15 czerwca 2017

Trojany górnicze to złośliwe programy używające zasobów zainfekowanego urządzenia do wydobywania kryptowalut. Analitycy Doctor Web przeprowadzili badania jednego z takich trojanów, zdolnego do infekowania komputerów z systemem Windows.

Ten złośliwy program, zaprojektowany do pozyskiwania kryptowaluty Monero (XMR), został nazwany Trojan.BtcMine.1259. Na zainfekowany komputer jest on pobierany przez wirusa Trojan.DownLoader24.64313. Z kolei ten trojan ładujący jest dystrybuowany przez backdoora DoublePulsar.

Uruchomiony, Trojan.BtcMine.1259 sprawdza, czy na zainfekowanym komputerze jest już uruchomiona jego kopia. Następnie określa liczbę dostępnych rdzeni CPU; jeśli ich liczba jest większa lub równa liczbie wątków określonych w konfiguracji trojana, odszyfrowuje on bibliotekę zapisaną wewnątrz swojej struktury i ładuje ją do pamięci. Ta biblioteka jest zmodyfikowaną wersją systemu do zdalnej administracji, którego kod jest dostępny na zasadach open source. Ten system jest znany jako Gh0st RAT (Antywirus Dr.Web wykrywa go jako BackDoor.Farfli.96). Następnie Trojan.BtcMine.1259 zapisuje swoją kopię na dysku i uruchamia ją jako usługę systemową. Uruchomiony, trojan próbuje pobrać swoją aktualizację z serwera kontrolno-zarządzającego, którego adres został wskazany w pliku konfiguracyjnym.

Główny moduł zaprojektowany do wydobywania kryptowaluty Monero został również zaimplementowany w postaci biblioteki, a trojan zawiera zarówno 32- jak i 64-bitową wersję programu górniczego. Odpowiednia implementacja trojana jest wybierana na podstawie liczby bitów w długości słowa systemu operacyjnego. Konfiguracja tego modułu wskazuje ile rdzeni procesora i zasobów systemu będzie użyte do wydobywania kryptowaluty, określa interwały w których program górniczy będzie automatycznie ponownie uruchamiany i definiuje inne parametry. Trojan śledzi procesy uruchomione na zainfekowanym komputerze i kończy swoją pracę z chwilą przeprowadzenia próby uruchomienia Menedżera Zadań.

Pomimo faktu, że pierwsze trojany górnicze zostały wykryte ponad sześć lat temu (sygnatura Trojan.BtcMine.1 została dodana do baz wirusów Dr.Web w 2011 roku), cyberprzestępcy wciąż rozpowszechniają złośliwe programy wykorzystujące zasoby komputera bez wiedzy użytkownika. Oznaką mówiącą o tym, że komputer został zainfekowany takim programem może być spowolnienie systemu lub przegrzewanie się CPU. Trojan.BtcMine.1259 i wszystkie jego komponenty są z powodzeniem usuwane przez Antywirusa Dr.Web i tym samym nie stanowi on zagrożenia dla naszych użytkowników.

Więcej na temat tego trojana