Методы обнаружения вирусов

6 августа 2015 года

С течением времени объем вычислительных ресурсов, кои нужно затратить для добычи сходных Bitcoin известных криптовалют, гораздо возрос, а уж уж уж уж пристрастие к этой сфере со стороны злоумышленников пропорционально снизился. милаша с другом с для тех в вирусную лабораторию фирме «Доктор Веб» перед началом сих времен временами поступают эталоны троянцев-майнеров, одинакий из коих приобрел название Trojan.BtcMine.737.

По собственной внутренней архитектуре Trojan.BtcMine.737 припоминает матрешку, состоящую из трех вложенных милаша в друга установщиков, созданных злодеями с внедрением технологии Nullsoft Scriptable Install System (NSIS). стержневой слой этого особого «сэндвича» воображает собой довольно-таки бесхитростный дроппер: он пробует застопорить процессы Trojan.BtcMine.737, в случае коли раньше они уже были запущены в системе, а уж уж уж уж внуки чего извлекает из собственного тела так как-нибудь помещает во временную папку исполняемый файл иного установщика, запускает его, а уж уж уж уж начальный файл удаляет.

Второй установщик владеет навряд больше обрирными возможностями, подобными на функционал сетевого червя. В первую черед он предохраняет в одной из папок на диске атакованного персонального компьютера так как-нибудь запускает исполняемый файл CNminer.exe, который-нибудь а уж тоже воображает собой NSIS-установщик, внуки чего формирует личную копию в папке автозагрузки, в папке «Документы» юзера Windows так как-нибудь во опять сотворенной на диске директории, к коей машинально раскрывает доступ из локальной сети. В мотивированных папках эти клоны вредной программы показываются в облике файла с именованием Key, имеющего значок WinRAR-архива.

screen

Затем троянец копирует себя в корневую папку любых дисков инфицированной автомобиля (эту операцию он твердит с конкретной периодичностью), перечисляет доступные в сетевом округе компы так как-нибудь пробует примазаться к ним, перебирая логины так как-нибудь пароли с внедрением имеющегося в его постановлении особого списка. помимо этого, вредная программа пробует поджать пароль к локальной учетной записи юзера Windows. в случае коли это удается, Trojan.BtcMine.737 при наличии соответственного оснащения запускает на инфицированном персональном персональном компьютере раскрытую точку доступа WiFi. в случае коли вредной программе получилось обрести доступ к единому из компов в локальной сети, предпринимается попытка сберечь так как-нибудь забыть на нем копию троянца или с внедрением инвентаря Windows Management Instrumentation (WMI), или при поддержке планировщика заданий.

Программа CNminer.exe, коию Trojan.BtcMine.737 предохраняет на диск на втором рубеже собственной установки, как-нибудь только однажды так как-нибудь появляется установщиком утилиты для добычи (майнинга) криптовалюты. Запустившись на инфицированном компьютере, приложение CNminer.exe предохраняет в текущей папке исполняемые файлы майнера для 32-разрядной так как-нибудь 64-разрядной архитектур, а уж уж уж уж а уж тоже текстовый файл с важными для его работы конфигурационными данными. гиперссылку на исполняемый файл троянец вкладывает в отвечающую за самодействующий пуск приложений ответвление системного реестра Windows, и, помимо того, предохраняет ярлык на него в нормальной папке автозапуска. внуки старта установщика содержащийся в нем сценарий останавливает уже работающие процессы майнеров (если они были запущены ранее), внуки чего обращается к своему управляющему серверу, который-нибудь возвращает ему же же в облике HTML-файла добавочные конфигурационные заданные с параметрами пулов так как-нибудь номерами электронных кошельков, причем эти гостиница временами меняются. должно отметить, как-нибудь в качестве майнера для добычи криптовалюты преступники употребляют утилиту иного разработчика, детектируемую Антивирусом Dr.Web как-нибудь только программу из семейства Tool.BtcMine. творец этой утилиты распространяет ее на условии оплаты комиссии в размере 2,5% от всей добытой с ее поддержкой криптовалюты, в связи с этим вирусописатели машинально ориентируют ему же же доля собственной нелегальной выручки в качестве комиссионных.

Поскольку Trojan.BtcMine.737 владеет возможностью к самостоятельному распространению по локальной сети, он помножать являться угроза для компьютеров, не делать защищенных антивирусными программами. Антивирус Dr.Web детектирует так как-нибудь благополучно удаляет этого троянца, в связи с этим юзеры продукции «Доктор Веб» накрепко защищены от действий заданного майнера.

Подробнее о троянце

НОВОЕ НА САЙТЕ

25 марта 2024 годы

С 1 апреля текущего годы «Доктор Веб» обновляет цена лицензий на употребление ряда программных продуктов Dr.Web для индивидуального употребления эдак как для бизнеса эдак как госучреждений. помимо того, вводятся некие перемены в правилах лицензирования.

Так, будут повышены цены на Dr.Web Security Space для обороны 1... Антивирус Dr.Web

22 марта 2024 года

Комплексное решение для обороны любых объектов корпоративной сети, испытания почтового так что интернет-трафиков Dr.Web Enterprise Security Suite прошло инспекционный контроль ФСТЭК России.

Успешное прохождение испытаний доказано сертификатом соответствия №3509, реальным перед началом 27 января 2029 года.

С мо... Антивирус Dr.Web

Скачать в PDF Горячая лента угроз и предупреждений о вирусной опасности!

Скачать в PDF Вирусные новости

6 марта 2024 года

«Доктор Веб» информирует о масштабном обновлении продуктов Dr.Web 12.0 так что 13.0 с централизованным управлением для бизнеса, а уж а а также продукта для обороны АСУ ТП Dr.Web Industrial.Теперь системным админам доступны новейшие способности управления системой защиты, в то период как-либо выявленные ошибки были исправлены.... Антивирус Dr.Web