Перейти к содержимому

YoBit.Net

Фотография

Несанкционированный майнинг

вредоносный софт

  • Авторизуйтесь для ответа в теме
Сообщений в теме: 4

#1 Gegun

Gegun

    Продвинутый пользователь

  • Пользователи
  • PipPipPip
  • 1273 сообщений

Отправлено 06 June 2013 - 16:02

Встречал у людей скрытые майнеры. Видно что видяха грузится на 100%. Кроме скрытого процесса консоли ничего найти не смог (впрочем особо и не искал, людям было пофигу). NOD 32 тож ничего не видит. Кто сталкивался или просто знаком с такими... вредоносными программами, даж незнаю к какому классу их отнести. Интересуюсь для общего развития, да и ноут есть с 7670, который не майнит, и не хочу чтобы кто-то майнил) 

Вобщем чем искать, где ковырять, как определять, что это оно.


  • 0

#2 Tomcat_MkII

Tomcat_MkII

    Суперзаменятор

  • Супермодераторы
  • 4716 сообщений
  • ГородСанкт-Петербург

Отправлено 06 June 2013 - 16:31

А этот скрытый майнер был на домашнем или офисном компе? Во втором случае скорее местные айтишники балуются.

Проще всего начать с анализатора сетевого трафика, т.к. любой майнер его создает в приличных объемах. Вопрос в том, использует ли "хацкер" общедоступные пулы или ботнет завязан на приватный пул/прокси. Общепринятые исходящие порты для майнинга известны. Тот же Wireshark покажет и процесс который его генерирует, если он не запрятан ну очень хитрыми методами :ph34r:


  • 0

#3 polym0rph

polym0rph

    Администратор

  • Администраторы
  • 6203 сообщений

Отправлено 06 June 2013 - 17:30

Gegun,

Чаще всего 2 варианта бывают:

1. Местный админ или шарящий школьник, проходя мимо, установил майнер и скрыл окно.

2. На данной машине кто-то словил вредоносное ПО, которое закачало майнер и майнет на ботнетщика.

 

Сам майнер - не вредоносное ПО, большая их часть распространяется с открытым исходным кодом, чтобы в этом убедиться.

Но злоумышленники могут использовать его в своих целях, организуя ботнеты, которые майнят на их хозяина.

 

Я бы порекомендовал найти конфиг майнера, где отображается к какому пулу и с какими параметрами майнер подключается, т.е. там будет хост, порт, логин и пароль. Эти данные имеет смысл отправить абузой в тот пул, на который настроен майнер, обычно пулы тоже не любят ботнетщиков, и могут их забанить.


  • 0

Правила форума.  Тема для вопросов новичков, если не нашли подходящую ветку форума.

Участвуйте в жизни сообщества, участвуйте в краудньюсинге!
Bitcoin адрес для пожертвований на развитие Bits.media: 1BQ9qza7fn9snSCyJQB3ZcN46biBtkt4ee


#4 mine777

mine777

    Продвинутый пользователь

  • Пользователи
  • PipPipPip
  • 934 сообщений

Отправлено 06 June 2013 - 18:44

я подхватывал такой, утром включил комп а у меня видюха кулерами шуршит, глянул загрузку в афтербернере, нашел вредоносный процесс и убил его, в авторанах он кажется не прописывался, стоял NOD32


  • 0

Mining.gif


#5 Gegun

Gegun

    Продвинутый пользователь

  • Пользователи
  • PipPipPip
  • 1273 сообщений

Отправлено 08 June 2013 - 01:08

А этот скрытый майнер был на домашнем или офисном компе?


Комп был домашний. Мне не дали с ним повозится подольше, а за 10ть минут я ничего не нарыл.

 

Я бы порекомендовал найти конфиг майнера, где отображается к какому пулу и с какими параметрами майнер подключается, т.е. там будет хост, порт, логин и пароль. Эти данные имеет смысл отправить абузой в тот пул, на который настроен майнер, обычно пулы тоже не любят ботнетщиков, и могут их забанить.


Дык в том то и вопрос где этот конфиг откопать, как найти.

 

в авторанах он кажется не прописывался


В авторанах я его тож не нашёл.

 

Ладно, мож ещё встречу, покапаюсь подольше)


  • 0




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных