Как удалить заражение All-Radio 4.27 Portable - «Неудаляемый вирус»
Опубликовано: 05.09.2018
В конце июня СМИ стали сообщать о массовых заражениях вредоносной программой “All-Radio 4.27 Portable”, так называемый «Неудаляемый вирус». После первичного анализа оказалось, что данная программа является признаком очень серьезного заражения компьютера
Если на вашем компьютере внезапно открылась данная программа, значит система инфицирована вредоносным ПО, которое устанавливает руткиты, криптомайнеры, троянцы и скрипты для рассылки спама.
Несмотря на то, что некоторые антивирусные программы успешно удаляют основные компоненты вредоносного ПО, руткит-модуль нужно удалять вручную. По этой причине, а также из-за большого количества установленных зловредов, жертвам данной угрозы рекомендуется по возможности выполнить чистую переустановку Windows.
Неудаляемый вирус внезапно появился на компьютерах с Windows
В противном случае, вы можете обратиться на специализированные форумы для получения квалифицированной помощи в очистке ПК.
Более того, некоторые проверки VirusTotal, связанные с данным зловредом, показывают, что на зараженные машины устанавливается троян, который перехватывает конфиденциальную информацию. Поэтому строго рекомендуется поменять пароли от аккаунтов, в которые вы могли входить после заражения компьютера.
Распространяется с помощью взломщиков лицензионного ПО
Первые упоминания о данной угрозе датируются 27 июня. Пользователи стали сообщать о первых случаях заражения на форуме Malwarebytes. На экранах жертв появлялась программа All-Radio 4.27 Portable, которую нельзя было удалить стандартными средствами.
Программа All-Radio 4.27 Portable является безопасным просмотрщиков видео и аудио контента от российских разработчиков, но похоже, что киберпреступники скопировали программу для своих целей - модифицированная версия служит клиентом для загрузки вредоносного ПО.
Примечательно, что большинство пользователей сообщили, что система была заражена после использования взломщиков лицензионных программ и игр (также известных как крэк, кряк, лекарство, таблетка), а также активаторов Windows, таких как KMSpico.
Проанализированные образцы взломщиков содержали вредоносный adware-модуль “aimp”, который применялся для загрузки дополнительных вредоносных программ.
Полный букет угроз
Исследователи из Malwarebytes и BleepingComputer пришли к выводу, что первичное заражение приводит к загрузке и установке целого каскада различных видов вредоносных программ: руткитов, криптомайнеров, перехватчиков буфера обмена, спам-ботов и загрузчиков троянов.
Основной установщик на базе виртуальной машины расположен по пути %AppData%\Microsoft\Windows\[random]\[random].exe и внедряется в процесс Explorer.exe. Затем процесс копирует себя в %Temp%\allradio_4.27_portable.exe и отображает окно All-Radio 4.27 Portable .
После этого зловред скачивает и устанавливает различные файлы в папку %Temp% и исполняет их. Скачанные файлы в конечном итоге устанавливают следующие вредоносные программы:
Программа, которая подключается к https://iplogger.com/1kfvV6 для статистических целей. Майнер под названием file.exe, который выполняет инъекцию в C:\Windows\Syswow64\svchost.exe. Вредоносная программа, которая выполняет мониторинг буфера обмена, и при обнаружении одного из 2,343,286 адресов кошельков заменяет его определенным адресом.
Это позволяет киберпреступникам воровать криптовалюту, которая направляется на контролируемый ими кошелек вместо целевого пользовательского кошелька.
Драйвер руткита с рандомным именем в папке %Temp%, который скрывает себя и еще одна служба под именем "wifi support”. Защищенная служба создается командами: sc create fjuolnkd binPath= "C:\Windows\SysWOW64\fjuolnkd\wwvbmahk.exe /d\"C:\Users\admin\AppData\Local\Temp\A159.tmp.exe\"" type= own start= auto DisplayName= "wifi support" sc description fjuolnkd "wifi internet conection"
Загрузчик троянов, который может скачивать и устанавливать другие вредоносные программы.
Троян, который использует компьютер для отправки спама.
Судя по данным анализа VirusTotal, некоторые угрозы могут являться троянами для кражи данных. Если вы входили в аккаунты, когда машина уже была заражена, то нужно сменить пароли от аккаунтов из чистой системы.
Как можно видеть, данный комплекс вредоносных программ представляет серьезную угрозу для ваших персональных данных, использует ПК для добычи криптовалюты и загружает другие угрозы. Для защиты своих функций зловред использует руткит. Если вы столкнулись с признаками данной угрозы, то вам нужно провести тщательную очистку компьютера и убедиться, что никаких остаточных файлов в системе не сохранилось.
