Защити созданное

Другие наши ресурсы

  • free.drweb.uz — бесплатные утилиты, плагины, информеры
  • av-desk.com — интернет-сервис для поставщиков услуг Dr.Web AV-Desk
  • curenet.drweb.uz — сетевая лечащая утилита Dr.Web CureNet!
  • www.drweb.uz/web-iq — ВебIQметр
Закрыть

Библиотека
Моя библиотека

Чтобы добавить ресурс в библиотеку, войдите в аккаунт.

+ Добавить в библиотеку

Ресурсов: -

Последний: -

Моя библиотека

Поиск

Поиск

Поддержка
Круглосуточная поддержка | Правила обращения

Напишите

Запрос через форму

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -
Создать новый запрос Частые вопросы

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

UZ

RU CN DE EN ES FR IT JP KZ UZ PL BY
Закрыть
Сервисы
Сканеры
Dr.Web vxCube
Демо
Экспертиза ВКИ
Вирусная библиотека
База знаний

Технологии

Термины

Обучение и просвещение

Мифы

Новости

BackDoor.Maxplus.4716

Добавлен в вирусную базу Dr.Web: 2012-03-16

Описание добавлено:

Technical Information

To ensure autorun and distribution:
Modifies the following registry keys:
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000002] 'PackedCatalogItem' = ''
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000003] 'PackedCatalogItem' = ''
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000004] 'PackedCatalogItem' = ''
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000001] 'LibraryPath' = 'mswsock.dll'
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000003] 'LibraryPath' = 'mswsock.dll'
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000001] 'PackedCatalogItem' = ''
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000005] 'PackedCatalogItem' = ''
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000009] 'PackedCatalogItem' = ''
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000010] 'PackedCatalogItem' = ''
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000011] 'PackedCatalogItem' = ''
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000006] 'PackedCatalogItem' = ''
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000007] 'PackedCatalogItem' = ''
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000008] 'PackedCatalogItem' = ''
Creates the following services:
  • [<HKLM>\SYSTEM\ControlSet001\Services\.redbook] 'ImagePath' = '\?'
Malicious functions:
Injects code into
the following system processes:
  • <SYSTEM32>\winlogon.exe
  • %WINDIR%\Explorer.EXE
Modifies file system :
Creates the following files:
  • %WINDIR%\$NtUninstallKB27979$\4121336045\@
  • %WINDIR%\$NtUninstallKB27979$\4121336045\cfg.ini
  • %WINDIR%\$NtUninstallKB27979$\4121336045\Desktop.ini
  • %WINDIR%\$NtUninstallKB27979$\4121336045\L\alehhooo
Network activity:
Connects to:
  • '72.##0.172.158':34354
  • '10#.#5.222.144':34354
  • '17#.#16.5.113':34354
  • '24.##1.159.134':34354
  • '95.##.187.73':34354
  • '98.##.133.251':34354
  • '46.##.25.140':34354
  • '95.#4.23.36':34354
  • '2.###.40.173':34354
  • '75.##.103.40':34354
  • '18#.#37.159.135':34354
  • '17#.#09.139.251':34354
  • '80.##.25.109':34354
  • '87.##.91.102':34354
  • '94.##.122.150':34354
  • '18#.#4.157.207':34354
  • '70.##0.73.135':34354
  • '71.##8.118.150':34354
  • '17#.#9.27.183':34354
  • '10#.#8.11.83':34354
  • '98.##8.193.56':34354
  • '71.##9.117.142':34354
  • '95.#7.163.2':34354
  • '19#.#32.253.148':34354
  • '68.##.244.15':34354
  • '99.##2.46.11':34354
  • '24.#.240.94':34354
  • '20#.#3.96.220':34354
  • '72.##.40.134':34354
  • '75.##2.125.205':34354
