Jump to content

Recommended Posts

Posted

С течением времени объем вычислительных ресурсов, которые необходимо затратить для добычи подобных Bitcoin криптовалют, значительно возрос, а интерес к этой сфере со стороны злоумышленников пропорционально снизился, сообщили CNews в компании «Доктор Веб». Вместе с тем в вирусную лабораторию «Доктор Веб» до сих пор периодически поступают образцы троянов-майнеров, один из которых получил наименование Trojan.BtcMine.737. 

По своей внутренней архитектуре Trojan.BtcMine.737 напоминает матрешку, состоящую из трех вложенных друг в друга установщиков, созданных злоумышленниками с использованием технологии Nullsoft Scriptable Install System (NSIS). Первый слой этого своеобразного «сэндвича» представляет собой довольно-таки простой дроппер: он пытается остановить процессы Trojan.BtcMine.737, если ранее они уже были запущены в системе, а затем извлекает из своего тела и помещает во временную папку исполняемый файл другого установщика, запускает его, а исходный файл удаляет. 

Второй установщик обладает чуть более широкими возможностями, похожими на функционал сетевого червя. В первую очередь, он сохраняет в одной из папок на диске атакованного компьютера и запускает исполняемый файл CNminer.exe, который также представляет собой NSIS-установщик, затем создает собственную копию в папке автозагрузки, в папке «Документы» пользователя Windows и во вновь созданной на диске директории, к которой автоматически открывает доступ из локальной сети. В целевых папках эти копии вредоносной программы отображаются в виде файла с именем Key, имеющего значок WinRAR-архива, рассказали в компании. 

Затем троян копирует себя в корневую папку всех дисков инфицированной машины (эту операцию он повторяет с определенной периодичностью), перечисляет доступные в сетевом окружении компьютеры и пытается подключиться к ним, перебирая логины и пароли с использованием имеющегося в его распоряжении специального списка. Помимо этого, вредоносная программа пытается подобрать пароль к локальной учетной записи пользователя Windows. Если это удается, Trojan.BtcMine.737 при наличии соответствующего оборудования запускает на инфицированном компьютере открытую точку доступа Wi-Fi. Если вредоносной программе удалось получить доступ к одному из компьютеров в локальной сети, предпринимается попытка сохранить и запустить на нем копию трояна либо с использованием инструментария Windows Management Instrumentation (WMI), либо при помощи планировщика заданий. 

Программа CNminer.exe, которую Trojan.BtcMine.737 сохраняет на диск на втором этапе своей установки, как раз и является установщиком утилиты для добычи (майнинга) криптовалюты, указали в «Доктор Веб». Запустившись на инфицированном компьютере, приложение CNminer.exe сохраняет в текущей папке исполняемые файлы майнера для 32-разрядной и 64-разрядной архитектур, а также текстовый файл с необходимыми для его работы конфигурационными данными. Ссылку на исполняемый файл троян вносит в отвечающую за автоматический запуск приложений ветвь системного реестра Windows и, кроме того, сохраняет ярлык на него в стандартной папке автозапуска. После старта установщика содержащийся в нем сценарий останавливает уже работающие процессы майнеров (если они были запущены ранее), затем обращается к своему управляющему серверу, который возвращает ему в виде HTML-файла дополнительные конфигурационные данные с параметрами пулов и номерами электронных кошельков, причем эти номера периодически меняются.

По информации «Доктор Веб», в качестве майнера для добычи криптовалюты злоумышленники используют утилиту другого разработчика, детектируемую «Антивирусом Dr.Web» как программа из семейства Tool.BtcMine. Создатель этой утилиты распространяет ее на условии оплаты комиссии в размере 2,5% от всей добытой с ее помощью криптовалюты, поэтому вирусописатели автоматически направляют ему часть своей незаконной выручки в качестве комиссионных. 

Поскольку Trojan.BtcMine.737 обладает способностью к самостоятельному распространению по локальной сети, он может представлять опасность для компьютеров, не защищенных антивирусными программами. «Антивирус Dr.Web» детектирует и удаляет этого трояна, поэтому пользователи продукции «Доктор Веб» защищены от действий данного майнера, подчеркнули в компании.

