Защити созданное

Другие наши ресурсы

  • free.drweb.uz — бесплатные утилиты, плагины, информеры
  • av-desk.com — интернет-сервис для поставщиков услуг Dr.Web AV-Desk
  • curenet.drweb.uz — сетевая лечащая утилита Dr.Web CureNet!
  • www.drweb.uz/web-iq — ВебIQметр
Закрыть

Библиотека
Моя библиотека

Чтобы добавить ресурс в библиотеку, войдите в аккаунт.

+ Добавить в библиотеку

Ресурсов: -

Последний: -

Моя библиотека

Поиск

Поиск

Поддержка
Круглосуточная поддержка | Правила обращения

Напишите

Запрос через форму

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -
Создать новый запрос Частые вопросы

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

UZ

RU CN DE EN ES FR IT JP KZ UZ PL BY
Закрыть
Сервисы
Сканеры
Dr.Web vxCube
Демо
Экспертиза ВКИ
Вирусная библиотека
База знаний

Технологии

Термины

Обучение и просвещение

Мифы

Новости

BackDoor.Maxplus.5824

Добавлен в вирусную базу Dr.Web: 2012-06-27

Описание добавлено:

Technical Information

To ensure autorun and distribution:
Modifies the following registry keys:
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000002] 'PackedCatalogItem' = ''
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000003] 'PackedCatalogItem' = ''
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000004] 'PackedCatalogItem' = ''
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000001] 'LibraryPath' = 'mswsock.dll'
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000003] 'LibraryPath' = 'mswsock.dll'
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000001] 'PackedCatalogItem' = ''
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000005] 'PackedCatalogItem' = ''
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000009] 'PackedCatalogItem' = ''
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000010] 'PackedCatalogItem' = ''
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000011] 'PackedCatalogItem' = ''
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000006] 'PackedCatalogItem' = ''
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000007] 'PackedCatalogItem' = ''
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000008] 'PackedCatalogItem' = ''
Creates the following services:
  • [<HKLM>\SYSTEM\ControlSet001\Services\.ipsec] 'ImagePath' = '\?'
Malicious functions:
Injects code into
the following system processes:
  • <SYSTEM32>\winlogon.exe
  • %WINDIR%\Explorer.EXE
Modifies file system :
Creates the following files:
  • %WINDIR%\$NtUninstallKB27979$\4121336045\@
  • %WINDIR%\$NtUninstallKB27979$\4121336045\L\alehhooo
  • %WINDIR%\$NtUninstallKB27979$\4121336045\Desktop.ini
Deletes itself.
Network activity:
Connects to:
  • '18#.#72.204.122':80
  • 'pr####.fling.com':80
TCP:
HTTP GET requests:
  • 18#.#72.204.122/count.php?id########################
  • 18#.#72.204.122/count.php?id#########################
  • pr####.fling.com/geo/txt/city.php
  • 18#.#72.204.122/count.php?id#######################
UDP:
  • DNS ASK ��#�9$�
  • DNS ASK ��#K�Ln
  • DNS ASK ��#qϦ
  • DNS ASK ��#>P��
  • DNS ASK ��#���=
  • DNS ASK ��#(��
  • DNS ASK ��# �U
  • DNS ASK ��#� x�
  • DNS ASK pr####.fling.com
  • DNS ASK ��#�^�N
  • DNS ASK ��#�g
  • DNS ASK ��#�{n
  • '11#.#8.150.240':16471
  • '5.##.142.241':16471
  • '68.##.231.239':16471
  • '11#.#72.133.234':16471
  • '67.##.114.239':16471
  • '24.##5.4.245':16471
  • '65.##.163.247':16471
  • '68.##.40.250':16471
  • '75.##6.116.247':16471
  • '16#.#41.196.245':16471
  • '50.##.227.246':16471
  • '74.##.70.220':16471
  • '20#.#22.21.223':16471
  • '17#.#8.9.219':16471
  • '69.##3.232.217':16471
  • '70.##.109.218':16471
  • '71.##4.221.225':16471
  • '70.##.168.232':16471
  • '79.##4.199.232':16471
  • '50.##3.255.231':16471
  • '20#.#52.151.227':16471
  • '66.##5.189.227':16471
  • '99.##0.166.250':16471
  • '12#.#73.255.255':16471
  • '85.##9.255.255':16471
  • '86.##1.255.255':16471
  • '21#.#61.255.255':16471
  • '11#.#66.255.255':16471
  • '77.##3.255.255':16471
  • '76.##.165.215':16471
  • '17#.#8.124.183':16471
  • '31.##2.36.165':16471
  • '11#.#94.255.255':16471
  • '0.###.255.255':16471
  • '1.###.46.252':16471
  • '98.##4.69.253':16471
  • '68.##.24.251':16471
  • '76.#.168.250':16471
  • '10#.#43.186.250':16471
  • '50.##9.20.254':16471
  • '15#.#42.255.255':16471
  • '86.##5.255.255':16471
  • '20#.#41.255.255':16471
  • '74.##3.122.254':16471
  • '71.##4.151.254':16471

Рекомендации по лечению

  1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
  2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Демо бесплатно

 

Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

Демо бесплатно

 

Скачать Dr.Web

По серийному номеру

Скачать Dr.Web с Apple Store

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Демо бесплатно

 

Скачать Dr.Web

По серийному номеру

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке

Скачать с сайта
Скачать с Google Play