Имейте в виду, что “крэки” всегда были источником вредоносных программ для пользователей. Строго рекомендуется избегать подобных программ, в том числе генераторов ключей, потому что они часто заражены вирусами и вредоносным ПО.
Информация для очистки угрозы
Хэш-суммы
Основной установщик - Megasync.exe/allradio_4.27_portable.exe (random exec name): 9d891048dddda8a65de966c71f81464b20e402766aaee8a284da8d25c98270bd - d3dx11_31.dll: 48b66dd02a336eb049a784b3fd1beb5312fb8c078b3729d49e92e3e986c98e91 - Clipboard CryptoCoin Hijacker Logger.exe: 0cc32e6e6a407b2b69e1d89b3f005eecc54e238104725dcdcc8d3fc09c109bb4 Injected miner: cf8ef10678e63ffd02a5a35c84461d0195e0eed234bf9328eede52f3bef0e5f7 Hidden Service: 2e23ab52259e45eaced300811a6d6795db719b029d06b08ca7bac7d86cc289ad Satamon.exe: 2c3eae980a88e7bb6a91f2b466856f612f34b8a37fac46bbbb52c0af0e695488 Adware-пакеты: ffdc286711557df5f0bfd6a96744e93633d13fe45c02c240d5d6cf7531b21847 20bdef6e68bbec5ddeb7b893a9b4f387adbf2ee304963e905d98116a57334a41 Временные загрузчики: acf810c7bb3961fd42f5925fcd4417cb812eb6fdaad00c98830c522d54c7f6eb 084d4811c47a5dc36df59bfaf477e1f0bf3a9b3901877de1d1548c3343d1e4d6 ea92702d5fe168a57ccf5abbe6b9f5eca25f039e111db4b010183aa6909c38d2 2c3eae980a88e7bb6a91f2b466856f612f34b8a37fac46bbbb52c0af0e695488Записи реестра:
HKCU\Software\All-Radio HKCU\Software\All-Radio\Settings HKCU\Software\All-Radio\Settings\TimeStamp 914BE45509E88CBE12C9C147B92F8928 HKCU\Software\All-Radio\Settings\CurrentLanguage English HKCU\Software\All-Radio\Settings\skin name Cold HKCU\Software\All-Radio\Settings\color 0 HKCU\Software\All-Radio\Settings\saturation 0 HKCU\Software\All-Radio\Settings\use skin 1 HKCU\Software\All-Radio\Settings\CurrentServer http://www.radioserver2.com/ HKCU\Software\All-Radio\Settings\ServersCount 8 HKCU\Software\All-Radio\Settings\resize 1 HKCU\Software\Microsoft\Windows\CurrentVersion\Run\agwpyjho "C:\Users\User\gidulfmf.exe" HKCU\Software\Microsoft\Windows\CurrentVersion\Run\DirectX 11 rundll32 %Temp%\d3dx11_31.dll,includes_func_runnded HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E50B01A9-6717-4321-B6C1-3444E35D4419} HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E50B01A9-6717-4321-B6C1-3444E35D4419}\Path \Opera scheduled Autoupdate 1427321617 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E50B01A9-6717-4321-B6C1-3444E35D4419}\Hash BINARY SIZE=32 MD5=5520F781167B06815EF8BD54DD186F9C HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E50B01A9-6717-4321-B6C1-3444E35D4419}\Triggers BINARY SIZE=352 MD5=83356B89B15EAB067435487A7B92FDBE HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E50B01A9-6717-4321-B6C1-3444E35D4419}\DynamicInfo BINARY SIZE=28 MD5=3068A03846DFF3649992C32FBA75E688 HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths\C:\Windows\SysWOW64\kqgzitry 0Связанные файлы:
%Temp%A26.tmp.exe %Temp%\A159.tmp.exe %Temp%\allradio_4.27_portable.exe %Temp%\F1BD.tmp.exe %Temp%\lame_enc.dll %Temp%\d3dx11_31.dll %AppData%\Microsoft\Windows\Start Menu\Programs\Startup\SATA Monitor.lnk %AppData%\Microsoft\Windows\[random]\[random].exe %AppData%37\file.exe %AppData%37\Logger.exe %AppData%\SATA Monitor\satamon.exe C:\Windows\SysWOW64\[random]\[random].exe C:\Windows\System32\Tasks\Opera scheduled Autoupdate 1427321617Как удалить заражение All-Radio 4.27 Portable
Для удаления угрозы и её следов вы можете воспользоваться утилитой UnHackMe.
Скачать UnHackMe
По материалам Bleeping Computer