Блог 360 Total Security

Double-Gun КриптоМайнер «HiddenPowerShellMiner» разразился и заразил 140 000 ПК за два дня

В последнее время 360 центр безопасности обнаружил тип активно распространяющегося КриптоМайнера-трояна , заразившего 140 тысяч компьютеров за два дня. Троян создает копию компонента PowerShell в системе как «% SYSTEMDRIVE% \ Program Files \ Windows NT \ Accessories \ task.exe» и скрывается в запланированных задачах, чтобы избежать обнаружения антивирусного программного обеспечения. Мы назвали трояна «HiddenPowerShellMiner».

Анализ

Троян связан с различными игровыми трещинами. В то время как жертвы запускают установщик игр, троян загружает скрипт из URL hxxp: //80.82.79.12/update.php и запускает его. Скрипт дублирует powershell.exe как»% SYSTEMDRIVE% \ Program Files \ Windows NT \ Accessories \ task.exe «, чтобы избежать обнаружения антивируса. После дублирования Powershell запланированные задачи будут созданы с параметрами для загрузки КриптоМайнера.
Общие запланированные задачи:
Задачи \ Microsoft \ Windows \ SyncCenter \ SyncCenter
Задачи \ Microsoft \ Windows \ MobilePC \ MobilePC
Задачи \ Microsoft \ Windows \ Обслуживание \ Обслуживание
Задачи \ Microsoft \ Windows \ \ Расположение Расположение

Полный параметр показан ниже:

Необходимо дешифровать параметры для загрузки приложения КриптоМайнера.
Одним из приложений является Моnroe-майнер «c: \ programdata \ windows \ dlhosts.exe». На самом деле это модифицированный открытый исходный код «Xmrig».


Другое приложение «c: \ programdata \ windows \ dlchosts.exe» — это Ethereum-Майнер, который модифицирован из проекта GitHub с открытым исходным кодом «ethminer». Он загружает модуль графической карты, http://80.82.79.12/ups3/nvml.dll, NVIDIA, определяет конфигурацию видеокарты жертв и начинает майнинг Ethereum с помощью графической карты.

Напоминание

В последние дни мы обнаружили, что многие трояны-КриптоМайнеры активно распространяются. Мы настоятельно рекомендуем пользователям включать антивирусное программное обеспечение при установке новых приложений. Пользователям также рекомендуется запускать проверку на вирусы с помощью 360 Total Security, чтобы не стать жертвой КриптоМайнеров.