Jump to content
Sign in to follow this  
Gegun

Несанкционированный майнинг

Recommended Posts

Встречал у людей скрытые майнеры. Видно что видяха грузится на 100%. Кроме скрытого процесса консоли ничего найти не смог (впрочем особо и не искал, людям было пофигу). NOD 32 тож ничего не видит. Кто сталкивался или просто знаком с такими... вредоносными программами, даж незнаю к какому классу их отнести. Интересуюсь для общего развития, да и ноут есть с 7670, который не майнит, и не хочу чтобы кто-то майнил) 

Вобщем чем искать, где ковырять, как определять, что это оно.

Share this post


Link to post
Share on other sites

А этот скрытый майнер был на домашнем или офисном компе? Во втором случае скорее местные айтишники балуются.

Проще всего начать с анализатора сетевого трафика, т.к. любой майнер его создает в приличных объемах. Вопрос в том, использует ли "хацкер" общедоступные пулы или ботнет завязан на приватный пул/прокси. Общепринятые исходящие порты для майнинга известны. Тот же Wireshark покажет и процесс который его генерирует, если он не запрятан ну очень хитрыми методами :ph34r:

Share this post


Link to post
Share on other sites

@Gegun,

Чаще всего 2 варианта бывают:

1. Местный админ или шарящий школьник, проходя мимо, установил майнер и скрыл окно.

2. На данной машине кто-то словил вредоносное ПО, которое закачало майнер и майнет на ботнетщика.

 

Сам майнер - не вредоносное ПО, большая их часть распространяется с открытым исходным кодом, чтобы в этом убедиться.

Но злоумышленники могут использовать его в своих целях, организуя ботнеты, которые майнят на их хозяина.

 

Я бы порекомендовал найти конфиг майнера, где отображается к какому пулу и с какими параметрами майнер подключается, т.е. там будет хост, порт, логин и пароль. Эти данные имеет смысл отправить абузой в тот пул, на который настроен майнер, обычно пулы тоже не любят ботнетщиков, и могут их забанить.

Share this post


Link to post
Share on other sites

я подхватывал такой, утром включил комп а у меня видюха кулерами шуршит, глянул загрузку в афтербернере, нашел вредоносный процесс и убил его, в авторанах он кажется не прописывался, стоял NOD32

Share this post


Link to post
Share on other sites

 

А этот скрытый майнер был на домашнем или офисном компе?


Комп был домашний. Мне не дали с ним повозится подольше, а за 10ть минут я ничего не нарыл.

 

 

Я бы порекомендовал найти конфиг майнера, где отображается к какому пулу и с какими параметрами майнер подключается, т.е. там будет хост, порт, логин и пароль. Эти данные имеет смысл отправить абузой в тот пул, на который настроен майнер, обычно пулы тоже не любят ботнетщиков, и могут их забанить.


Дык в том то и вопрос где этот конфиг откопать, как найти.

 

 

в авторанах он кажется не прописывался


В авторанах я его тож не нашёл.

 

Ладно, мож ещё встречу, покапаюсь подольше)

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...