 

Источник: cnews.ru

Posted

дайте нам сюда этого трояна, а то народ все парится-не знает как парк машин использовать, как настроить и т.п. А тут-запустил-и сиди кури.. :D

Posted

@ss200,хозяин-барин..вчера-позавчера тут темы были-помогите..есть куча серваков-компов..че..куда настроить..и т.п. :D

Posted

дайте нам сюда этого трояна, а то народ все парится-не знает как парк машин использовать, как настроить и т.п. А тут-запустил-и сиди кури.. :D

Ну так и я о том же..))),  нормальная тема..!!

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
  • Recently Browsing   0 members

    • No registered users viewing this page.
  • Similar Topics

    • ООН: Незаконный майнинг распространяется по миру будто раковая опухоль

      Управление по наркотикам и преступности Организации Объединенных Наций (УПН ООН) заявило, что преступные сообщества Азии используют незаконный майнинг как инструмент для расширения своей деятельности и отмывания десятков миллиардов долларов. В докладе «Переломный момент: глобальные последствия деятельности мошеннических центров, подпольного банкинга и незаконных онлайн-рынков в Юго-Восточной Азии», указано, как преступные синдикаты организуют целые экосистемы с помощью майнинга криптовалют,

      in Новости криптовалют

    • Worldcoin: Пользователи смогут самостоятельно хранить биометрические данные

      Криптовалютный проект Worldcoin пообещал прекратить самостоятельно хранить личные данные своих 4,5 млн пользователей. Практика сбора отпечатков сетчатки глаза в обмен на токены вызывает вопросы у правоохранителей. Криптопроект планирует внедрить систему Personal Custody, которая позволит хранить изображения и любые метаданные, собранные устройством Worldcoin Orb, на гаджетах пользователей.   Во время проверки данных World ID Orb должен будет обрабатывать изображения прямо на устройств

      in Новости криптовалют

    • Федеральная торговая комиссия США: «На криптодепозиты страховка по вкладам не распространяется»

      Федеральная торговая комиссия США (FTC) предупредила, что депозиты в криптовалютах не страхуются Федеральной корпорацией по страхованию вкладов США (FDIC), и держатели не смогут рассчитывать на возврат потерянных средств. Специалист по работе с клиентами FTC Кристина Миранда (Cristina Miranda) пояснила: если пользователи вкладывают деньги в криптовалютные платформы, их средства не страхуются и не защищаются FDIC. В случае хакерской атаки на криптовалютные площадки или кражи средств, постра

      in Новости криптовалют

    • Комиссар CFTC призвала Конгресс запретить биржам самостоятельно сертифицировать токены

      Член Комиссии по торговле товарными фьючерсами США (CFTC) Кристи Голдсмит Ромеро призвала Конгресс запретить недавно лицензированным криптовалютным биржам самим сертифицировать продукты для листинга. Кристи Голдсмит Ромеро (Christy Goldsmith Romero) выступила на конференции Пенсильванского университета, посвященной криптобирже FTX. В ходе выступления она заявила, что нынешняя система, при которой криптовалютные площадки самостоятельно сертифицируют токены, не обеспечивает безопасность и над

      in Новости криптовалют

    • Чанпэн Чжао: «99% пользователей криптовалют не сумеют самостоятельно хранить активы»

      Генеральный директор биржи Binance Чанпэн Чжао считает, что подавляющее большинство пользователей не обладают знаниями для самостоятельного хранения криптовалют и поэтому могут потерять активы. Чанпэн Чжао (Changpeng Zhao) поддерживает самостоятельное хранение активов, однако подчеркивает, что это надо «делать правильно». Во время недавней конференции Чжао отметил, что зачастую пользователи уделяют недостаточно внимания хранению ключей от кошелька, что приводит к потере либо ключей, либо ак

      in Новости криптовалют

×
×
  • Create New...