Защити созданное

Другие наши ресурсы

  • free.drweb.uz — бесплатные утилиты, плагины, информеры
  • av-desk.com — интернет-сервис для поставщиков услуг Dr.Web AV-Desk
  • curenet.drweb.uz — сетевая лечащая утилита Dr.Web CureNet!
  • www.drweb.uz/web-iq — ВебIQметр
Закрыть

Библиотека
Моя библиотека

Чтобы добавить ресурс в библиотеку, войдите в аккаунт.

+ Добавить в библиотеку

Ресурсов: -

Последний: -

Моя библиотека

Поиск

Поиск

Поддержка
Круглосуточная поддержка | Правила обращения

Напишите

Запрос через форму

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -
Создать новый запрос Частые вопросы

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

UZ

RU CN DE EN ES FR IT JP KZ UZ PL BY
Закрыть
Сервисы
Сканеры
Dr.Web vxCube
Демо
Экспертиза ВКИ
Вирусная библиотека
База знаний

Технологии

Термины

Обучение и просвещение

Мифы

Новости

BackDoor.Maxplus.4666

Добавлен в вирусную базу Dr.Web: 2012-03-15

Описание добавлено:

Technical Information

To ensure autorun and distribution:
Modifies the following registry keys:
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000002] 'PackedCatalogItem' = ''
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000003] 'PackedCatalogItem' = ''
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000004] 'PackedCatalogItem' = ''
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000001] 'LibraryPath' = 'mswsock.dll'
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000003] 'LibraryPath' = 'mswsock.dll'
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000001] 'PackedCatalogItem' = ''
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000005] 'PackedCatalogItem' = ''
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000009] 'PackedCatalogItem' = ''
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000010] 'PackedCatalogItem' = ''
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000011] 'PackedCatalogItem' = ''
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000006] 'PackedCatalogItem' = ''
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000007] 'PackedCatalogItem' = ''
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000008] 'PackedCatalogItem' = ''
Creates the following services:
  • [<HKLM>\SYSTEM\ControlSet001\Services\.netbt] 'ImagePath' = '\?'
Malicious functions:
Injects code into
the following system processes:
  • <SYSTEM32>\winlogon.exe
  • %WINDIR%\Explorer.EXE
Modifies file system :
Creates the following files:
  • %WINDIR%\$NtUninstallKB27979$\4121336045\@
  • %WINDIR%\$NtUninstallKB27979$\4121336045\cfg.ini
  • %WINDIR%\$NtUninstallKB27979$\4121336045\Desktop.ini
  • %WINDIR%\$NtUninstallKB27979$\4121336045\L\alehhooo
Deletes itself.
Network activity:
Connects to:
  • '69.##0.89.113':34354
  • '99.##5.26.22':34354
  • '24.##4.50.66':34354
  • '71.#9.25.87':34354
  • '19#.#06.142.21':34354
  • '17#.#30.39.192':34354
  • '65.##.175.91':34354
  • '95.##.245.245':34354
  • '17#.#0.75.236':34354
  • '18#.#3.137.80':34354
  • '71.##5.109.4':34354
  • '71.##9.1.133':34354
  • '72.##4.52.137':34354
  • '10.##.157.134':34354
  • '17#.#75.18.36':34354
  • '69.##6.102.16':34354
  • '71.##7.227.188':34354
  • '11#.#01.184.181':34354
  • '72.##6.147.122':34354
  • '62.##5.219.170':34354
  • '37.#9.94.21':34354
  • '2.###.214.140':34354
  • '50.#.165.42':34354
  • '98.##2.2.134':34354
  • '24.##1.200.244':34354
  • '41.##8.35.166':34354
  • '72.##5.198.228':34354
  • '76.##7.114.129':34354
  • '18#.#1.45.136':34354
  • '76.##4.101.20':34354
  • '24.##.38.242':34354
  • '69.##2.120.195':34354
  • '20#.#55.107.138':34354
  • '24.##.193.246':34354
  • '17#.#0.89.173':34354
  • '74.##0.85.98':34354
  • '17#.#0.188.231':34354
  • '37.##.135.127':34354
  • '18#.#55.17.115':34354
  • '19#.#5.233.222':34354
  • '24.##2.248.200':34354
  • '98.##1.53.134':34354
  • '46.##8.161.217':34354
  • '50.##.47.246':34354
  • '68.##.141.130':34354
  • '24.##2.71.50':34354
  • '17#.#8.112.46':34354
  • '18#.#54.218.193':34354
  • '98.##4.145.24':34354
  • '71.##3.90.248':34354
  • '76.##.107.230':34354
  • '11#.#01.44.120':34354
  • '11#.#13.51.96':34354
  • '21#.#14.228.214':34354
  • '18#.#53.127.232':34354
  • '11#.#18.45.125':34354
  • '95.##.201.82':34354
  • '67.##4.102.235':34354
  • '95.##.247.116':34354
  • '20#.#1.3.232':34354
  • '18#.#22.227.70':34354
  • '17#.#13.55.44':34354
  • '20#.#2.35.243':34354
  • '17#.#1.169.232':34354
  • '71.##9.117.142':34354
  • '79.##6.37.56':34354
  • '74.##6.44.112':34354
  • '74.##6.50.116':34354
  • '20#.#.45.103':34354
  • '37.##2.79.61':34354
  • '68.#7.0.42':34354
  • '98.##3.164.59':34354
  • '21#.#4.79.106':34354
  • '24.##5.23.144':34354
  • '12#.#31.27.149':34354
  • '95.##.229.27':34354
  • '24.##5.6.194':34354
  • '75.##6.232.247':34354
  • '76.##.102.30':34354
  • '20#.#66.85.134':34354
  • '61.##.180.201':34354
  • '76.#17.6.27':34354
  • '75.##.101.228':34354
  • '11#.#02.127.108':34354
  • '12#.#8.157.126':34354
  • '10#.#91.204.10':34354
  • '89.##6.229.51':34354
  • '98.##2.250.1':34354
  • '17#.#0.69.177':34354
  • '70.##2.224.35':34354
  • '98.##5.250.144':34354
  • '72.##3.63.151':34354
  • '10#.#6.217.225':34354
  • '71.##4.166.185':34354
  • '72.##3.37.54':34354
  • '67.##2.243.95':34354
  • '17#.#8.14.92':34354
  • '68.##4.193.129':34354
  • '19#.#07.206.69':34354
  • '71.##.139.29':34354
  • '75.##9.22.246':34354
  • '96.#3.34.56':34354
  • '17#.#1.81.193':34354
  • '98.##3.201.254':34354
  • '68.#.41.70':34354
  • '70.##8.47.32':34354
  • '19#.#74.210.120':34354
  • '98.##0.135.69':34354
  • '17#.#09.1.59':34354
  • '18#.#10.228.216':34354
  • '68.##.105.12':34354
  • '95.#6.48.62':34354
  • '99.##4.44.114':34354
  • '75.##9.149.251':34354
  • '68.#.242.218':34354
  • '11#.#06.159.248':34354
  • '17#.#16.118.128':34354
  • '74.#0.2.251':34354
  • '18#.#6.239.51':34354
  • '75.##8.180.19':34354
  • '92.#7.97.94':34354
  • '75.##.218.58':34354
  • '68.##5.116.12':34354
  • '67.##.207.83':34354
  • '18#.#37.95.179':34354
  • '10#.#.181.230':34354
  • '21#.#30.88.210':34354
  • '99.##4.65.62':34354
  • '68.#5.157.3':34354
  • '89.##6.146.126':34354
  • '16#.#25.195.15':34354
  • '24.##7.1.223':34354
  • '24.##7.226.69':34354
  • '95.##.99.229':34354
  • '68.##.139.170':34354
  • '76.##8.244.108':34354
  • '76.##7.147.205':34354
  • '95.#9.48.7':34354
  • '98.##4.77.193':34354
  • '74.##0.101.127':34354
  • '76.#5.12.91':34354
  • '20#.#41.67.37':34354
  • '98.##2.166.150':34354
  • '68.#.191.181':34354
  • '24.#.131.50':34354
  • '99.##9.125.13':34354
  • '17#.#25.119.142':34354
  • '75.##7.159.12':34354
  • '17#.#6.29.223':34354
  • '15#.#1.225.99':34354
  • '77.##.211.209':34354
  • '11#.#84.230.11':34354
  • '75.##1.67.120':34354
  • '92.##.64.134':34354
  • '75.##.90.154':34354
  • '75.##5.34.80':34354
  • '76.##2.208.137':34354
  • '37.##.208.29':34354
  • '68.##.137.17':34354
  • '16#.#.150.160':34354
  • '24.##.171.231':34354
  • '66.##.39.208':34354
  • '95.##.132.164':34354
