Your browser is obsolete!

The page may not load correctly.

Defend what you create

Other Resources

Zamknij

Library
My library

+ Add to library

Contact us
24/7 Tech support

Send a message

Call us

+7 (495) 789-45-86

Forum
Profile

Back to news

Doctor Web ostrzega przed nowym trojanem górniczym

15 czerwca 2017

Trojany górnicze to złośliwe programy używające zasobów zainfekowanego urządzenia do wydobywania kryptowalut. Analitycy Doctor Web przeprowadzili badania jednego z takich trojanów, zdolnego do infekowania komputerów z systemem Windows.

Ten złośliwy program, zaprojektowany do pozyskiwania kryptowaluty Monero (XMR), został nazwany Trojan.BtcMine.1259. Na zainfekowany komputer jest on pobierany przez wirusa Trojan.DownLoader24.64313. Z kolei ten trojan ładujący jest dystrybuowany przez backdoora DoublePulsar.

Uruchomiony, Trojan.BtcMine.1259 sprawdza, czy na zainfekowanym komputerze jest już uruchomiona jego kopia. Następnie określa liczbę dostępnych rdzeni CPU; jeśli ich liczba jest większa lub równa liczbie wątków określonych w konfiguracji trojana, odszyfrowuje on bibliotekę zapisaną wewnątrz swojej struktury i ładuje ją do pamięci. Ta biblioteka jest zmodyfikowaną wersją systemu do zdalnej administracji, którego kod jest dostępny na zasadach open source. Ten system jest znany jako Gh0st RAT (Antywirus Dr.Web wykrywa go jako BackDoor.Farfli.96). Następnie Trojan.BtcMine.1259 zapisuje swoją kopię na dysku i uruchamia ją jako usługę systemową. Uruchomiony, trojan próbuje pobrać swoją aktualizację z serwera kontrolno-zarządzającego, którego adres został wskazany w pliku konfiguracyjnym.

Główny moduł zaprojektowany do wydobywania kryptowaluty Monero został również zaimplementowany w postaci biblioteki, a trojan zawiera zarówno 32- jak i 64-bitową wersję programu górniczego. Odpowiednia implementacja trojana jest wybierana na podstawie liczby bitów w długości słowa systemu operacyjnego. Konfiguracja tego modułu wskazuje ile rdzeni procesora i zasobów systemu będzie użyte do wydobywania kryptowaluty, określa interwały w których program górniczy będzie automatycznie ponownie uruchamiany i definiuje inne parametry. Trojan śledzi procesy uruchomione na zainfekowanym komputerze i kończy swoją pracę z chwilą przeprowadzenia próby uruchomienia Menedżera Zadań.

Pomimo faktu, że pierwsze trojany górnicze zostały wykryte ponad sześć lat temu (sygnatura Trojan.BtcMine.1 została dodana do baz wirusów Dr.Web w 2011 roku), cyberprzestępcy wciąż rozpowszechniają złośliwe programy wykorzystujące zasoby komputera bez wiedzy użytkownika. Oznaką mówiącą o tym, że komputer został zainfekowany takim programem może być spowolnienie systemu lub przegrzewanie się CPU. Trojan.BtcMine.1259 i wszystkie jego komponenty są z powodzeniem usuwane przez Antywirusa Dr.Web i tym samym nie stanowi on zagrożenia dla naszych użytkowników.

Więcej na temat tego trojana

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

The Russian developer of Dr.Web anti-viruses

Doctor Web has been developing anti-virus software since 1992

Dr.Web is trusted by users around the world in 200+ countries

The company has delivered an anti-virus as a service since 2007

24/7 tech support

© Doctor Web
2003 — 2017

Doctor Web to rosyjski producent oprogramowania antywirusowego Dr.Web. Rozwijamy nasze produkty od 1992 roku.

125040, Rosja, Moskwa, 3. ulica Jamskiego Pola 2-12A