Перейти к содержимому
Gegun

Несанкционированный майнинг

Рекомендуемые сообщения

Встречал у людей скрытые майнеры. Видно что видяха грузится на 100%. Кроме скрытого процесса консоли ничего найти не смог (впрочем особо и не искал, людям было пофигу). NOD 32 тож ничего не видит. Кто сталкивался или просто знаком с такими... вредоносными программами, даж незнаю к какому классу их отнести. Интересуюсь для общего развития, да и ноут есть с 7670, который не майнит, и не хочу чтобы кто-то майнил) 

Вобщем чем искать, где ковырять, как определять, что это оно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А этот скрытый майнер был на домашнем или офисном компе? Во втором случае скорее местные айтишники балуются.

Проще всего начать с анализатора сетевого трафика, т.к. любой майнер его создает в приличных объемах. Вопрос в том, использует ли "хацкер" общедоступные пулы или ботнет завязан на приватный пул/прокси. Общепринятые исходящие порты для майнинга известны. Тот же Wireshark покажет и процесс который его генерирует, если он не запрятан ну очень хитрыми методами :ph34r:

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@Gegun,

Чаще всего 2 варианта бывают:

1. Местный админ или шарящий школьник, проходя мимо, установил майнер и скрыл окно.

2. На данной машине кто-то словил вредоносное ПО, которое закачало майнер и майнет на ботнетщика.

 

Сам майнер - не вредоносное ПО, большая их часть распространяется с открытым исходным кодом, чтобы в этом убедиться.

Но злоумышленники могут использовать его в своих целях, организуя ботнеты, которые майнят на их хозяина.

 

Я бы порекомендовал найти конфиг майнера, где отображается к какому пулу и с какими параметрами майнер подключается, т.е. там будет хост, порт, логин и пароль. Эти данные имеет смысл отправить абузой в тот пул, на который настроен майнер, обычно пулы тоже не любят ботнетщиков, и могут их забанить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

я подхватывал такой, утром включил комп а у меня видюха кулерами шуршит, глянул загрузку в афтербернере, нашел вредоносный процесс и убил его, в авторанах он кажется не прописывался, стоял NOD32

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

А этот скрытый майнер был на домашнем или офисном компе?


Комп был домашний. Мне не дали с ним повозится подольше, а за 10ть минут я ничего не нарыл.

 

 

Я бы порекомендовал найти конфиг майнера, где отображается к какому пулу и с какими параметрами майнер подключается, т.е. там будет хост, порт, логин и пароль. Эти данные имеет смысл отправить абузой в тот пул, на который настроен майнер, обычно пулы тоже не любят ботнетщиков, и могут их забанить.


Дык в том то и вопрос где этот конфиг откопать, как найти.

 

 

в авторанах он кажется не прописывался


В авторанах я его тож не нашёл.

 

Ладно, мож ещё встречу, покапаюсь подольше)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас


  • Сейчас на странице   0 пользователей

    Нет пользователей, просматривающих эту страницу.

×