Перейти к содержанию

Несанкционированный майнинг


Gegun

Рекомендуемые сообщения

Встречал у людей скрытые майнеры. Видно что видяха грузится на 100%. Кроме скрытого процесса консоли ничего найти не смог (впрочем особо и не искал, людям было пофигу). NOD 32 тож ничего не видит. Кто сталкивался или просто знаком с такими... вредоносными программами, даж незнаю к какому классу их отнести. Интересуюсь для общего развития, да и ноут есть с 7670, который не майнит, и не хочу чтобы кто-то майнил) 

Вобщем чем искать, где ковырять, как определять, что это оно.

Ссылка на комментарий
Поделиться на другие сайты

А этот скрытый майнер был на домашнем или офисном компе? Во втором случае скорее местные айтишники балуются.

Проще всего начать с анализатора сетевого трафика, т.к. любой майнер его создает в приличных объемах. Вопрос в том, использует ли "хацкер" общедоступные пулы или ботнет завязан на приватный пул/прокси. Общепринятые исходящие порты для майнинга известны. Тот же Wireshark покажет и процесс который его генерирует, если он не запрятан ну очень хитрыми методами :ph34r:

Ссылка на комментарий
Поделиться на другие сайты

@Gegun,

Чаще всего 2 варианта бывают:

1. Местный админ или шарящий школьник, проходя мимо, установил майнер и скрыл окно.

2. На данной машине кто-то словил вредоносное ПО, которое закачало майнер и майнет на ботнетщика.

 

Сам майнер - не вредоносное ПО, большая их часть распространяется с открытым исходным кодом, чтобы в этом убедиться.

Но злоумышленники могут использовать его в своих целях, организуя ботнеты, которые майнят на их хозяина.

 

Я бы порекомендовал найти конфиг майнера, где отображается к какому пулу и с какими параметрами майнер подключается, т.е. там будет хост, порт, логин и пароль. Эти данные имеет смысл отправить абузой в тот пул, на который настроен майнер, обычно пулы тоже не любят ботнетщиков, и могут их забанить.

Ссылка на комментарий
Поделиться на другие сайты

я подхватывал такой, утром включил комп а у меня видюха кулерами шуршит, глянул загрузку в афтербернере, нашел вредоносный процесс и убил его, в авторанах он кажется не прописывался, стоял NOD32

Ссылка на комментарий
Поделиться на другие сайты

 

А этот скрытый майнер был на домашнем или офисном компе?


Комп был домашний. Мне не дали с ним повозится подольше, а за 10ть минут я ничего не нарыл.

 

 

Я бы порекомендовал найти конфиг майнера, где отображается к какому пулу и с какими параметрами майнер подключается, т.е. там будет хост, порт, логин и пароль. Эти данные имеет смысл отправить абузой в тот пул, на который настроен майнер, обычно пулы тоже не любят ботнетщиков, и могут их забанить.


Дык в том то и вопрос где этот конфиг откопать, как найти.

 

 

в авторанах он кажется не прописывался


В авторанах я его тож не нашёл.

 

Ладно, мож ещё встречу, покапаюсь подольше)

Ссылка на комментарий
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
×
×
  • Создать...