All-Radio 4.27 — получи полный набор неудаляемых вредоносов в Windows

All-Radio 4.27 — получи полный набор неудаляемых вредоносов в Windows

All-Radio 4.27 — получи полный набор неудаляемых вредоносов в Windows

На прошлой неделе исследователи в области безопасности сообщили о новой вредоносной программе для Windows «All-Radio 4.27 Portable». После анализа этого зловреда эксперты пришли к выводу, что присутствие этой программы на компьютере — признак очень серьезных проблем.

Оказалось, что наличие «All-Radio 4.27 Portable» подразумевает, что ваш компьютер заражен руткитами, вредоносными майнерами, бэкдорами, которые крадут информацию, а ваш компьютер, скорее всего, используется для рассылки спама.

Из-за огромного количества вредоносных составляющих избавиться от этого зловреда практически невозможно (руткиты обеспечивают прочное укоренение в системе). Специалисты рекомендуют переустановить операционную систему целиком.

Все началось с того, что пользователи начали жаловаться на наличие в системе программы All-Radio 4.27 Portable, которую невозможно удалить штатными средствами.

Проанализировав активность пострадавших пользователей, эксперты пришли к заключению, что программа распространяется под видом «кряков» (crack) или инструментов для активации Windows (например, KMSpico).

Стоит отметить, что All-Radio 4.27 Portable представляет собой легитимную российскую программу, злоумышленники просто использовали ее в своих целях.

Дальнейшее исследование показало, что в процессе установки вредонос устанавливает в систему руткиты, майнеры, программы для перехвата содержимого буфера обмена, трояны-даунлоадеры и прочую нечисть.

Основной установщик копируется по этому пути — %AppData%\Microsoft\Windows\[random]\[random].exe. После установки вредоносная составляющая внедряется в процесс Explorer.exe. Затем зловред копирует себя в %Temp%\allradio_4.27_portable.exe.

После этого пользователю отображается следующий экран:

Затем на компьютер устанавливаются следующие вредоносы:

  • Программа, которая подключается к [https://]iplogger.com/1kfvV6, чтобы отправить статистику;
  • Майнер с именем файла file.exe, который внедряется в C:\Windows\Syswow64\svchost.exe;
  • Вредоносная программа, которая контролирует буфер обмена, пытаясь выловить один из 2 343 286 криптовалютных адресов.

Эксперты опубликовали видео, демонстрирующее работу зловреда:

Руткит-драйвер устанавливается со случайным именем файла в папку %Temp%. Затем он скрывает свое присутствие в системе, а также маскирует службу «wifi support». Все это реализуется следующей командой:

sc create fjuolnkd binPath= "C:\Windows\SysWOW64\fjuolnkd\wwvbmahk.exe /d\"C:\Users\admin\AppData\Local\Temp\A159.tmp.exe\"" type= own start= auto DisplayName= "wifi support"
sc description fjuolnkd "wifi internet conection"
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Депутат Госдумы перевёл 5,8 млн по просьбе «помощника президента»

Суд приговорил Д. В. Корякина, участника организованной группы телефонных мошенников, к шести годам лишения свободы с отбыванием наказания в колонии общего режима. Участники группировки действовали с территории Украины и представлялись высокопоставленными должностными лицами.

Как стало известно ТАСС, одной из жертв преступников стал действующий депутат Государственной Думы.

Согласно материалам дела, преступная группа была создана не позднее сентября 2017 года. В распоряжении злоумышленников оказались телефонные номера — как мобильные, так и стационарные — руководителей и сотрудников органов власти разных уровней, от регионального до федерального.

Мошенники выходили на связь с чиновниками по телефону и через мессенджеры, представляясь сотрудниками Администрации президента и других государственных структур.

Они просили срочно перевести средства якобы на лечение тяжело больных детей. Деньги поступали на счета, подконтрольные участникам группировки.

Корякин присоединился к группе не позднее января 2022 года. Его задачей было получение банковских реквизитов для вывода украденных средств. В одном из эпизодов он под угрозами вынудил женщину предоставить данные счёта, которые затем передал подельникам.

Этот счёт использовался для проведения мошеннической операции, жертвой которой стал депутат Госдумы. Преступник, выдавая себя за помощника президента РФ, убедил парламентария перевести 5,8 миллиона рублей на «лечение ребёнка». В качестве «доказательства» он предоставил фальшивое письмо на официальном бланке. Корякин получил 305 тысяч рублей от этой суммы.

Суд признал Корякина виновным в совершении мошенничества по части 4 статьи 159 УК РФ. Приговор — шесть лет лишения свободы. Попытки осуждённого обжаловать решение, ссылаясь на якобы незначительную роль в преступлении, успеха не имели. Приговор вступил в законную силу.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru