Salut. Je suis tombé aujourd'hui sur le poste d'un Kali Linuxien qui a prétendu qu'un virus du nom de "All-Radio 4.27 Portable" n'était pas retirable de Windows.

De base, "All-Radio 4.27 Portable" c'est un logiciel de radio et de télévision en ligne, créer en Russie.
Le code a été largement modifié pour créer ce virus, qui porte le même nom.

Bon. Quand Kali Linux occupera plus de 20 pour-cent des ordinateurs privé du marché, et donc serra cibler comme Windows par les attaques informatique, il pourra ouvrir ça gueule concernant la sécurité des autres.

De plus, Kali Linux et ces variantes on  quasiment toutes été impacté par un gros bug généralisé l'an dernier. Donc on parle pas de Windows, et on retourne bien gentiment exécuter le gold pack du script kiddies!

 

Bref, ce virus de kikoo peux être retiré: Let's fight boy!

 

Sont fonctionnement, l'infection vas télécharger des installer plusieurs logiciels malveillants.
Il place un RootKit par injection dans le processus Explorer.exe.
Il installe entre autre un mineur de cryptomonai, un controle du presse-papiers, un logiciel de spam (certainement pour la propagation), et une BackDoor.

Le programme d'instalation principal prend en charge les machines virtuelles, il est installer dans %AppData%\Microsoft\Windows\[random]\[random].exe.
De la, le processus copie dans %Temp% le processus allradio_4.27_portable.exe.

Il se connecte a https://iplogger.com/1kfvV6.
Un mineur appeler "file.exe" est injecté dans C:\Windows\Syswow64\svchost.exe.

Le contrôle du presse papiers met a jours les porte-feuil de cryptomonnaie (plus de 2 millions détectés a ce jours).
Si il en détecte un, il vole le contenue.

 

Pour la suppression:
1: On commence par .kill les processus si il existent.

2: On désinstaller en suite le faux allradio dans le panneau de configuration. Si message d'erreur il y a, passez a l'étape suivante. La dernière étape remédiera a ce problème.

3: On recherche et supprime tout les fichiers et clefs de registre.

4: Si le virus fait encore parler de lui après ça, on fait une combo Malwarebhyte, SpyHunter et ADWCleaner.

De la, virus mis au sol a tout les coups.

 

Les signatures:
9d891048dddda8a65de966c71f81464b20e402766aaee8a284da8d25c98270bd
48b66dd02a336eb049a784b3fd1beb5312fb8c078b3729d49e92e3e986c98e91
0cc32e6e6a407b2b69e1d89b3f005eecc54e238104725dcdcc8d3fc09c109bb4
cf8ef10678e63ffd02a5a35c84461d0195e0eed234bf9328eede52f3bef0e5f7
2e23ab52259e45eaced300811a6d6795db719b029d06b08ca7bac7d86cc289ad
2c3eae980a88e7bb6a91f2b466856f612f34b8a37fac46bbbb52c0af0e695488
ffdc286711557df5f0bfd6a96744e93633d13fe45c02c240d5d6cf7531b21847
20bdef6e68bbec5ddeb7b893a9b4f387adbf2ee304963e905d98116a57334a41
acf810c7bb3961fd42f5925fcd4417cb812eb6fdaad00c98830c522d54c7f6eb
084d4811c47a5dc36df59bfaf477e1f0bf3a9b3901877de1d1548c3343d1e4d6
ea92702d5fe168a57ccf5abbe6b9f5eca25f039e111db4b010183aa6909c38d2
2c3eae980a88e7bb6a91f2b466856f612f34b8a37fac46bbbb52c0af0e695488

 

Les clés de registre:
HKCU\Software\All-Radio
HKCU\Software\All-Radio\Settings
HKCU\Software\All-Radio\Settings\TimeStamp 914BE45509E88CBE12C9C147B92F8928
HKCU\Software\All-Radio\Settings\CurrentLanguage English
HKCU\Software\All-Radio\Settings\skin name Cold
HKCU\Software\All-Radio\Settings\color 0
HKCU\Software\All-Radio\Settings\saturation 0
HKCU\Software\All-Radio\Settings\use skin 1
HKCU\Software\All-Radio\Settings\CurrentServer http://www.radioserver2.com/
HKCU\Software\All-Radio\Settings\ServersCount 8
HKCU\Software\All-Radio\Settings\resize 1
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\agwpyjho "C:\Users\User\gidulfmf.exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\DirectX 11 rundll32 %Temp%\d3dx11_31.dll,includes_func_runnded
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E50B01A9-6717-4321-B6C1-3444E35D4419}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E50B01A9-6717-4321-B6C1-3444E35D4419}\Path\Opera scheduled Autoupdate 1427321617
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E50B01A9-6717-4321-B6C1-3444E35D4419}\Hash BINARY SIZE=32 MD5=5520F781167B06815EF8BD54DD186F9C
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E50B01A9-6717-4321-B6C1-3444E35D4419}\Triggers BINARY SIZE=352 MD5=83356B89B15EAB067435487A7B92FDBE
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E50B01A9-6717-4321-B6C1-3444E35D4419}\DynamicInfo BINARY SIZE=28 MD5=3068A03846DFF3649992C32FBA75E688
HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths\C:\Windows\SysWOW64\kqgzitry 0

 

Les processus a surveiller:
Megasync
allradio_4.27_portable
allradio 4.27 portable
lame_enc
lame enc
d3dx11_31
d3dx11 31
A159.tmp
1A26.tmp
F1BD.tmp
file
Logger

 

Les fichiers:
%Temp%\1A26.tmp.exe
%Temp%\A159.tmp.exe
%Temp%\allradio_4.27_portable.exe
%Temp%\F1BD.tmp.exe
%Temp%\lame_enc.dll
%Temp%\d3dx11_31.dll
%AppData%\Microsoft\Windows\Start Menu\Programs\Startup\SATA Monitor.lnk
%AppData%\Microsoft\Windows\[random]\[random].exe
%AppData%\1337\file.exe
%AppData%\1337\Logger.exe
%AppData%\SATA Monitor\satamon.exe
C:\Windows\SysWOW64\[random]\[random].exe
C:\Windows\System32\Tasks\Opera scheduled Autoupdate 1427321617

Les serveurs:
https://iplogger.com/1kfvV6

 

Bon voila, c'était pas si compliqué que ça.

 

En vérité?... à part une sorte de blocage au niveau de la désinstalation, il n'y a rien d'innovant ou même de redoutable.

Il vous est fortement recommandé de mettre a jours votre système et vos outils.

 

Les Kalis Linuxiens en Position Latérale de Sécurité.

 

(On note que jais mis 2/3 semaines avant de m'intéresser a ce sujet de merde).

 

J'en retourne a mes vacances.

 

Ciao.