All-Radio 4.27 — получи полный набор неудаляемых вредоносов в Windows

Олег Иванов 02 Июля 2018 - 08:56

Домашние пользователи

...

На прошлой неделе исследователи в области безопасности сообщили о новой вредоносной программе для Windows «All-Radio 4.27 Portable». После анализа этого зловреда эксперты пришли к выводу, что присутствие этой программы на компьютере — признак очень серьезных проблем.

Оказалось, что наличие «All-Radio 4.27 Portable» подразумевает, что ваш компьютер заражен руткитами, вредоносными майнерами, бэкдорами, которые крадут информацию, а ваш компьютер, скорее всего, используется для рассылки спама.

Из-за огромного количества вредоносных составляющих избавиться от этого зловреда практически невозможно (руткиты обеспечивают прочное укоренение в системе). Специалисты рекомендуют переустановить операционную систему целиком.

Все началось с того, что пользователи начали жаловаться на наличие в системе программы All-Radio 4.27 Portable, которую невозможно удалить штатными средствами.

Проанализировав активность пострадавших пользователей, эксперты пришли к заключению, что программа распространяется под видом «кряков» (crack) или инструментов для активации Windows (например, KMSpico).

Стоит отметить, что All-Radio 4.27 Portable представляет собой легитимную российскую программу, злоумышленники просто использовали ее в своих целях.

Дальнейшее исследование показало, что в процессе установки вредонос устанавливает в систему руткиты, майнеры, программы для перехвата содержимого буфера обмена, трояны-даунлоадеры и прочую нечисть.

Основной установщик копируется по этому пути — %AppData%\Microsoft\Windows\[random]\[random].exe. После установки вредоносная составляющая внедряется в процесс Explorer.exe. Затем зловред копирует себя в %Temp%\allradio_4.27_portable.exe.

После этого пользователю отображается следующий экран:

Затем на компьютер устанавливаются следующие вредоносы:

Программа, которая подключается к [https://]iplogger.com/1kfvV6, чтобы отправить статистику;
Майнер с именем файла file.exe, который внедряется в C:\Windows\Syswow64\svchost.exe;
Вредоносная программа, которая контролирует буфер обмена, пытаясь выловить один из 2 343 286 криптовалютных адресов.

Эксперты опубликовали видео, демонстрирующее работу зловреда:

Руткит-драйвер устанавливается со случайным именем файла в папку %Temp%. Затем он скрывает свое присутствие в системе, а также маскирует службу «wifi support». Все это реализуется следующей командой:

sc create fjuolnkd binPath= "C:\Windows\SysWOW64\fjuolnkd\wwvbmahk.exe /d\"C:\Users\admin\AppData\Local\Temp\A159.tmp.exe\"" type= own start= auto DisplayName= "wifi support"
sc description fjuolnkd "wifi internet conection"

Следующая главная новость »

Атаки на цепочку поставок: как защититься до компрометации?
Регистрируйтесь на эфир!

Екатерина Быстрова 22 Апреля 2026 - 10:22

Соответствие законодательству РФ Общее Персональный VPN Анонимайзеры Системы контентной веб-фильтрации

Новую плату за мобильный трафик с VPN могут отложить из-за операторов

Идея с дополнительной платой за международный мобильный трафик свыше 15 Гб в месяц, похоже, может стартовать не так быстро, как планировалось. В середине апреля телекоммуникационные компании обсуждали с Минцифры возможную отсрочку: операторы говорят, что просто не успевают технически подготовиться к нововведению к 1 мая 2026 года.

Сама мера обсуждается уже не первый месяц. В конце марта стало известно, что глава Минцифры Максут Шадаев попросил операторов с 1 мая ввести дополнительную плату за использование более 15 Гб международного трафика в месяц в мобильных сетях.

На рынке эту инициативу сразу связали прежде всего с VPN: для операторов такой трафик обычно выглядит как зарубежный. Напомним, некоторые даже подсчитали, что 80 ГБ зарубежного трафика в месяц — это уже +10 тыс. рублей для россиян.

Но на практике всё оказалось не так просто. По данным собеседников «Ведомостей», главная проблема — биллинговые системы. Их нужно дорабатывать так, чтобы они в реальном времени точно понимали, какой трафик считать международным, как учитывать его в разных тарифах, когда предупреждать абонента о приближении к лимиту и что делать после его превышения. И вот тут начинается самое интересное: чёткого ответа на многие из этих вопросов у рынка пока нет.

Например, непонятно, что именно считать международным трафиком в спорных случаях. Часть российских сервисов использует иностранные IP-адреса, а часть зарубежного контента, наоборот, раздаётся через CDN внутри России. Из-за этого формула «зарубежный трафик = VPN» на практике работает далеко не всегда так прямолинейно, как может показаться.

Не до конца ясен и сценарий после превышения лимита. Если пользователь не оплатит трафик сверх 15 Гб, что дальше: оператор должен ограничить скорость, автоматически списать деньги, отключить интернет или просто показать уведомление? Эти детали пока ещё требуют прояснения, поэтому многие операторы и просят у регулятора дополнительное время.

На этом фоне участники рынка оценивают сроки: гендиректор «TMT консалтинга» Константин Анкилов и глава Telecom Daily Денис Кусков говорят, что без серьёзной доработки биллинга такую систему не запустить, а независимый аналитик Алексей Бойко вообще считает, что на подобные изменения могут уйти месяцы, а иногда и до полугода.

Ещё 31 марта Шадаев публично говорил, что перед Минцифры стоит задача снизить использование VPN в России, хотя вводить ответственность для обычных пользователей ведомство не хочет. А 16 апреля, по данным РБК, около 20 телеком-компаний подписали мораторий на расширение зарубежных каналов связи.

Вчера мы также сообщали, что VPN в рунете режут шире, чем думали: ограничений стало больше ожидаемого.

Атаки на цепочку поставок: как защититься до компрометации?
Регистрируйтесь на эфир!