  • '17#.#5.127.245':34354
  • '98.##8.68.51':34354
  • '98.##.239.91':34354
  • '70.#37.2.94':34354
  • '79.##.157.82':34354
  • '20#.#01.121.215':34354
  • '24.##7.198.250':34354
  • '10#.8.47.74':34354
  • '79.##2.65.77':34354
  • '68.##8.166.58':34354
  • '72.##3.219.122':34354
  • '68.##.236.208':34354
  • '83.#.246.133':34354
  • '98.##2.210.170':34354
  • '18#.#07.187.246':34354
  • '72.##1.162.67':34354
  • '2.##.180.25':34354
  • '90.##1.94.115':34354
  • '79.##7.118.190':34354
  • '20#.#0.112.53':34354
  • '98.##3.254.96':34354
  • '18#.#0.240.153':34354
  • '77.##.119.86':34354
  • '68.##.155.186':34354
  • '76.##9.166.91':34354
  • '71.##9.161.232':34354
  • '71.##2.115.83':34354
  • '10#.#85.65.179':34354
  • '10#.#4.115.139':34354
  • '66.##8.111.208':34354
  • '79.##8.209.170':34354
  • '75.##5.200.52':34354
  • '17#.#71.47.152':34354
  • '99.##.234.23':34354
  • '93.#6.58.33':34354
  • '11#.#5.228.150':34354
  • '70.##1.13.153':34354
  • '68.##0.91.206':34354
  • '66.##8.156.231':34354
  • '18#.#3.173.170':34354
  • '64.##1.50.155':34354
  • '19#.#01.42.123':34354
  • '24.##.88.195':34354
  • '84.##2.27.181':34354
  • '79.##6.160.115':34354
  • '98.##3.105.178':34354
  • '10#.#62.1.89':34354
  • '87.#.233.118':34354
  • '24.##.169.188':34354
  • '10#.#35.129.34':34354
  • '75.##5.210.74':34354
  • '89.#1.25.4':34354
  • '88.##6.126.166':34354
  • '31.##0.226.136':34354
  • '80.##.46.231':34354
  • '68.##.232.198':34354
  • '79.##0.172.213':34354
  • '66.##8.202.108':34354
  • '98.##9.178.72':34354
  • '68.##.173.68':34354
  • '17#.8.24.11':34354
  • '67.##7.101.164':34354
  • '97.##.11.130':34354
  • '75.##.93.122':34354
  • '95.##.218.120':34354
  • '50.##.182.236':34354
  • '98.##0.87.159':34354
  • '89.##9.70.147':34354
  • '50.##.122.200':34354
  • '72.##1.161.252':34354
  • '16#.#37.153.9':34354
  • '68.#9.85.8':34354
  • '20#.#.73.247':34354
  • '18#.#22.11.59':34354
  • '21#.#47.102.69':34354
  • '11#.#76.249.79':34354
  • '24.##0.232.96':34354
  • '46.##9.125.207':34354
  • '77.##.41.164':34354
  • '10.##8.172.81':34354
  • '65.##.179.172':34354
  • '46.##9.102.107':34354
  • '15#.#81.140.210':34354
  • '87.##.11.127':34354
  • '10.##.150.139':34354
  • '76.##3.107.159':34354
  • '17#.#68.20.213':34354
  • '24.##6.85.41':34354
  • '65.##.125.137':34354
  • '74.##6.55.100':34354
  • '75.##5.95.96':34354
  • '89.##4.102.88':34354
  • '66.##8.245.219':34354
  • '85.##0.74.33':34354
  • '95.##1.232.165':34354
  • '70.##6.52.139':34354
  • '70.##.228.216':34354
  • '68.##7.39.166':34354
  • '70.##3.97.91':34354
  • '69.##4.60.48':34354
  • '98.##4.159.250':34354
  • '68.##5.181.37':34354
  • '95.##.235.187':34354
  • '85.##0.209.56':34354
  • '18#.#02.226.89':34354
  • '96.##.204.194':34354
  • '75.##5.144.159':34354
  • '98.##.169.87':34354
  • '99.##0.254.237':34354
  • '76.##0.233.35':34354
  • '10#.#99.232.195':34354
  • '24.##0.56.122':34354
  • '46.##9.173.73':34354
  • '17#.#19.57.41':34354
  • '17#.#7.92.224':34354
  • '72.##5.158.154':34354
  • '11#.#1.70.133':34354
  • '31.##.95.219':34354
  • '21#.#03.219.247':34354
  • '66.##.132.215':34354
  • '83.##1.168.48':34354
  • '76.##4.90.116':34354
  • '2.###.122.148':34354
  • '62.##7.175.57':34354
  • '71.##.237.109':34354
  • '92.##.156.104':34354
  • '74.##5.196.226':34354
  • '84.##1.38.96':34354
  • '15#.#1.103.229':34354
  • '75.##.110.153':34354
  • '24.##.51.114':34354
  • '19#.#63.178.22':34354
  • '17#.#65.37.57':34354
