Недавно 360 Центр безопасности обнаружил, что новый CryptoMiner быстро распространяется. Дистрибьютор получил огромную прибыль благодаря майнинга Monero на зараженных компьютерах. Согласно нашей статистике, 360 Total Security перехватил атаку более 500 тысяч раз в течение 3 дней. Наш аналитик назвал его «WinstarNssmMiner». Это вредоносное ПО очень сложно удалить, так как компьютеры жертв дают сбой, как только они обнаружили и прекратили вредоносное ПО. Интересно, что это вредоносное ПО действует снобистски, когда сталкивается с различным антивирусным программным обеспечением. Он отключает антивирусную защиту беззащитных врагов и отступает при острых мечах. В результате пользователи без достойного антивирусного продукта должны терпить медленную работу и синий экран своих компьютеров.
Анализ
«Мы очень удивлены, увидев CryptoMiner быть настолько жестоким, чтобы угнать компьютеры жертв, приняв методы упорных вредоносных программ:
1. Запустите системный процесс, svchost.exe и введите в него вредоносный код.
2. Настроить атрибут порожденного процесса на CriticalProcess.
3. Компьютерй дают сбой, когда их владельцы прекращают вредоносное ПО.
После попадания в компьютеры жертв это вредоносное ПО пытается найти какое-либо достойное антивирусное программное обеспечение, такое как Kaspersky. Если обнаружено какое-либо , это вредоносное ПО автоматически прекратится, чтобы избежать прямой конфронтации.»
«Рисунок 1: Как это вредоносное ПО избегает антивирусного программного обеспечения.
Затем это вредоносное ПО будет вводить код в созданный файл svchost.exe. На самом деле существует два процесса svchost.exe. Один выполняет задачи майнинга. Другой работает в фоновом режиме для обнаружения антивирусной защиты и предотвращения обнаружения.»
«Рисунок 2: Он создает два процесса
Хотя WinstarNssmMiner имеет возможность обмануть антивирусное программное обеспечение. Он по своей природе по-прежнему является CryptorMiner, и его реализация основана на проекте с открытым исходным кодом XMRIG. Он поставляется с четырьмя пулами майнинга и может определять пул майнинга по параметрам, переданных ему.»
«Рисунок 3: Адрес пула майнинга
В то время, когда мы опубликовали этот анализ, этот CryptoMiner уже получил 133 Monero, что примерно стоит 28000 долларов США.»
«Рисунок 4: Полученная прибыль
Из-за характера майнинга цифровой валюты CryptoMiners используют ресурсы процессора жертв для своих дистрибьюторов. Некоторые опытные пользователи могут идентифицировать и прекращать использование процессоров. Следовательно, WinstarNssmMiner защищает себя, настраивая атрибут своего процесса на CriticalProcess, чтобы зараженные компьютеры дали сбой, когда пользователи прекрашали его.»
Соответствующий хэш файла в MD5
«184001cbd326cb3c03987c350c3ada6a
cf3e0eaf26c74db2bb5f8ba7e2607e2f
0be8a2b5f8a2fc9ad74d8ab9fcf5f583»
Напоминание
Недавно мы обнаружили, что многие вредоносные программы CryptoMiner активно распространяются . Мы настоятельно рекомендуем пользователям включать антивирусное программное обеспечение при установке новых приложений. Пользователям также рекомендуется запускать проверку на вирусы с помощью 360 Total Security, чтобы не стать жертвой CryptoMiner.
Подробнее о 360 Total Security