В последнее время 360 Центр безопасности обнаружил активно распространяющийся троян-КриптоМайнер. Троян маскируется как обычные утилиты, такие как браузер Vivaldi и распространяется с установщиками программного обеспечения. Настоятельно рекомендуется скачать программное обеспечение с официальных сайтов вместо неизвестных источников. Мы назвали его «WinstarNssmMiner2», поскольку он имеет такое же поведение с «WinstarNssmMiner».
Анализ
Замаскированный установщик браузера построен в формате MSI и содержит несколько пакетных файлов, зашифрованные ZIP-файлы и инструмент для распоковки.
1. Троян запускает u.bat, чтобы запустить инструмент распоковки и извлечь zip-файлы, программа nircmd будет извлечена.
2. Запустить c.bat, чтобы проверить, установлены ли антивирусные программы, такие как Kaspersky, ESET или DrWeb. Если есть антивирусное программное обеспечение, он завершает процесс msiexec.exe и удаляет троянские файлы.
3. Запустить nir.bat, чтобы запустить nircmd i.bat для получения прав администратора.
4. Запустить i.bat, чтобы добавить запланированную задачу. Троян дублирует системный файл msiexec.exe со случайным именем файла, составляет содержание задачи с URL-адресом с комбинацией имени домена «makerstat.info» и случайным именем файла с суффиксом «.exe». Это позволяет избежать обнаружения антивирусом через функцию загрузки файлов MSI.
Выполнить следующую команду в командной строке:
«3164326753.exe — это переименованный файл msiexec.exe.
Содержание созданной запланированной задачи:
В настоящее время URL недоступен. Это похоже на недействительный элемент запуска, но на самом деле источник обновлений трояна. После того, как URL-адрес доступен, задача расписания запускает троян для доступа к URL-адресу каждые три часа. Этот троян MSI имеет такое же поведение с WinsarNssmMiner, как мы анализировали раньше.
Затем установлен браузер Vivaldi наконец.
В настоящий момент только несколько антивирусов, включая 360 Total Security, могут обнаружить такие трояны.
Напоминание
В последнее время мы обнаружили, что многие трояны-Криптомайнеры активно распространяются . Мы настоятельно рекомендуем пользователям включать антивирусное программное обеспечение при установке новых приложений. Пользователям также рекомендуется запускать проверку на вирусы с помощью 360 Total Security, чтобы не стать жертвой КриптоМайнеров.»»
Узнайте больше о 360 Total Security