  • '63.##5.249.167':34354
  • '99.##1.13.10':34354
  • '71.##4.104.235':34354
  • '95.#9.43.44':34354
  • '98.##6.109.27':34354
  • '68.#2.8.75':34354
  • '67.##1.65.79':34354
  • '50.##9.84.50':34354
  • 'pr####.fling.com':80
  • '17#.#2.190.142':80
  • '20#.#02.245.131':34354
  • '19#.#11.78.149':34354
  • '18#.#.168.236':34354
  • '18#.#3.239.130':34354
  • '71.##.216.123':34354
  • '19#.#01.4.75':34354
  • '17#.#45.132.23':34354
  • '91.##2.4.166':34354
  • '98.##9.226.193':34354
  • '70.##0.149.195':34354
  • '68.##6.96.17':34354
  • '95.##.125.230':34354
  • '24.##3.72.59':34354
  • '75.##9.128.126':34354
  • '98.##2.105.20':34354
  • '2.##.72.188':34354
  • '18#.#07.22.184':34354
  • '95.##.18.112':34354
  • '75.##9.244.80':34354
  • '95.##.237.90':34354
  • '17#.#16.215.251':34354
  • '18#.#10.237.210':34354
  • '71.##.198.204':34354
  • '98.##9.117.196':34354
  • '14#.#67.240.168':34354
  • '70.##0.125.222':34354
  • '24.#9.79.42':34354
  • '24.##.93.174':34354
  • '74.##1.204.188':34354
  • '24.##.126.68':34354
  • '96.#5.97.68':34354
  • '61.##0.66.99':34354
  • '12#.#38.177.160':34354
  • '11#.#98.77.83':34354
  • '98.##0.118.115':34354
  • '72.##0.65.133':34354
  • '17#.#14.255.107':34354
  • '71.##.219.137':34354
  • '69.##4.7.133':34354
  • '21#.#12.97.204':34354
  • '11#.#42.18.75':34354
  • '78.##.183.50':34354
  • '17#.#9.58.188':34354
  • '17#.#0.143.2':34354
  • '17#.#22.167.93':34354
  • '17#.#6.38.79':34354
  • '18#.#9.29.42':34354
  • '19#.#81.180.135':34354
  • '10#.#6.103.229':34354
  • '79.##3.218.43':34354
  • '19#.#61.67.89':34354
  • '98.##8.182.175':34354
  • '15#.#81.148.99':34354
  • '17#.#1.53.126':34354
  • '69.##9.235.71':34354
  • '17#.#52.71.83':34354
  • '46.##9.42.227':34354
  • '17#.#1.217.117':34354
  • '18#.#05.88.57':34354
  • '10.##2.11.133':34354
  • '93.##.168.73':34354
  • '98.##2.94.251':34354
  • '17#.#8.11.80':34354
  • '50.#.158.63':34354
  • '22#.#83.111.246':34354
  • '95.##.138.72':34354
  • '19#.#4.27.109':34354
  • '76.##7.193.230':34354
  • '95.##.58.229':34354
  • '85.#4.0.156':34354
  • '76.##.27.136':34354
  • '77.##0.209.60':34354
  • '71.##2.30.215':34354
  • '46.##9.219.0':34354
  • '76.##5.124.47':34354
  • '99.##.68.119':34354
  • '24.##2.189.138':34354
  • '50.##.157.213':34354
  • '68.##6.89.89':34354
  • '46.##.165.131':34354
  • '15#.#81.153.57':34354
  • '68.#6.1.79':34354
  • '74.##6.113.238':34354
  • '20#.#01.67.176':34354
  • '72.#3.162.9':34354
TCP:
HTTP GET requests:
  • 17#.#2.190.142/stat2.php?w=#############################################
  • 17#.#2.190.142/stat2.php?w=############################################
  • pr####.fling.com/geo/txt/city.php
UDP:
  • DNS ASK z#���c
  • DNS ASK z#��A
  • DNS ASK z#���
  • DNS ASK z#)�f
  • DNS ASK z#Ew�
  • DNS ASK z#�I�"
  • DNS ASK z#&R)C
  • DNS ASK z#���j
  • DNS ASK z# 蚷
  • DNS ASK z#��
  • DNS ASK pr####.fling.com
  • DNS ASK z#�
  • DNS ASK z#� �+
  • DNS ASK z#p�,
  • DNS ASK z#�.D�
  • '8.#.8.8':1035

Рекомендации по лечению

  1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
  2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Демо бесплатно

 

Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

Демо бесплатно

 

Скачать Dr.Web

По серийному номеру

Скачать Dr.Web с Apple Store

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Демо бесплатно

 

Скачать Dr.Web

По серийному номеру

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке

Скачать с сайта
Скачать с Google Play