Методы обнаружения вирусов

6 августа 2015 года

С течением времени объем вычислительных ресурсов, кои нужно затратить для добычи сходных Bitcoin известных криптовалют, много возрос, а уж уж уж уж страсть к этой сфере со стороны злоумышленников пропорционально снизился. дружок с другом с для тех в вирусную лабораторию фирмы «Доктор Веб» перед началом сих времен временами поступают образчики троянцев-майнеров, один-одинехонек из коих приобрел название Trojan.BtcMine.737.

По собственной внутренней архитектуре Trojan.BtcMine.737 припоминает матрешку, состоящую из трех вложенных дружок в друга установщиков, созданных злодеями с применением технологии Nullsoft Scriptable Install System (NSIS). основной слой этого особого «сэндвича» воображает собой довольно-таки элементарный дроппер: он старается приостановить процессы Trojan.BtcMine.737, в случае коли раньше они уже были запущены в системе, а уж уж уж уж потом извлекает из собственного тела так как только помещает во временную папку исполняемый файл иного установщика, запускает его, а уж уж уж уж начальный файл удаляет.

Второй установщик владеет едва наиболее обрирными возможностями, аналогичными на функционал сетевого червя. В первую очередность он предохраняет в одной из папок на диске атакованного персонального компьютера так как только запускает исполняемый файл CNminer.exe, кой еще воображает собой NSIS-установщик, потом созидает личную копию в папке автозагрузки, в папке «Документы» юзера Windows так как только во опять сотворенной на диске директории, к коей автоматизированно раскрывает доступ из локальной сети. В мотивированных папках эти клоны вредной программы показываются в облике файла с именованием Key, имеющего значок WinRAR-архива.

screen

Затем троянец копирует себя в корневую папку любых дисков инфицированной автомобиля (эту операцию он твердит с конкретной периодичностью), перечисляет доступные в сетевом округе компы так как только старается включиться к ним, перебирая логины так как только пароли с применением имеющегося в его постановлении особого списка. помимо этого, вредная программа старается поджать пароль к локальной учетной записи юзера Windows. в случае коли это удается, Trojan.BtcMine.737 при наличии соответственного оснащения запускает на инфицированном персональном персональном компьютере раскрытую точку доступа WiFi. в случае коли вредной программе получилось обрести доступ к единому из компов в локальной сети, предпринимается попытка сберечь так как только пустить на нем копию троянца или с применением инвентаря Windows Management Instrumentation (WMI), или при поддержки планировщика заданий.

Программа CNminer.exe, коию Trojan.BtcMine.737 предохраняет на диск на втором рубеже собственной установки, а уж как только однажды так как только появляется установщиком утилиты для добычи (майнинга) криптовалюты. Запустившись на инфицированном компьютере, приложение CNminer.exe предохраняет в текущей папке исполняемые файлы майнера для 32-разрядной так как только 64-разрядной архитектур, а уж уж уж уж еще текстовый файл с важными для его работы конфигурационными данными. гиперссылку на исполняемый файл троянец заносит в отвечающую за автоматизированный пуск приложений отрасль системного реестра Windows, и, помимо того, предохраняет ярлык на него в типовой папке автозапуска. потом старта установщика содержащийся в нем сценарий останавливает уже работающие процессы майнеров (если они были запущены ранее), потом обращается к своему управляющему серверу, кой возвращает ему же же в облике HTML-файла добавочные конфигурационные заданные с параметрами пулов так как только номерами электронных кошельков, причем эти отель временами меняются. подобает отметить, как только в качестве майнера для добычи криптовалюты преступники задействуют утилиту иного разработчика, детектируемую Антивирусом Dr.Web а уж как только программу из семейства Tool.BtcMine. творец этой утилиты распространяет ее на условии оплаты комиссии в размере 2,5% от всей добытой с ее поддержкой криптовалюты, таким образом вирусописатели автоматизированно ориентируют ему же же доля собственной нелегальной выручки в качестве комиссионных.

Поскольку Trojan.BtcMine.737 владеет возможностью к самостоятельному распространению по локальной сети, он возможно рисовать угроза для компьютеров, закончить защищенных антивирусными программами. Антивирус Dr.Web детектирует так как только благополучно удаляет этого троянца, таким образом юзеры продукции «Доктор Веб» накрепко защищены от действий заданного майнера.

Подробнее о троянце

НОВОЕ НА САЙТЕ

25 марта 2024 годы

С 1 апреля текущего годы «Доктор Веб» обновляет цена лицензий на употребление ряда программных продуктов Dr.Web для индивидуального употребления эдак как для бизнеса эдак как госучреждений. помимо того, вводятся некие перемены в правилах лицензирования.

Так, будут повышены цены на Dr.Web Security Space для обороны 1... Антивирус Dr.Web

22 марта 2024 года

Комплексное решение для обороны любых объектов корпоративной сети, испытания почтового так что интернет-трафиков Dr.Web Enterprise Security Suite прошло инспекционный контроль ФСТЭК России.

Успешное прохождение испытаний доказано сертификатом соответствия №3509, реальным перед началом 27 января 2029 года.

С мо... Антивирус Dr.Web

Скачать в PDF Горячая лента угроз и предупреждений о вирусной опасности!

Скачать в PDF Вирусные новости

6 марта 2024 года

«Доктор Веб» информирует о масштабном обновлении продуктов Dr.Web 12.0 так что 13.0 с централизованным управлением для бизнеса, а уж а а также продукта для обороны АСУ ТП Dr.Web Industrial.Теперь системным админам доступны новейшие способности управления системой защиты, в то период как-либо выявленные ошибки были исправлены.... Антивирус Dr.Web