BackDoor.Maxplus.5417

Техническая информация

Для обеспечения автозапуска и распространения:

Модифицирует следующие ключи реестра:

[<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000002] 'PackedCatalogItem' = ''
[<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000003] 'PackedCatalogItem' = ''
[<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000004] 'PackedCatalogItem' = ''
[<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000001] 'LibraryPath' = 'mswsock.dll'
[<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000003] 'LibraryPath' = 'mswsock.dll'
[<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000001] 'PackedCatalogItem' = ''
[<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000005] 'PackedCatalogItem' = ''
[<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000009] 'PackedCatalogItem' = ''
[<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000010] 'PackedCatalogItem' = ''
[<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000011] 'PackedCatalogItem' = ''
[<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000006] 'PackedCatalogItem' = ''
[<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000007] 'PackedCatalogItem' = ''
[<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000008] 'PackedCatalogItem' = ''

Создает следующие сервисы:

[<HKLM>\SYSTEM\ControlSet001\Services\.mrxsmb] 'ImagePath' = '\?'

Вредоносные функции:

Внедряет код в

следующие системные процессы:

<SYSTEM32>\winlogon.exe
%WINDIR%\Explorer.EXE

Изменения в файловой системе:

Создает следующие файлы:

%WINDIR%\$NtUninstallKB27979$\4121336045\@
%WINDIR%\$NtUninstallKB27979$\4121336045\L\alehhooo
%WINDIR%\$NtUninstallKB27979$\4121336045\Desktop.ini

Самоудаляется.

Сетевая активность:

Подключается к:

'20#.#08.79.128':80
'pr####.fling.com':80

TCP:

Запросы HTTP GET:

20#.#08.79.128/count.php?id########################
20#.#08.79.128/count.php?id#########################
pr####.fling.com/geo/txt/city.php
20#.#08.79.128/count.php?id#######################

UDP:

DNS ASK ��#h�
DNS ASK ��#�e�
DNS ASK ��#�r�/
DNS ASK ��#��\
DNS ASK ��#|�
DNS ASK ��#�0�&
DNS ASK ��#�%9�
DNS ASK ��#(�Q4
DNS ASK pr####.fling.com
DNS ASK ��#R�
DNS ASK ��#�W/�
DNS ASK ��#1�G
'70.##.215.233':16471
'24.##1.206.234':16471
'46.##9.115.18':16471
'83.##.100.231':16471
'94.##2.237.18':16471
'12#.#5.164.18':16471
'24.##2.88.12':16471
'18#.#9.69.238':16471
'11#.#49.213.11':16471
'74.##.127.13':16471
'82.##.49.236':16471
'70.##0.93.12':16471
'74.##.145.19':16471
'66.##5.124.222':16471
'76.##.222.222':16471
'46.#9.90.23':16471
'19#.#.165.219':16471
'18#.#0.96.220':16471
'89.##4.121.24':16471
'70.##0.72.21':16471
'24.##0.197.20':16471
'68.#.188.20':16471
'12#.#21.2.225':16471
'98.##0.10.226':16471
'66.##.122.227':16471
'86.##5.255.255':16471
'11#.#66.255.255':16471
'86.##1.255.255':16471
'79.##7.255.255':16471
'20#.#41.255.255':16471
'15#.#42.255.255':16471
'17#.#37.255.255':16471
'25#.#48.255.255':16471
'25#.#54.255.255':16471
'85.##9.255.255':16471
'11#.#94.255.255':16471
'0.###.255.255':16471
'25#.#13.255.255':16471
'68.##5.139.8':16471
'70.#24.71.8':16471
'67.##7.238.7':16471
'78.#3.210.9':16471
'68.#.127.9':16471
'79.##8.235.8':16471
'60.#1.196.3':16471
'94.#1.145.1':16471
'18#.#08.255.255':16471
'17#.#69.104.6':16471
'21#.#40.36.4':16471
'85.##2.94.251':16471

Другое:

Ищет следующие окна:

ClassName: 'gbhfjhgfjhgfjhgjhgkghkhgjkjhg' WindowName: 'fjdshgksdfhgfkugiudfgjhdflkjgfd'

Демо бесплатно на 14 дней

Выдаётся при установке

Скачать с сайта

Скачать с Google Play

Поздравляем! Обменяйте их на скидку до 50% на покупку Dr.Web.

Получить скидку

Скачайте
Dr.Web для Android

Бесплатно на 3 месяца
Все компоненты защиты
Продление демо через
AppGallery/Google Pay

Вы используете устаревший браузер!

Боты для Telegram

Технологии

Термины

Обучение и просвещение

Мифы

Техническая информация

Рекомендации по лечению

Демо бесплатно на 14 дней

Мы в соцсетях

Для Telegram

Другие ресурсы Dr.WEB