Как удалить заражение All-Radio 4.27 Portable

Если на вашем компьютере внезапно открылась данная программа, значит система инфицирована вредоносным ПО, которое устанавливает руткиты, криптомайнеры, троянцы и скрипты для рассылки спама.

All-Radio 4.27 Portable - «Неудаляемый вирус»

Несмотря на то, что некоторые антивирусные программы успешно удаляют основные компоненты вредоносного ПО, руткит-модуль нужно удалять вручную. По этой причине, а также из-за большого количества установленных зловредов, жертвам данной угрозы рекомендуется по возможности выполнить чистую переустановку Windows.

В противном случае, вы можете обратиться на специализированные форумы для получения квалифицированной помощи в очистке ПК.

Более того, некоторые проверки VirusTotal, связанные с данным зловредом, показывают, что на зараженные машины устанавливается троян, который перехватывает конфиденциальную информацию. Поэтому строго рекомендуется поменять пароли от аккаунтов, в которые вы могли входить после заражения компьютера.

Распространяется с помощью взломщиков лицензионного ПО

Первые упоминания о данной угрозе датируются 27 июня. Пользователи стали сообщать о первых случаях заражения на форуме Malwarebytes. На экранах жертв появлялась программа All-Radio 4.27 Portable, которую нельзя было удалить стандартными средствами.

Программа All-Radio 4.27 Portable является безопасным просмотрщиков видео и аудио контента от российских разработчиков, но похоже, что киберпреступники скопировали программу для своих целей - модифицированная версия служит клиентом для загрузки вредоносного ПО.

Примечательно, что большинство пользователей сообщили, что система была заражена после использования взломщиков лицензионных программ и игр (также известных как крэк, кряк, лекарство, таблетка), а также активаторов Windows, таких как KMSpico.

Проанализированные образцы взломщиков содержали вредоносный adware-модуль “aimp”, который применялся для загрузки дополнительных вредоносных программ.

Полный букет угроз

Исследователи из Malwarebytes и BleepingComputer пришли к выводу, что первичное заражение приводит к загрузке и установке целого каскада различных видов вредоносных программ: руткитов, криптомайнеров, перехватчиков буфера обмена, спам-ботов и загрузчиков троянов.

Основной установщик на базе виртуальной машины расположен по пути %AppData%\Microsoft\Windows\[random]\[random].exe и внедряется в процесс Explorer.exe. Затем процесс копирует себя в %Temp%\allradio_4.27_portable.exe и отображает окно All-Radio 4.27 Portable.

После этого зловред скачивает и устанавливает различные файлы в папку %Temp% и исполняет их. Скачанные файлы в конечном итоге устанавливают следующие вредоносные программы:

Программа, которая подключается к https://iplogger.com/1kfvV6 для статистических целей.
Майнер под названием file.exe, который выполняет инъекцию в C:\Windows\Syswow64\svchost.exe.
Вредоносная программа, которая выполняет мониторинг буфера обмена, и при обнаружении одного из 2,343,286 адресов кошельков заменяет его определенным адресом.

Это позволяет киберпреступникам воровать криптовалюту, которая направляется на контролируемый ими кошелек вместо целевого пользовательского кошелька.

Драйвер руткита с рандомным именем в папке %Temp%, который скрывает себя и еще одна служба под именем "wifi support”. Защищенная служба создается командами:

sc create fjuolnkd binPath= "C:\Windows\SysWOW64\fjuolnkd\wwvbmahk.exe /d\"C:\Users\admin\AppData\Local\Temp\A159.tmp.exe\"" type= own start= auto DisplayName= "wifi support"
sc description fjuolnkd "wifi internet conection"

Загрузчик троянов, который может скачивать и устанавливать другие вредоносные программы.
Троян, который использует компьютер для отправки спама.

Судя по данным анализа VirusTotal, некоторые угрозы могут являться троянами для кражи данных. Если вы входили в аккаунты, когда машина уже была заражена, то нужно сменить пароли от аккаунтов из чистой системы.

Как можно видеть, данный комплекс вредоносных программ представляет серьезную угрозу для ваших персональных данных, использует ПК для добычи криптовалюты и загружает другие угрозы. Для защиты своих функций зловред использует руткит. Если вы столкнулись с признаками данной угрозы, то вам нужно провести тщательную очистку компьютера и убедиться, что никаких остаточных файлов в системе не сохранилось.

Имейте в виду, что “крэки” всегда были источником вредоносных программ для пользователей. Строго рекомендуется избегать подобных программ, в том числе генераторов ключей, потому что они часто заражены вирусами и вредоносным ПО.

Информация для очистки угрозы

Хэш-суммы

Основной установщик - Megasync.exe/allradio_4.27_portable.exe (random exec name): 9d891048dddda8a65de966c71f81464b20e402766aaee8a284da8d25c98270bd - 
d3dx11_31.dll: 48b66dd02a336eb049a784b3fd1beb5312fb8c078b3729d49e92e3e986c98e91 - Clipboard CryptoCoin Hijacker
Logger.exe: 0cc32e6e6a407b2b69e1d89b3f005eecc54e238104725dcdcc8d3fc09c109bb4
Injected miner: cf8ef10678e63ffd02a5a35c84461d0195e0eed234bf9328eede52f3bef0e5f7
Hidden Service: 2e23ab52259e45eaced300811a6d6795db719b029d06b08ca7bac7d86cc289ad
Satamon.exe: 2c3eae980a88e7bb6a91f2b466856f612f34b8a37fac46bbbb52c0af0e695488

Adware-пакеты:

ffdc286711557df5f0bfd6a96744e93633d13fe45c02c240d5d6cf7531b21847
20bdef6e68bbec5ddeb7b893a9b4f387adbf2ee304963e905d98116a57334a41

Временные загрузчики: 

acf810c7bb3961fd42f5925fcd4417cb812eb6fdaad00c98830c522d54c7f6eb
084d4811c47a5dc36df59bfaf477e1f0bf3a9b3901877de1d1548c3343d1e4d6
ea92702d5fe168a57ccf5abbe6b9f5eca25f039e111db4b010183aa6909c38d2
2c3eae980a88e7bb6a91f2b466856f612f34b8a37fac46bbbb52c0af0e695488

Записи реестра:

HKCU\Software\All-Radio
HKCU\Software\All-Radio\Settings
HKCU\Software\All-Radio\Settings\TimeStamp	914BE45509E88CBE12C9C147B92F8928
HKCU\Software\All-Radio\Settings\CurrentLanguage	English
HKCU\Software\All-Radio\Settings\skin name	Cold
HKCU\Software\All-Radio\Settings\color	0
HKCU\Software\All-Radio\Settings\saturation	0
HKCU\Software\All-Radio\Settings\use skin	1
HKCU\Software\All-Radio\Settings\CurrentServer	http://www.radioserver2.com/
HKCU\Software\All-Radio\Settings\ServersCount	8
HKCU\Software\All-Radio\Settings\resize	1
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\agwpyjho	"C:\Users\User\gidulfmf.exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\DirectX 11	rundll32 %Temp%\d3dx11_31.dll,includes_func_runnded
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E50B01A9-6717-4321-B6C1-3444E35D4419}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E50B01A9-6717-4321-B6C1-3444E35D4419}\Path	\Opera scheduled Autoupdate 1427321617
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E50B01A9-6717-4321-B6C1-3444E35D4419}\Hash	BINARY SIZE=32 MD5=5520F781167B06815EF8BD54DD186F9C
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E50B01A9-6717-4321-B6C1-3444E35D4419}\Triggers	BINARY SIZE=352 MD5=83356B89B15EAB067435487A7B92FDBE
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E50B01A9-6717-4321-B6C1-3444E35D4419}\DynamicInfo	BINARY SIZE=28 MD5=3068A03846DFF3649992C32FBA75E688
HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths\C:\Windows\SysWOW64\kqgzitry	0

Связанные файлы:

%Temp%A26.tmp.exe
%Temp%\A159.tmp.exe
%Temp%\allradio_4.27_portable.exe
%Temp%\F1BD.tmp.exe
%Temp%\lame_enc.dll
%Temp%\d3dx11_31.dll
%AppData%\Microsoft\Windows\Start Menu\Programs\Startup\SATA Monitor.lnk
%AppData%\Microsoft\Windows\[random]\[random].exe
%AppData%37\file.exe
%AppData%37\Logger.exe
%AppData%\SATA Monitor\satamon.exe
C:\Windows\SysWOW64\[random]\[random].exe
C:\Windows\System32\Tasks\Opera scheduled Autoupdate 1427321617