Эксперты обнаружили троян-майнер, способный самостоятельно распространяться по локальной сети

image

Теги: троян, биткоин, дроппер

По внутренней архитектуре троян напоминает матрешку, состоящую из трех вложенных друг в друга установщиков.

Специалисты ИБ-компании «Доктор Веб» обнаружили новый образец трояна-майнера, который способен самостоятельно распространяться по сети. Вредонос получил название Trojan.BtcMine.737 (по классификации «Доктор Веб»).

По внутренней архитектуре троян напоминает матрешку, состоящую из трех вложенных друг в друга установщиков, созданных с использованием технологии Nullsoft Scriptable Install System (NSIS). Первый установщик является обыкновенным дроппером. Он пытается остановить процессы Trojan.BtcMine.737, если они уже ранее были запущены в системе, а затем извлекает из своего тела и помещает во временную папку исполняемый файл другого установщика, запускает его, а затем удаляет исходный файл.

Второй установщик обладает более широкими функциональными возможностями. Сначала он сохраняет в одной из папок на диске целевого ПК и запускает исполняемый файл CNminer.exe, а затем создает собственную копию в папке автозагрузки, в папке «Документы» пользователя Windows и во вновь созданной папке на диске директории, к которой автоматически открывает доступ из локальной сети. В папках копии вредоноса отображаются в виде файла с именем Key со значком WinRAR-архива.

Исполняемый файл CNminer.exe является установщиком утилиты для добычи криптовалюты. После запуска на зараженном компьютере приложение сохраняет в текущей папке исполняемые файлы для 32- и 64-битной архитектур, а также текстовый файл с конфигурационными данными. Ссылку на исполняемый файл вредонос вносит в ветку системного реестра Windows, которая отвечает за автоматический запуск приложений. После запуска содержащийся в установщике скрипт останавливает запущенные ранее процессы майнеров, а затем обращается к C&C-серверу, который отправляет ему дополнительные данные с параметрами пулов и номерами электронных кошельков. 

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.