360 Total Security Blog

El minero de criptodivisas “TaksHostMiner” ha comprometido más de 10 000 equipos en un solo día.

[Consejos: Use 360 Total Security para bloquear CryptoMiner y guardar de manera segura sus bienes digitales]

Recientemente, 360 Security Center descubrió un nuevo troyano de tipo CryptoMiner que había infectado decenas de miles de equipos en un solo día. Este troyano se instala con complementos de juegos e infecta el equipo del usuario mientras se ejecutan dichos complementos. Además, el troyano supervisa el administrador de tareas y se cierra automáticamente si el usuario consulta su uso de la CPU. Lo hemos denominado “TaksHostMiner”.

Análisis

El troyano se encuentra integrado en diversos complementos para crackear juegos y su objetivo es infectar los equipos de sus víctimas. Para ello, se descomprime desde un rar autoextraíble a una carpeta C:\ProgramData\Adobe\AdobeRTF, ejecuta start.vbs para minar y oculta los archivos relacionados mediante hide.vbs.

start.vbs ejecuta start.bat cada 15 segundos.

start.bat elimina el proceso de minería de taskhost.exe si se ejecuta el administrador de tareas y sus procesos relacionados. De no ser así, lanza config64.vbs para ejecutar config64.bat y reiniciar el troyano minero, que también se oculta en archivos de registro como C:\ProgramData\Windows\Logs\takshost.exe o C:\ProgramData\Adobe\SLCache\Logs\64.exe para evitar ser observado.

Como podemos ver, config64.bat ejecuta takshost.exe, que consiste en el minero de código abierto cpuminer-otp. Sus parámetros de minería son:
takshost.exe
-a yescryptr16
-o stratum+tcp://cryply.ukkey3.space:3333 -u molch.60
-p 1
-t %NUMBER_OF_PROCESSORS%/2

hide.vbs ejecuta hide.bat, que marca las propiedades de los archivos del troyano y su propia carpeta como ocultos.

Hasta el momento, solo unos pocos antivirus como 360 Total Security han sido capaces de detectar este tipo de troyanos.

Memoro

Hace poco, hemos descubierto que se está extendiendo mucho el malware de CryptoMiner. Recomendamos encarecidamente a los usuarios que habiliten el software antivirus al instalar nuevas aplicaciones. También recomendamos que los usuarios realicen un escaneo de antivirus con 360 Total Security para que eviten ser víctimas de CryptoMiner.

Descargar 360 Total Security: https://www.360totalsecurity.com