Курсы

Компьютерное обучение
Пользователь ПК
Системное администрирование + ремонт ПК
Веб-дизайн
Corel Draw
Adobe Photoshop
ArchiCAD
AutoCAD
3D MAX
Adobe Ilustrator
Курсы SEO
Бухгалтерия
1С: Бухгалтерия
Оператор 1С
Бухгалтерский учет + 1С
Дизайнерское мастерство
Дизайнер оформитель витрин
Дизайнер интерьера и мебели
Дизайнер-полиграфист
Ландшафтный дизайн. Садовник
Менеджмент
Делопроизводство для секретарей
Кадровое дело
Менеджер по организации туризма
Маркетинг и реклама
Администратор широкого профиля
Сметное дело
Психология
Практическая психология
Творческие дисциплины
Вязание спицами
Авторская кукла
Академия живописи
Батик
Декупаж
Скрапбукинг
Мыловарение
Вязание игрушек
Валяние шерсти
Квиллинг
Эко косметика
Тильда
Вязание крючком
Кройка и шитье
Флористика
Школа красоты
Парикмахер-стилист(для начинающих)
Массаж
Младшая медицинская сестра
Наращивание ресниц
Наращивание ногтей
Салонный маникюр и педикюр
Косметолог-визажист
Языковые курсы
Общий курс немецкого языка
Курсы английского, немецкого, итальянского и украинского

бесплатные приколы

шаблоны joomla 1.7

Як видалити зараження All-Radio 4.27 Portable - «не видаляється вірус»

  1. Поширюється за допомогою зломщиків ліцензійного ПЗ
  2. Повний букет загроз
  3. Інформація для очищення загрози
  4. Як видалити зараження All-Radio 4.27 Portable

В кінці червня ЗМІ стали повідомляти про масові заражених шкідливою програмою "All-Radio 4.27 Portable", так званий «не видаляється вірус». Після первинного аналізу виявилося, що дана програма є ознакою дуже серйозного зараження комп'ютера

Після первинного аналізу виявилося, що дана програма є ознакою дуже серйозного зараження комп'ютера

Якщо на вашому комп'ютері раптово відкрилася дана програма, значить система інфікована шкідливим ПЗ, яке встановлює руткіти, кріптомайнери, троянці і скрипти для розсилки спаму.

Незважаючи на те, що деякі антивірусні програми успішно видаляють основні компоненти шкідливого ПО, руткит-модуль потрібно видаляти вручну. З цієї причини, а також через велику кількість встановлених зловредів, жертвам цієї небезпеки рекомендується по можливості виконати чисту переустановку Windows.

В іншому випадку, ви можете звернутися на спеціалізовані форуми для отримання кваліфікованої допомоги в очищенні ПК.

Більш того, деякі перевірки VirusTotal, пов'язані з даними зловредів, показують, що на заражені машини встановлюється троян, який перехоплює конфіденційну інформацію. Тому строго рекомендується поміняти паролі від акаунтів, в які ви могли входити після зараження комп'ютера.

Поширюється за допомогою зломщиків ліцензійного ПЗ

Перші згадки про даної загрозу датуються 27 червня. Користувачі стали повідомляти про перші випадки зараження на форумі Malwarebytes. На екранах жертв з'являлася програма All-Radio 4.27 Portable, яку не можна було видалити стандартними засобами.

Програма All-Radio 4.27 Portable є безпечним переглядачів відео і аудіо контенту від російських розробників, але схоже, що кіберзлочинці скопіювали програму для своїх цілей - модифікована версія служить клієнтом для завантаження шкідливого ПЗ.

Примітно, що більшість користувачів повідомили, що система була заражена після використання зломщиків ліцензійних програм та ігор (також відомих як крек, кряк, ліки, таблетка), а також активаторів Windows, таких як KMSpico.

Примітно, що більшість користувачів повідомили, що система була заражена після використання зломщиків ліцензійних програм та ігор (також відомих як крек, кряк, ліки, таблетка), а також активаторів Windows, таких як KMSpico

Проаналізовані зразки зломщиків містили шкідливий adware-модуль "aimp", який застосовувався для завантаження додаткових шкідливих програм.

