«Доктор Веб» попередив про поширення трояна-Майнера

Фахівці компанії «Доктор Веб» досліджували такого троянця, здатного заражати комп’ютери під управлінням Microsoft Windows. Шкідливі програми подібного дії все більше набувають поширення в сучасному комп’ютерному світі.

Новий шкідливий отримав назву Trojan.BtcMine.1259, і призначений для видобутку криптовалюта Monero (XMR) і установки бекдор Gh0st RAT. Майнер скачується на комп’ютер троянцем-завантажувачем Trojan.DownLoader24.64313, який, в свою чергу, поширюється за допомогою бекдор DoublePulsar.

Принцип роботи троянської програми

Відразу після старту Trojan.BtcMine.1259 перевіряє, чи не запущена чи на інфікованому комп’ютері його копія. Потім він визначає кількість ядер процесора, і, якщо воно більше або дорівнює вказаному в конфігурації троянця числу потоків, розшифровує і завантажує в пам’ять зберігається в його тілі бібліотеку. Ця бібліотека є модифікованою версією системи віддаленого адміністрування з відкритим вихідним кодом, відомої під назвою Gh0st RAT (детектується Антивірусом Dr.Web під ім’ям BackDoor.Farfli.96). Потім Trojan.BtcMine.1259 зберігає на диск свою копію і запускає її в якості системної служби. Після успішного запуску троянець намагається завантажити з керуючого сервера, адреса якого вказана в файлі конфігурації, поновлення.

Основний модуль, призначений для видобутку криптовалюта Monero, також реалізований у вигляді бібліотеки, при цьому троянець містить як 32, так і 64-розрядну версію Майнера. Відповідна реалізація троянця використовується на зараженому комп’ютері в залежності від розрядності операційної системи. В конфігурації для цього модуля зазначено, скільки ядер і обчислювальних ресурсів процесора буде задіяно для видобутку криптовалюта, з яким інтервалом буде автоматично перезапускати майнер, а також інші параметри. Троянець відстежує працюють на зараженому комп’ютері процеси і при спробі запустити Диспетчер завдань завершує свою роботу.

Незважаючи на те, що перші троянці-Майнер були виявлені вже більше 6 років тому (запис для троянця Trojan.BtcMine.1 була додана в вірусні бази Dr.Web в 2011 році), зловмисники раніше поширюють шкідливі програми, які використовують обчислювальні ресурси комп’ютера без відома користувача.

Ознаки зараження троянцем Майнер

Ознакою зараження такою програмою може служити уповільнення роботи системи або більш інтенсивний в порівнянні зі звичайним нагрів процесора. Trojan.BtcMine.1259 і всі його компоненти успішно видаляється Антивірусом Dr.Web (або іншим популярним антивірусом: касперский, нод3 тощо), тому троянець не представляє небезпеки для наших користувачів.

Ссылка на основную публикацию