КриптоМайнер «TaksHostMiner», заразил более десяти тысяч компьютеров за один день.

04 Июн. 2018 г.kate
Подробнее о 360 Total Security

[Советы: Установите 360 Total Security для предотвращения атак КриптоМайнеров]

В последние дни 360 Центр безопасности обнаружил новый троян КриптоМайнер, который за один день заразил десятки тысяч компьютеров. Этот троян устанавливается с игровыми плагинами и заражает компьютер пользователя во время запуска плагина. Троян также контролирует диспетчер задач и заканчивает свой процесс, пока пользователь проверяет диспетчер задач и использование ЦП. Мы назвали его «TaksHostMiner».


Анализ

Троян в комплекте с различными плагинами для трещины игр, чтобы заразить компьютеры жертв. Он распаковывается из самораспаковывающегося rar-файла в папку C: \ ProgramData \ Adobe \ AdobeRTF, запускает start.vbs для майнинга и скрывает связанных файлов с помощью hide.vbs.


start.vbs запускает start.bat каждые 15 секунд.


start.bat убивает процессы майнинга taskhost.exe, если запущен диспетчер задач и связанные процессы. В противном случае он запускает config64.vbs для запуска config64.bat и перезапускает троян. Троян также скрывается в файлах журналов, таких как C: \ ProgramData \ Windows \ Logs \ takshost.exe или C: \ ProgramData \ Adobe \ SLCache \ Logs \ 64.exe, чтобы предотвратить их наблюдение.


Как видно из config64.bat, он запускает takshost.exe, который использует открытый исходный код cpuminer-otp для майнинга. Параметры майнинга:

takshost.exe
-a yescryptr16
-o stratum+tcp://cryply.ukkey3.space:3333 -u molch.60
-p 1
-t %NUMBER_OF_PROCESSORS%/2


hide.vbs запускает hide.bat, который настраивает троянские файлы и свойство его папки как скрытые.


До сих пор только несколько антивирусов, таких как 360 Total Security, смогли обнаружить эти трояны.


Напоминание

В последние дни мы обнаружили, что многие трояны КриптоМайнеры активно распространяются. Мы настоятельно рекомендуем пользователям включать антивирусное программное обеспечение при установке новых приложений. Пользователям также рекомендуется запускать проверку на вирусы с помощью 360 Total Security, чтобы не стать жертвой КриптоМайнеров.

Скачать 360 Total Security: https://www.360totalsecurity.com

Подробнее о 360 Total Security