AllRadio

 昨日から「All-Radio 4.27 Portable」というソフトが勝手にインストールされたという報告が世界中から多数よせられておりますが、このソフトは非常に危険なソフトですので厳重に注意してください。

 この「All-Radio 4.27 Portable」は一見ソフトのように見られますが、これは「マルウェア」であり、現在、駆除が困難なマルウェアとなります。

 このマルウェアに感染すると、上記のような画面が突然現れます。この画面が出た場合、すでにコンピュータはルートキット、マイニング、情報窃盗用トロイの木馬、コンピュータを使用してスパムを送信するプログラムをインストールするマルウェアに感染してることになります。
 この感染により、最終的にルートキット、マイナー、クリップボードハイジャッカー、スパマー、およびその他のトロイの木馬のダウンローダを持つコンピュータに最終的に感染するマルウェアのカスケードがダウンロードされインストールされることが判明されております。


 残念ながら、一部のセキュリティプログラムは感染の一部を削除することができますが、現時点ではこのマルウェアに感染した場合、Windowsを最初から再インストールしなければならなくなります。

 また、VirusTotalによると、このマルウェアには情報を盗むトロイの木馬も含まれています。したがって、感染中にアカウントにログインしていた場合は、別のコンピュータを使ってを使用してパスワードを変更することを強くお勧めします。

 このソフトは一見、正式なロシアのオンラインビデオとラジオ番組のように見えますが、マルウェア作成者はそれをコピーし、インストールされている他のマルウェアのフロントとして行動するハッカープログラムを作成したようです。


 KMSPicoIMG
 
「All-Radio 4.27 Portable」の感染者は主にクラックソフトである「 KMSpico」やWindowsのアクティベーションツールのクラックソフトを使用しているユーザーが感染しているとのことです。


 関連記事
【絶対使ってはいけない】Microsoft製品クラックソフト【KMSPico】


【マルウェア削除】KMSPicoアンインストールガイド【技術情報】




このマルウェアのメインインストーラーは

%AppData%\Microsoft\Windows\[random]\[random].exe

に保存され、Explorer.exeにプロセスが挿入されます。 このプロセスは

%Temp%\ allradio_4.27_portable.exe

に自身をコピーし、All-Radio 4.27 Portable画面を表示します。

次に、さまざまなファイルを%Temp%フォルダにダウンロードしてインストールし、実行します。 これらのダウンロードファイルは、最終的に次のマルウェアをインストールします。

    統計の目的でhttps://iplogger.com/1kfvV6に接続するプログラム。
    C:\ Windows \ Syswow64 \ svchost.exeに挿入されたfile.exeというマイニングソフト。

 そして、クリップボードを2,343,286個の暗号侵害アドレスで監視します。
もし、このアドレスが検出された場合は、制御下でソフトが自動的に別のアドレスに置き換えます。
 これによって、マルウェア開発者はアカウントに転送されるクリプトコイン(仮想通貨)を盗むことができるということです。

 また、自身を隠す%Temp%フォルダの下のランダムなファイル名と、表示名が "wifi support"の別のサービスを持つルートキットドライバを作成されます。 これらの保護されたサービスは、次のコマンドで作成されます。

sc create fjuolnkd binPath= "C:\Windows\SysWOW64\fjuolnkd\wwvbmahk.exe /d\"C:\Users\admin\AppData\Local\Temp\A159.tmp.exe\"" type= own start= auto DisplayName= "wifi support" sc description fjuolnkd "wifi internet conection"



 今回のこのマルウェアは先ほども記した通り、Windows製品のクラックソフトを使用しているユーザーがターゲットになっています。とくに先ほど記した「KMSpico」や「Windows Loader」は日本国内でも使用している人が多く、当然このソフトを使用しているユーザーはターゲットになっています。
 これらのソフトを使用していた場合、今回の「All-Radio 4.27 Portable」の感染は残念ながら防ぐことができないようです。一部ウイルス対策ソフトは「トロイの木馬」として認識し、削除するようですが、この「All-Radio 4.27 Portable」のマルウェアのほんの一部の部分の削除だけであり、またこの「All-Radio 4.27 Portable」は自身で修復を行うようです。感染した場合は現時点では残念ながらWindowsを最初から再インストール(クリーンインストール)しかありません。


 この「All-Radio 4.27 Portable」すでに過去のランサムウェアの時と同じように「パンデミック」状態に近づいているようです。十分に注意してください。