Повний букет загроз

Дослідники з Malwarebytes і BleepingComputer прийшли до висновку, що первинне зараження призводить до завантаження та встановлення цілого каскаду різноманітних видів шкідливих програм: руткитов, кріптомайнеров, перехоплювачів буфера обміну, різних спамерських пошукових роботів і завантажувачів троянів.

Основний установник на базі віртуальної машини розташований по шляху% AppData% \ Microsoft \ Windows \ [random] \ [random] .exe і впроваджується в процес Explorer.exe. Потім процес копіює себе в% Temp% \ allradio_4.27_portable.exe і відображає вікно All-Radio 4.27 Portable.

Після цього зловредів викачує і встановлює різні файли в папку% Temp% і виконує їх. Завантажені файли в кінцевому підсумку встановлюють такі шкідливі програми:

  • Програма, яка підключається до https://iplogger.com/1kfvV6 для статистичних цілей.
  • Майнер під назвою file.exe, який виконує ін'єкцію в C: \ Windows \ Syswow64 \ svchost.exe.
  • Шкідлива програма, яка виконує моніторинг буфера обміну, і при виявленні одного з 2,343,286 адрес гаманців замінює його певною адресою.

Це дозволяє кіберзлочинцям красти криптовалюта, яка направляється на контрольований ними гаманець замість цільового користувача гаманця.

  • Драйвер руткита з рандомних ім'ям в папці% Temp%, який приховує себе і ще одна служба під ім'ям "wifi support". Захищена служба створюється командами:

sc create fjuolnkd binPath = "C: \ Windows \ SysWOW64 \ fjuolnkd \ wwvbmahk.exe / d \" C: \ Users \ admin \ AppData \ Local \ Temp \ A159.tmp.exe \ "" type = own start = auto DisplayName = "wifi support" sc description fjuolnkd "wifi internet conection" sc create fjuolnkd binPath = C: \ Windows \ SysWOW64 \ fjuolnkd \ wwvbmahk

  • Завантажувач троянів, який може завантажувати та встановлювати інші шкідливі програми.
  • Троян, який використовує комп'ютер для відправки спаму.

Судячи з даних аналізу VirusTotal, деякі загрози можуть бути троянами для крадіжки даних. Якщо ви входили в акаунти, коли машина вже була заражена, то потрібно змінити паролі від акаунтів з чистою системи.

Як можна бачити, даний комплекс шкідливих програм становить серйозну загрозу для ваших персональних даних, використовує ПК для видобутку криптовалюта і завантажувати інші загрози. Для захисту своїх функцій зловредів використовує руткіт. Якщо ви зіткнулися з ознаками даної загрози, то вам потрібно провести ретельне очищення комп'ютера і переконатися, що ніяких остаточних файлів в системі не збереглося.

Майте на увазі, що "крек" завжди були джерелом шкідливих програм для користувачів. Строго рекомендується уникати подібних програм, в тому числі генераторів ключів, тому що вони часто заражені вірусами і шкідливим ПО.

Інформація для очищення загрози

Хеш-суми

Основний установник - Megasync.exe / allradio_4.27_portable.exe (random exec name): 9d891048dddda8a65de966c71f81464b20e402766aaee8a284da8d25c98270bd - d3dx11_31.dll: 48b66dd02a336eb049a784b3fd1beb5312fb8c078b3729d49e92e3e986c98e91 - Clipboard CryptoCoin Hijacker Logger.exe: 0cc32e6e6a407b2b69e1d89b3f005eecc54e238104725dcdcc8d3fc09c109bb4 Injected miner: cf8ef10678e63ffd02a5a35c84461d0195e0eed234bf9328eede52f3bef0e5f7 Hidden Service: 2e23ab52259e45eaced300811a6d6795db719b029d06b08ca7bac7d86cc289ad Satamon.exe: 2c3eae980a88e7bb6a91f2b466856f612f34b8a37fac46bbbb52c0af0e695488 Adware-пакети : ffdc286711557df5f0bfd6a96744e93633d13fe45c02c240d5d6cf7531b21847 20bdef6e68bbec5ddeb7b893a9b4f387adbf2ee304963e905d98116a57334a41 Тимчасові завантажувачі: acf810c7bb3961fd42f5925fcd4417cb812eb6fdaad00c98830c522d54c7f6eb 084d4811c47a5dc36df59bfaf477e1f0bf3a9b3901877de1d1548c3343d1e4d6 ea92702d5fe168a57ccf5abbe6b9f5eca25f039e111db4b010183aa6909c38d2 2c3eae980a88e7bb6 a91f2b466856f612f34b8a37fac46bbbb52c0af0e695488

