stat2.php?w=##########################################

Рекомендации по лечению

  1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
  2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Скачать Dr.Web

По серийному номеру

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке