Перейти к содержанию

Троян-майнер самостоятельно распространяется по локальной сети


Alex03

Рекомендуемые сообщения

С течением времени объем вычислительных ресурсов, которые необходимо затратить для добычи подобных Bitcoin криптовалют, значительно возрос, а интерес к этой сфере со стороны злоумышленников пропорционально снизился, сообщили CNews в компании «Доктор Веб». Вместе с тем в вирусную лабораторию «Доктор Веб» до сих пор периодически поступают образцы троянов-майнеров, один из которых получил наименование Trojan.BtcMine.737. 

По своей внутренней архитектуре Trojan.BtcMine.737 напоминает матрешку, состоящую из трех вложенных друг в друга установщиков, созданных злоумышленниками с использованием технологии Nullsoft Scriptable Install System (NSIS). Первый слой этого своеобразного «сэндвича» представляет собой довольно-таки простой дроппер: он пытается остановить процессы Trojan.BtcMine.737, если ранее они уже были запущены в системе, а затем извлекает из своего тела и помещает во временную папку исполняемый файл другого установщика, запускает его, а исходный файл удаляет. 

Второй установщик обладает чуть более широкими возможностями, похожими на функционал сетевого червя. В первую очередь, он сохраняет в одной из папок на диске атакованного компьютера и запускает исполняемый файл CNminer.exe, который также представляет собой NSIS-установщик, затем создает собственную копию в папке автозагрузки, в папке «Документы» пользователя Windows и во вновь созданной на диске директории, к которой автоматически открывает доступ из локальной сети. В целевых папках эти копии вредоносной программы отображаются в виде файла с именем Key, имеющего значок WinRAR-архива, рассказали в компании. 

Затем троян копирует себя в корневую папку всех дисков инфицированной машины (эту операцию он повторяет с определенной периодичностью), перечисляет доступные в сетевом окружении компьютеры и пытается подключиться к ним, перебирая логины и пароли с использованием имеющегося в его распоряжении специального списка. Помимо этого, вредоносная программа пытается подобрать пароль к локальной учетной записи пользователя Windows. Если это удается, Trojan.BtcMine.737 при наличии соответствующего оборудования запускает на инфицированном компьютере открытую точку доступа Wi-Fi. Если вредоносной программе удалось получить доступ к одному из компьютеров в локальной сети, предпринимается попытка сохранить и запустить на нем копию трояна либо с использованием инструментария Windows Management Instrumentation (WMI), либо при помощи планировщика заданий. 

Программа CNminer.exe, которую Trojan.BtcMine.737 сохраняет на диск на втором этапе своей установки, как раз и является установщиком утилиты для добычи (майнинга) криптовалюты, указали в «Доктор Веб». Запустившись на инфицированном компьютере, приложение CNminer.exe сохраняет в текущей папке исполняемые файлы майнера для 32-разрядной и 64-разрядной архитектур, а также текстовый файл с необходимыми для его работы конфигурационными данными. Ссылку на исполняемый файл троян вносит в отвечающую за автоматический запуск приложений ветвь системного реестра Windows и, кроме того, сохраняет ярлык на него в стандартной папке автозапуска. После старта установщика содержащийся в нем сценарий останавливает уже работающие процессы майнеров (если они были запущены ранее), затем обращается к своему управляющему серверу, который возвращает ему в виде HTML-файла дополнительные конфигурационные данные с параметрами пулов и номерами электронных кошельков, причем эти номера периодически меняются.

По информации «Доктор Веб», в качестве майнера для добычи криптовалюты злоумышленники используют утилиту другого разработчика, детектируемую «Антивирусом Dr.Web» как программа из семейства Tool.BtcMine. Создатель этой утилиты распространяет ее на условии оплаты комиссии в размере 2,5% от всей добытой с ее помощью криптовалюты, поэтому вирусописатели автоматически направляют ему часть своей незаконной выручки в качестве комиссионных. 

Поскольку Trojan.BtcMine.737 обладает способностью к самостоятельному распространению по локальной сети, он может представлять опасность для компьютеров, не защищенных антивирусными программами. «Антивирус Dr.Web» детектирует и удаляет этого трояна, поэтому пользователи продукции «Доктор Веб» защищены от действий данного майнера, подчеркнули в компании.