Записи реєстру:

HKCU \ Software \ All-Radio HKCU \ Software \ All-Radio \ Settings HKCU \ Software \ All-Radio \ Settings \ TimeStamp 914BE45509E88CBE12C9C147B92F8928 HKCU \ Software \ All-Radio \ Settings \ CurrentLanguage English HKCU \ Software \ All-Radio \ Settings \ skin name Cold HKCU \ Software \ All-Radio \ Settings \ color 0 HKCU \ Software \ All-Radio \ Settings \ saturation 0 HKCU \ Software \ All-Radio \ Settings \ use skin 1 HKCU \ Software \ All-Radio \ Settings \ CurrentServer http://www.radioserver2.com/ HKCU \ Software \ All-Radio \ Settings \ ServersCount 8 HKCU \ Software \ All-Radio \ Settings \ resize 1 HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ agwpyjho "C : \ Users \ User \ gidulfmf.exe "HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ DirectX 11 rundll32% Temp% \ d3dx11_31.dll, includes_func_runnded HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Schedule \ TaskCache \ Tasks \ {E50B01A9-6717-4321-B6C1-3444E35D4419} HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Schedule \ TaskCache \ Tasks \ {E50B01A9-6717-4321-B6C1-3444E35D4419} \ Path \ Opera scheduled Autoupdate 1 427321617 HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Schedule \ TaskCache \ Tasks \ {E50B01A9-6717-4321-B6C1-3444E35D4419} \ Hash BINARY SIZE = 32 MD5 = 5520F781167B06815EF8BD54DD186F9C HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Schedule \ TaskCache \ Tasks \ {E50B01A9-6717-4321-B6C1-3444E35D4419} \ Triggers BINARY SIZE = 352 MD5 = 83356B89B15EAB067435487A7B92FDBE HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Schedule \ TaskCache \ Tasks \ {E50B01A9-6717-4321-B6C1 -3444E35D4419} \ DynamicInfo BINARY SIZE = 28 MD5 = 3068A03846DFF3649992C32FBA75E688 HKLM \ SOFTWARE \ Microsoft \ Windows Defender \ Exclusions \ Paths \ C: \ Windows \ SysWOW64 \ kqgzitry 0

Пов'язані файли:

% Temp% A26.tmp.exe% Temp% \ A159.tmp.exe% Temp% \ allradio_4.27_portable.exe% Temp% \ F1BD.tmp.exe% Temp% \ lame_enc.dll% Temp% \ d3dx11_31.dll% AppData% \ Microsoft \ Windows \ Start Menu \ Programs \ Startup \ SATA Monitor.lnk% AppData% \ Microsoft \ Windows \ [random] \ [random] .exe% AppData% 37 \ file.exe% AppData% 37 \ Logger. exe% AppData% \ SATA Monitor \ satamon.exe C: \ Windows \ SysWOW64 \ [random] \ [random] .exe C: \ Windows \ System32 \ Tasks \ Opera scheduled Autoupdate 1427321617

Як видалити зараження All-Radio 4.27 Portable

Для видалення загрози і її слідів ви можете скористатися утилітою UnHackMe.

завантажити UnHackMe

за матеріалами Bleeping Computer

Знайшли друкарську помилку? Виділіть і натисніть Ctrl + Enter

Дополнительная информация

rss
Карта