  • '75.##.236.53':34354
  • '18#.#31.74.155':34354
  • '17#.#6.107.24':34354
  • '71.##.236.52':34354
  • '97.##.147.151':34354
  • '17#.#1.172.162':34354
  • '84.##9.66.102':34354
  • '81.##8.54.73':34354
  • 'pr####.fling.com':80
  • '17#.#2.190.142':80
  • '2.##8.9.179':34354
  • '68.##.202.167':34354
  • '17#.#16.173.119':34354
  • '95.##.124.71':34354
  • '18#.#80.192.166':34354
  • '46.##6.208.3':34354
  • '85.##.244.198':34354
  • '20#.#89.92.246':34354
  • '72.##1.76.47':34354
  • '80.##8.161.220':34354
  • '98.##4.101.186':34354
  • '50.##.129.86':34354
  • '68.##.151.37':34354
  • '24.##7.124.220':34354
  • '93.##6.119.77':34354
  • '97.##.212.251':34354
  • '69.#0.86.29':34354
  • '72.##9.128.9':34354
  • '17#.#41.106.174':34354
  • '94.##8.50.143':34354
  • '71.#4.165.1':34354
  • '66.##8.166.0':34354
  • '93.##4.121.6':34354
  • '18#.#5.244.131':34354
  • '46.##.94.223':34354
  • '21#.#86.181.132':34354
  • '21#.#14.148.97':34354
  • '67.#1.48.17':34354
  • '17#.#40.70.232':34354
  • '71.##8.233.156':34354
  • '21#.#5.178.185':34354
  • '49.##3.201.171':34354
  • '71.#2.3.215':34354
  • '66.##.54.178':34354
  • '20#.#07.134.139':34354
  • '93.#5.33.70':34354
  • '78.##.178.112':34354
  • '94.##0.199.17':34354
  • '24.##.22.221':34354
  • '74.##4.202.157':34354
  • '95.##.28.135':34354
  • '76.##3.222.159':34354
  • '75.##.96.100':34354
  • '17#.#37.210.191':34354
  • '76.##6.152.219':34354
  • '46.##4.138.3':34354
  • '19#.#03.7.121':34354
  • '84.##7.176.176':34354
  • '17#.#8.255.118':34354
  • '10#.#73.21.165':34354
  • '12#.#1.246.191':34354
  • '76.##4.101.20':34354
  • '77.#1.11.53':34354
  • '21#.#42.104.144':34354
  • '76.##7.36.145':34354
  • '24.##.24.180':34354
  • '68.##6.149.42':34354
  • '18#.#37.70.43':34354
  • '18#.#84.232.151':34354
  • '75.##1.6.100':34354
  • '21#.#6.174.112':34354
  • '98.##3.164.59':34354
  • '84.#.41.127':34354
  • '88.##3.236.160':34354
  • '67.##2.44.217':34354
  • '11#.#5.131.100':34354
  • '14#.#00.181.1':34354
  • '86.#1.0.133':34354
  • '20#.#73.173.50':34354
  • '71.##8.202.14':34354
  • '74.##.144.85':34354
  • '68.##0.12.207':34354
  • '95.##.77.232':34354
  • '72.##4.94.64':34354
  • '76.##9.244.203':34354
  • '46.##2.99.98':34354
  • '75.##.48.117':34354
  • '41.#0.166.5':34354
  • '18#.#8.17.65':34354
  • '82.##0.99.182':34354
  • '97.##1.223.132':34354
  • '17#.#0.71.123':34354
  • '10#.#85.152.205':34354
  • '18#.#23.19.11':34354
  • '10#.#2.19.186':34354
TCP:
HTTP GET requests:
  • 17#.#2.190.142/stat2.php?w=#############################################
  • 17#.#2.190.142/stat2.php?w=############################################
  • pr####.fling.com/geo/txt/city.php
UDP:
  • DNS ASK z#�l�
  • DNS ASK z#�ˆ
  • DNS ASK z#{�Kt
  • DNS ASK z#A���
  • DNS ASK z#-N5
  • DNS ASK z#�Ai
  • DNS ASK z#NZ
  • DNS ASK z#��&�
  • DNS ASK z#b�]F
  • DNS ASK z#���'
  • DNS ASK pr####.fling.com
  • DNS ASK z#���
  • DNS ASK z#�#
  • DNS ASK z#��
  • DNS ASK z#�&�]
  • '8.#.8.8':1037

Рекомендации по лечению

  1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
  2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Демо бесплатно

 

Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

Демо бесплатно

 

Скачать Dr.Web

По серийному номеру

Скачать Dr.Web с Apple Store

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Демо бесплатно

 

Скачать Dr.Web

По серийному номеру

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке

Скачать с сайта
Скачать с Google Play