Эксперты обнаружили троян-майнер, способl

[nor9845]

Эксперты обнаружили троян-майнер, способный самостоятельно распространяться по локальной сети


7 Августа, 2015

По внутренней архитектуре троян напоминает матрешку, состоящую из трех вложенных друг в друга установщиков.

Специалисты ИБ-компании «Доктор Веб» обнаружили новый образец трояна-майнера, который способен самостоятельно распространяться по сети. Вредонос получил название Trojan.BtcMine.737 (по классификации «Доктор Веб»).

По внутренней архитектуре троян напоминает матрешку, состоящую из трех вложенных друг в друга установщиков, созданных с использованием технологии Nullsoft Scriptable Install System (NSIS). Первый установщик является обыкновенным дроппером. Он пытается остановить процессы Trojan.BtcMine.737, если они уже ранее были запущены в системе, а затем извлекает из своего тела и помещает во временную папку исполняемый файл другого установщика, запускает его, а затем удаляет исходный файл.

Второй установщик обладает более широкими функциональными возможностями. Сначала он сохраняет в одной из папок на диске целевого ПК и запускает исполняемый файл CNminer.exe, а затем создает собственную копию в папке автозагрузки, в папке «Документы» пользователя Windows и во вновь созданной папке на диске директории, к которой автоматически открывает доступ из локальной сети. В папках копии вредоноса отображаются в виде файла с именем Key со значком WinRAR-архива.

Исполняемый файл CNminer.exe является установщиком утилиты для добычи криптовалюты. После запуска на зараженном компьютере приложение сохраняет в текущей папке исполняемые файлы для 32- и 64-битной архитектур, а также текстовый файл с конфигурационными данными. Ссылку на исполняемый файл вредонос вносит в ветку системного реестра Windows, которая отвечает за автоматический запуск приложений. После запуска содержащийся в установщике скрипт останавливает запущенные ранее процессы майнеров, а затем обращается к C&C-серверу, который отправляет ему дополнительные данные с параметрами пулов и номерами электронных кошельков.



http://www.securitylab.ru/news/474010.php

[diks]

от сцуки, шпыгун оказався 

[negeroy]

не давно копался у одной знакомой в компе так там и без всяких троянов, зашёл в диспетчер задач и о удивление запущен cpuminer  , ну нифига себе думаю, правда на одном ядре майнился какой то говнофорк, удалил так ничего и не сказав, толку то

[diks]

не давно копался у одной знакомой в компе так там и без всяких троянов, зашёл в диспетчер задач и о удивление запущен cpuminer  , ну нифига себе думаю, правда на одном ядре майнился какой то говнофорк, удалил так ничего и не сказав, толку то

это старые были майнеры, распространялись как-то по локалкам
читал есть проги, загружают по локальным машинам себя (какие-то дырки есть), потом выполняют бантик, кот стягивает уже майнер + конфиг, все в фоне, без досовских окошек и в автозагрузку переназванный процесс под системный, майнит на одно ядро

[negeroy]

не давно копался у одной знакомой в компе так там и без всяких троянов, зашёл в диспетчер задач и о удивление запущен cpuminer  , ну нифига себе думаю, правда на одном ядре майнился какой то говнофорк, удалил так ничего и не сказав, толку то

это старые были майнеры, распространялись как-то по локалкам
читал есть проги, загружают по локальным машинам себя (какие-то дырки есть), потом выполняют бантик, кот стягивает уже майнер + конфиг, все в фоне, без досовских окошек и в автозагрузку переназванный процесс под системный, майнит на одно ядро

ну а тут ничего скрытого, и майнер довольно новый, где-то выкладывали в английской ветке, да и у себя ставил, посмотрел по запросам гугла, с мая много кто интересовался что за процесс на компе такой, видать либо с какой-то прогой идёт в комплекте либо ещё каким то путями при переходе по ссылкам и активном ява скрипте идёт загрузка, да и на системе стоял каспер, видать не внесли ещё в чёрный список

[Gerhald]

не давно копался у одной знакомой в компе так там и без всяких троянов, зашёл в диспетчер задач и о удивление запущен cpuminer  ,

И сам от греха подальше только что проверил Диспетчер. Пока что никаких незваных гостей

[AndySt]

А что, доктор веб сам утилитку для выкорчёвки этой бяки не предлагает?

[bitcoinbrother]

А хакеры молодцы! поскольку за "отмывание" от их заразы им перестали платить так они уже мощности компа использовать стали.

[anref]

не давно копался у одной знакомой в компе так там и без всяких троянов, зашёл в диспетчер задач и о удивление запущен cpuminer  ,

И сам от греха подальше только что проверил Диспетчер. Пока что никаких незваных гостей

Дык он может так и не называться. Разве мало троянов которые в диспечере косят под системные задачи - типа svhosts или explorer

[negeroy]

не давно копался у одной знакомой в компе так там и без всяких троянов, зашёл в диспетчер задач и о удивление запущен cpuminer  ,

И сам от греха подальше только что проверил Диспетчер. Пока что никаких незваных гостей

Дык он может так и не называться. Разве мало троянов которые в диспечере косят под системные задачи - типа svhosts или explorer

а некоторые вообще в диспетчере не отображаются 

[nor9845]

не давно копался у одной знакомой в компе так там и без всяких троянов, зашёл в диспетчер задач и о удивление запущен cpuminer  ,

И сам от греха подальше только что проверил Диспетчер. Пока что никаких незваных гостей

Дык он может так и не называться. Разве мало троянов которые в диспечере косят под системные задачи - типа svhosts или explorer

а некоторые вообще в диспетчере не отображаются  

народ, диспечер виндовый - это ацтой.   юзайте - Process Explorer для Windows (последняя версия вроде как 16.05) Автор: Марк Руссинович (Mark Russinovich) линки нету, погуглите - сразу выдаст.

