Эксперты обнаружили троян-майнер, способный самостоятельно распространяться по локальной сети

По внутренней архитектуре троян напоминает матрешку, состоящую из трех вложенных друг в друга установщиков.




Специалисты ИБ-компании «Доктор Веб» обнаружили новый образец трояна-майнера, который способен самостоятельно распространяться по сети. Вредонос получил название Trojan.BtcMine.737 (по классификации «Доктор Веб»).


По внутренней архитектуре троян напоминает матрешку, состоящую из трех вложенных друг в друга установщиков, созданных с использованием технологии Nullsoft Scriptable Install System (NSIS). Первый установщик является обыкновенным дроппером. Он пытается остановить процессы Trojan.BtcMine.737, если они уже ранее были запущены в системе, а затем извлекает из своего тела и помещает во временную папку исполняемый файл другого установщика, запускает его, а затем удаляет исходный файл.


Второй установщик обладает более широкими функциональными возможностями. Сначала он сохраняет в одной из папок на диске целевого ПК и запускает исполняемый файл CNminer.exe, а затем создает собственную копию в папке автозагрузки, в папке «Документы» пользователя Windows и во вновь созданной папке на диске директории, к которой автоматически открывает доступ из локальной сети. В папках копии вредоноса отображаются в виде файла с именем Key со значком WinRAR-архива.


Исполняемый файл CNminer.exe является установщиком утилиты для добычи криптовалюты. После запуска на зараженном компьютере приложение сохраняет в текущей папке исполняемые файлы для 32- и 64-битной архитектур, а также текстовый файл с конфигурационными данными. Ссылку на исполняемый файл вредонос вносит в ветку системного реестра Windows, которая отвечает за автоматический запуск приложений. После запуска содержащийся в установщике скрипт останавливает запущенные ранее процессы майнеров, а затем обращается к C&C-серверу, который отправляет ему дополнительные данные с параметрами пулов и номерами электронных кошельков. 
Stfw.Ru
Читайте также


Оставить комментарий
Имя:  

Комментарий:

Примечание: При комментировании материала просим соблюдать законы Российской Федерации. Пожалуйста, воздержитесь от оскорблений и токсичного поведения.

Сводка событий

10:10 Essential Products сокращает около 30% сотрудников


10:10 Представлен Vivo Z3, получивший новую технологию Dual-Turbo


08:10 Из-за краж и вандализма прокат велосипедов Nextbike в Киеве со следующего года может подорожать


01:10 Процессоры AMD Zen 2 получат прирост количества инструкций за такт на 13% по сравнению с Zen+


01:10 Киберполиция выявила злоумышленников, которые продавали персональные данные украинцев через Telegram-канал


01:10 Вышел Chrome 70 с возможностью отключения пресловутой функции автоматической авторизации и поддержкой приложений PWA на Windows


01:10 В Украине хотят упростить процедуру изменения места регистрации и сделать её доступной онлайн


01:10 В Киеве запустился сервис такси «Тачку!», где пассажиры сами могут устанавливать цены на поездки


01:10 Tesla купила в Шанхае земельный участок для строительства китайского завода Gigafactory


01:10 Samsung создала процессоры Exynos и камеры Isocell специально для подключенных автомобилей


01:10 Анонсированы смартфоны Huawei Mate 20 и Mate 20 Pro


01:10 Умные часы Huawei Watch GT выйдут в России


01:10 Ученик колледжа в Керчи рассказал подробности взрыва и стрельбы ( Число жертв теракта возросло до 18, сообщил глава Крыма Сергей Аксёнов)


Обзор безопасности, новые вирусы, уязвимости в сети. Взлом и защита компьютера, хакерские атаки.