360 Total Security Blog

Cryptominer, WinstarNssmMiner, resurge e infecta 30.000 ordenadores en un solo día.

Hace poco, 360 Security Center descubrió un tipo de troyano CryptoMiner que se expandía activamente e infectaba a 30 mil ordenadores al día. Este troyano se instala con cracks de software y plugins. Se recomienda descargar los softwares de los sitios web oficiales en lugar de fuentes desconocidas. Lo hemos llamado “WinstarNssmMiner3” porque tiene un comportamiento simila “WinstarNssmMiner”.

Análisis

El nuevo troyano está creado con formato Inno en lugar de MSI, y se disfraza cambiando su nombre de unzip.exe a q.exe.

El instalador ejecuta el comando q.exe -o -P pwzx aa.zip para extraer el troyano.

El archivo extraído Uninstall.dll es el cargador del troyano y _locale.nls es el script central cifrado. El cargador descifra y ejecuta el script central en la memoria.

Descifra el archivo central PE de _locale.ns en la memoria y cárgalo.

TEl troya descifrado mina en la memoria. Esta variante de troyano también implementa VMP para proteger su código.

El troyano crea una tarea programada para mantenerse activado en el ordenador de las víctimas, igual que la versión anterior.

Además, crea un plugin de Chrome malicioso.

La información del plugin:

Inyecta el proceso svchost.exe para minería y utiliza todo el recurso de la CPU.

Detecciones en VirusTotal:

Memoro

Hace poco, hemos descubierto que se está extendiendo mucho el malware de CryptoMiner. Recomendamos encarecidamente a los usuarios que habiliten el software antivirus al instalar nuevas aplicaciones. También recomendamos que los usuarios realicen un escaneo de antivirus con 360 Total Security para que eviten ser víctimas de CryptoMiner.