показывает - в верхнем окне всегда список абсолютно всех активных процессов, включая имена учетных записей, которым принадлежат эти процессы, в нижнем окне отображаются все открытые дескрипторы выбранного в верхнем окне процесса, а в режиме библиотек DLL — все загруженные процессом динамические библиотеки и отображенные в память файлы.

также есть мощные возможности поиска, благодаря которым можно быстро узнать, у какого процесса открыт определенный дескриптор или загружена определенная библиотека DLL.

всем советую. весчь !

[bokr57]

народ, диспечер виндовый - это ацтой.   юзайте - Process Explorer для Windows - спасибо, попробуем, а он умеет распознавать шпионские и левые процессы?

[Webcelerator]

народ, диспечер виндовый - это ацтой.   юзайте - Process Explorer для Windows - спасибо, попробуем, а он умеет распознавать шпионские и левые процессы?

А то, там же встроенный искусственный ы-нтилект! Размер дистрибутива - 50 Гб.

[bokr57]

А то, там же встроенный искусственный ы-нтилект! Размер дистрибутива - 50 Гб. - шутки шутками, но программа могла бы сравнивать "стандартные" процессы со всеми на данный момент выполняющимися.

[avdot]

не давно копался у одной знакомой в компе так там и без всяких троянов, зашёл в диспетчер задач и о удивление запущен cpuminer  ,

И сам от греха подальше только что проверил Диспетчер. Пока что никаких незваных гостей

Дык он может так и не называться. Разве мало троянов которые в диспечере косят под системные задачи - типа svhosts или explorer

а некоторые вообще в диспетчере не отображаются  

народ, диспечер виндовый - это ацтой.   юзайте - Process Explorer для Windows (последняя версия вроде как 16.05) Автор: Марк Руссинович (Mark Russinovich) линки нету, погуглите - сразу выдаст.

показывает - в верхнем окне всегда список абсолютно всех активных процессов, включая имена учетных записей, которым принадлежат эти процессы, в нижнем окне отображаются все открытые дескрипторы выбранного в верхнем окне процесса, а в режиме библиотек DLL — все загруженные процессом динамические библиотеки и отображенные в память файлы.

также есть мощные возможности поиска, благодаря которым можно быстро узнать, у какого процесса открыт определенный дескриптор или загружена определенная библиотека DLL.

всем советую. весчь !

Штука отличная особенно когда в этой теме что-то рубишь))

[Webcelerator]

А то, там же встроенный искусственный ы-нтилект! Размер дистрибутива - 50 Гб. - шутки шутками, но программа могла бы сравнивать "стандартные" процессы со всеми на данный момент выполняющимися.

По каким параметрам сравнивать, если не секрет?
Я такое клиентам и так неслабо чищу.
AVZ, MBAM, CCleaner, Drweb CureIT + мозг и руки - и все зачищено.
А уж если в Запланированных задачах или загрузке стоит исполнение скрипта - явно оно.
Могу дать заголовок на пощупать.....
Microsoft Excel.WsF
174 Кб
==========================
<package>
<job id="manage-bde">
<script language="VBScript">

Почикал текст
==========================

[Gerhald]

не давно копался у одной знакомой в компе так там и без всяких троянов, зашёл в диспетчер задач и о удивление запущен cpuminer  ,

И сам от греха подальше только что проверил Диспетчер. Пока что никаких незваных гостей

Дык он может так и не называться. Разве мало троянов которые в диспечере косят под системные задачи - типа svhosts или explorer

Чёрт, рано я успокоился, искал конкретно cpuminer в процессах  .

[svetoch]

было бы желание, а спрятать можно почти хоть что почти хоть куда
а в предлагаемой программе можно например отслеживать расположение запущенных процессов и библиотек. если не в папках виндовс и програмфилес уже повод задуматься. хотя и в них тоже можно упрятать
ГРАЖДАНЕ, ХРАНИТЕ ДЕНЬГИ РАБОТАЙТЕ ПОД В СБЕРЕГАТЕЛЬНОЙ КАССЕ ОГРАНИЧЕННОЙ УЧЕТНОЙ ЗАПИСЬЮ
так папки виндовс и програмфилес хоть немного сильнее защищены

[Webcelerator]

не давно копался у одной знакомой в компе так там и без всяких троянов, зашёл в диспетчер задач и о удивление запущен cpuminer  ,

И сам от греха подальше только что проверил Диспетчер. Пока что никаких незваных гостей

Дык он может так и не называться. Разве мало троянов которые в диспечере косят под системные задачи - типа svhosts или explorer

Чёрт, рано я успокоился, искал конкретно cpuminer в процессах  .

Е(?*ать ты гений! Так то ниче если висят там CGMINER или типа того?

[oxilore]

народ, диспечер виндовый - это ацтой.   юзайте - Process Explorer для Windows (последняя версия вроде как 16.05) Автор: Марк Руссинович (Mark Russinovich) линки нету, погуглите - сразу выдаст.

показывает - в верхнем окне всегда список абсолютно всех активных процессов, включая имена учетных записей, которым принадлежат эти процессы, в нижнем окне отображаются все открытые дескрипторы выбранного в верхнем окне процесса, а в режиме библиотек DLL — все загруженные процессом динамические библиотеки и отображенные в память файлы.

также есть мощные возможности поиска, благодаря которым можно быстро узнать, у какого процесса открыт определенный дескриптор или загружена определенная библиотека DLL.

всем советую. весчь !

Ещё хорошая штука похожая - Anvir Task Manager.