 

Источник: cnews.ru

Ссылка на комментарий
Поделиться на другие сайты

дайте нам сюда этого трояна, а то народ все парится-не знает как парк машин использовать, как настроить и т.п. А тут-запустил-и сиди кури.. :D

Ссылка на комментарий
Поделиться на другие сайты

@ss200,хозяин-барин..вчера-позавчера тут темы были-помогите..есть куча серваков-компов..че..куда настроить..и т.п. :D

Ссылка на комментарий
Поделиться на другие сайты

дайте нам сюда этого трояна, а то народ все парится-не знает как парк машин использовать, как настроить и т.п. А тут-запустил-и сиди кури.. :D

Ну так и я о том же..))),  нормальная тема..!!

Ссылка на комментарий
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
  • Similar Topics

    • Worldcoin: Пользователи смогут самостоятельно хранить биометрические данные

      Криптовалютный проект Worldcoin пообещал прекратить самостоятельно хранить личные данные своих 4,5 млн пользователей. Практика сбора отпечатков сетчатки глаза в обмен на токены вызывает вопросы у правоохранителей. Криптопроект планирует внедрить систему Personal Custody, которая позволит хранить изображения и любые метаданные, собранные устройством Worldcoin Orb, на гаджетах пользователей.   Во время проверки данных World ID Orb должен будет обрабатывать изображения прямо на устройств

      в Новости криптовалют

    • Федеральная торговая комиссия США: «На криптодепозиты страховка по вкладам не распространяется»

      Федеральная торговая комиссия США (FTC) предупредила, что депозиты в криптовалютах не страхуются Федеральной корпорацией по страхованию вкладов США (FDIC), и держатели не смогут рассчитывать на возврат потерянных средств. Специалист по работе с клиентами FTC Кристина Миранда (Cristina Miranda) пояснила: если пользователи вкладывают деньги в криптовалютные платформы, их средства не страхуются и не защищаются FDIC. В случае хакерской атаки на криптовалютные площадки или кражи средств, постра

      в Новости криптовалют

    • Комиссар CFTC призвала Конгресс запретить биржам самостоятельно сертифицировать токены

      Член Комиссии по торговле товарными фьючерсами США (CFTC) Кристи Голдсмит Ромеро призвала Конгресс запретить недавно лицензированным криптовалютным биржам самим сертифицировать продукты для листинга. Кристи Голдсмит Ромеро (Christy Goldsmith Romero) выступила на конференции Пенсильванского университета, посвященной криптобирже FTX. В ходе выступления она заявила, что нынешняя система, при которой криптовалютные площадки самостоятельно сертифицируют токены, не обеспечивает безопасность и над

      в Новости криптовалют

    • Чанпэн Чжао: «99% пользователей криптовалют не сумеют самостоятельно хранить активы»

      Генеральный директор биржи Binance Чанпэн Чжао считает, что подавляющее большинство пользователей не обладают знаниями для самостоятельного хранения криптовалют и поэтому могут потерять активы. Чанпэн Чжао (Changpeng Zhao) поддерживает самостоятельное хранение активов, однако подчеркивает, что это надо «делать правильно». Во время недавней конференции Чжао отметил, что зачастую пользователи уделяют недостаточно внимания хранению ключей от кошелька, что приводит к потере либо ключей, либо ак

      в Новости криптовалют

    • Глава Paxful призвал клиентов биржи самостоятельно хранить криптовалюты

      Генеральный директор Paxful Рэй Юсеф заявил, что дефолт FTX подорвал доверие пользователей к криптовалютным площадкам, и призвал клиентов хранить цифровые активы, не прибегая к услугам бирж. Руководитель криптовалютной биржи Paxful Рэй Юсеф (Ray Youssef) заявил, что в нынешние времена разумнее было бы самостоятельно хранить свои цифровые активы, не прибегая к услугам бирж. По его словам, дефолт FTX разрушил доверие пользователей не только к централизованным криптовалютным площадкам, но и к

      в Новости криптовалют

×
×
  • Создать...