Recientemente, 360 Security Center supervisó un tipo de troyanos mineros maliciosos que se disfrazan a modo de todo tipo de software de cracking de uso común para extenderse ampliamente. Al momento de escribir estas líneas, ya ha hecho mucho daño. Se recomienda que los usuarios no descarguen programas de orígenes desconocidos. Siempre que sea posible, descargue el software del sitio web oficial.
Análisis
El troyano KomarMiner se disfraza como una variedad de programas de descarga de cracks y suele adoptar uno de estos nombres de archivo:
kirrak+party+(2018)+telugu+full+movie+watch+online.exe
SOLIDWORKS 2017 PRO CRACK FREE DOWNLOAD.EXE
TCS GSM Drivers Pack Solution 2018 Free Download.exe
9NLHMRZOMS.EXE
PAYSAFECARD+CODES+GENERATOR+2018+8211+UNLIMITED+CODE+LIST.EXE
Después de ejecutar el crackeador, el troyano se descargará a %UserProfile%\appdata\local\temp\27777.exe, y la función principal de 27777.exe es descargar archivos troyanos en línea.
La dirección de descarga es:
http://letmecheckyou.be/build.exe
Se ejecuta desde C:\ProgramData\Komar.exe después de la descarga. El archivo se copiará a sí mismo a
%UserProfile%\AppData\Roaming\amd64_microsoft-windows-ucx-classextension_31bf3856ad364e35_10.0.17134.228_none_a6a5cb47f54600db\xactengine2_5-jiPDATE.exe
La función principal de este documento es descargar el módulo de minería c:\programdata\{8ciarraz-1nwj-316j-3q8c-tk5f8kmquyh5}
El troyano tiene antidepuración. Viendo que registros como Dr0 no están vacíos, se comprueba que el depurador ejecutará el comando de apagado:
Lee la configuración del sistema de usuario:
CPU existente:
Sistema operativo en uso:
Tarjeta gráfica:
Después del empalme, lo envía al servidor de troyanos.
Crea una tarea programada para lanzar el elemento y establecer los permisos de acceso:
Busca la herramienta de gestión de procesos a través de la barra de título de la ventana y finaliza el proceso:
Detecta eventos de la herramienta de proceso como ProcessHacker process task manager.
Obtiene información de minería, envía un píxel y actualiza automáticamente el sistema a través de Internet.
La información del grupo de minería: xmr.pool.minergate.com:45700
Cuenta: oli21on21@gmail.com
Determina el tipo de tarjeta gráfica de la máquina y descarga el programa de minería correspondiente:
Recordatorio
Últimamente, este tipo de troyano minero es muy activo y difícil de prevenir. Se aconseja a los usuarios que apliquen parches a las aplicaciones de Microsoft o a las aplicaciones de terceros cuanto antes. Si un usuario descubre que su ordenador va muy lento, recomendamos que escanee su PC a través de 360 Total Security. Al mismo tiempo, los usuarios deben asegurarse de que el software antivirus siempre esté abierto para defender el sistema. Además, 360 Total Security ha introducido la función de protección de troyanos mineros que puede ayudar a los usuarios a defenderse contra este tipo de programas, que pueden venir de diversas fuentes. Después de que los usuarios activen esta función, 360 Total Security intercepta todo tipo de ataques troyanos mineros en tiempo real para proteger la seguridad informática de los usuarios.