С течением времени объем вычислительных ресурсов, коие нужно затратить для добычи сходных Bitcoin известных криптовалют, гораздо возрос, а уж уж уж уж заинтересованность к этой сфере со стороны злоумышленников пропорционально снизился. сообща с для тех в вирусную лабораторию фирме «Доктор Веб» перед началом сих времен регулярно поступают эталоны троянцев-майнеров, равный из коих приобрел название Trojan.BtcMine.737.
По собственной внутренней архитектуре припоминает матрешку, состоящую из трех вложенных любимый в друга установщиков, созданных злодеями с применением технологии Nullsoft Scriptable Install System (NSIS). первейший слой этого особого «сэндвича» воображает собой довольно-таки рядовой дроппер: он пробует застопорить процессы , коли раньше они уже были запущены в системе, а уж уж уж уж потом извлекает из собственного тела так словно помещает во временную папку исполняемый файл иного установщика, запускает его, а уж уж уж уж начальный файл удаляет.
Второй установщик владеет еле-еле больше обрирными возможностями, подобными на функционал сетевого червя. В первую хвост он предохраняет в одной из папок на диске атакованного персонального компьютера так словно запускает исполняемый файл CNminer.exe, какой-нибудь еще воображает собой NSIS-установщик, потом образовывает личную копию в папке автозагрузки, в папке «Документы» юзера Windows так словно во опять-таки сотворенной на диске директории, к коей механически раскрывает доступ из локальной сети. В мотивированных папках эти клоны вредной программы показываются в пейзаже файла с именованием Key, имеющего значок WinRAR-архива.
Затем троянец копирует себя в корневую папку любых дисков инфицированной автомобиля (эту операцию он твердит с конкретной периодичностью), перечисляет доступные в сетевом округе компы так словно пробует присоединиться к ним, перебирая логины так словно пароли с применением имеющегося в его постановлении особого списка. помимо этого, вредная программа пробует выбрать пароль к локальной учетной записи юзера Windows. коли это удается, при наличии надлежащего оснащения запускает на инфицированном персональном персональном компьютере раскрытую точку доступа WiFi. коли вредной программе получилось принять доступ к единому из компов в локальной сети, предпринимается попытка сберечь так словно пустить на нем копию троянца или с применением инвентаря Windows Management Instrumentation (WMI), или при поддержки планировщика заданий.
Программа CNminer.exe, коию предохраняет на диск на втором рубеже собственной установки, насколько один так словно появляется установщиком утилиты для добычи (майнинга) криптовалюты. Запустившись на инфицированном компьютере, приложение CNminer.exe предохраняет в текущей папке исполняемые файлы майнера для 32-разрядной так словно 64-разрядной архитектур, а уж уж уж уж еще текстовый файл с важными для его работы конфигурационными данными. гиперссылку на исполняемый файл троянец заносит в отвечающую за механический пуск приложений отрог системного реестра Windows, и, помимо того, предохраняет ярлык на него в типовой папке автозапуска. потому старта установщика содержащийся в нем сценарий останавливает уже работающие процессы майнеров (если они были запущены ранее), потом обращается к своему управляющему серверу, какой-нибудь возвращает ему же же в пейзаже HTML-файла добавочные конфигурационные заданные с параметрами пулов так словно номерами электронных кошельков, причем эти гостиница регулярно меняются. должно отметить, словно в качестве майнера для добычи криптовалюты преступники употребляют утилиту иного разработчика, детектируемую Антивирусом Dr.Web насколько программу из семейства Tool.BtcMine. автор этой утилиты распространяет ее на условии оплаты комиссии в размере 2,5% от всей добытой с ее поддержкой криптовалюты, таким образом вирусописатели механически ориентируют ему же же доля собственной нелегальной выручки в качестве комиссионных.
Поскольку владеет возможностью к самостоятельному распространению по локальной сети, он умножать видеть угроза для компьютеров, не делать защищенных антивирусными программами. Антивирус Dr.Web детектирует так словно благополучно удаляет этого троянца, таким образом юзеры продукции «Доктор Веб» накрепко защищены от действий заданного майнера.
НОВОЕ НА САЙТЕ
23 апреля 2024 года
Обращаем внимательность на дальнейшее обновление пасмурной версии песочницы Dr.Web vxCube, в взаимоотношения с чем 24 апреля с 13:00 перед началом 14:00 по столичному времени обслуживание будет недоступен для использования.
В составе песочницы будет обновлена документация — описание работы обслуживания будет снова на... Антивирус Dr.Web
Бизнес-школа «БИЗНЕС ИНСАЙТ» и проект «ЭКСПЕРТЫ» приглашают на III Всероссийский онлайн-форум «БИЗНЕС. ВЕСНА 2024». Бизнес-форум — важнейшее событие в мире бизнеса. На одной площадке соберутся действующие предприниматели, эксперты-практики, чтобы поделиться […]
The post
17 апреля 2024 года
В 2023 году самыми всераспространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по уподоблению с прошлым годом понизили свою энергичность таково словно стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. невзирая на то, словн... Вирусные новости
11 апреля 2024 года
Компания «Доктор Веб» 4 апреля о выпуске обновления для продуктов линейки Dr.Web Enterprise Security Suite, сертифицированных ФСТЭК России.
Компания «Доктор Веб» информирует о выпуске обновления Dr.Web Desktop Security Suite (для Windows), Dr.Web Server Security Suite (для Windows), Dr.Web Mail Security Suite (для MS Exchange) так как Агента Dr.Web для Windows в составе сертифицированного ФСТЭК нашей родины Dr.Web Enterprise Security Suite (сертификат соответствия №3509). В рамках ... Антивирус Dr.Web