Перейти к содержанию
AM_Bot

Trojan.BtcMine.218 раскрывает имя своего создателя

Recommended Posts

AM_Bot

18 декабря 2013 года

Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — сообщает о появлении вредоносной программы Trojan.BtcMine.218, предназначенной для майнинга (добычи) электронной криптовалюты Bitcoin, и распространяющейся с помощью широко известной вредоносной партнерской программы installmonster.ru. Это уже второй троянец для несанкционированного использования вычислительных ресурсов компьютеров, обнаруженный специалистами «Доктор Веб» в декабре 2013 года.

Мониторинг партнерской программы по монетизации файлового трафика Installmonster.ru в очередной раз подтвердил её вредоносный характер. В начале декабря в раздаче этой партнерской программы был замечен файл SmallWeatherSetup.exe, якобы представляющий собой «погодный тулбар». Известно и одноименное вполне безобидное приложение, действительно способное демонстрировать актуальную информацию о погоде, однако вариант, предлагаемый партнерской программой Installmonster.ru, содержит совсем небезопасное «дополнение».

В данном случае мы имеем дело с классическим троянцем-дроппером, написанным на макроязыке AutoIt. Код скрипта достаточно прост и понятен, при этом он содержит две характерные строки:

FILEINSTALL("C:UsersAntonioDesktopGlueSmallWeatherSetup.exe", @TEMPDIR & "Setup_1.exe")

FILEINSTALL("C:UsersAntonioDesktopGlueInstall.exe", @TEMPDIR & "Setup_2.exe")

Из этих строк становится очевидно, что пользователь, скрывающийся под псевдонимом Antonio, собрал на Рабочем столе своего компьютера дроппер, включающий два приложения: безобидный «погодный информатор» SmallWeatherSetup.exe и вредоносную программу в файле Install.exe. Приложение Install.exe представляет собой загрузчик основного троянского компонента, который, используя конфигурационный файл в формате XML, скачиваемый с сайта злоумышленников http://bitchat.org, устанавливает на инфицированный компьютер приложение для добычи (майнинга) криптовалюты. В конфигурационном файле содержится логин пользователя, в чью пользу троянец расходует аппаратные ресурсы компьютера жертвы, — tonycraft.

В качестве приложения для добычи криптовалюты используется программа, известная под именем cpuminer (Tool.BtcMine.130), однако на зараженной системе она работает под именем %APPDATA%Intelexplorer.exe. Для обеспечения автоматического запуска троянская программа модифицирует соответствующую ветвь системного реестра Windows:

[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun]

"Intel® Common User Interface"="%APPDATA%IntelIntel.exe"

По всей видимости, Antonio (Tony) не слишком искушен в вопросах программирования, поскольку разработку вредоносной программы он поручил другому человеку, который и написал основные модули троянца. Об этом говорит символьная информация, оставленная в модулях троянца, например: "c:UsersКошевой ДмитрийDocumentsVisual Studio 2012ProjectsMinerInstalobjDebugInstal.pdb".

С помощью элементарного поиска без труда находится страница в социальной сети «ВКонтакте», где пользователь с ником Tonycoin приглашает всех на свой «обновленный чат-сайт bitchat.org»:

bt02.1.png

Кроме того, без труда отыскиваются страницы, где тот же пользователь рекламирует своего троянца под видом приложения SmallWeatherSetup.exe:

bt10.1.png

bt11.1.png

bt12.1.png

В настоящее время вирусописатель "Кошевой Дмитрий" неустанно продолжает модифицировать свою поделку для обхода сигнатурного детекта, а Tony переключился с "Погодного Информера" на распространение приложения "Интернет Радио" в виде файла с именем ScreamerRadio.exe.

К слову, на днях в партнерской программе InstallMonster появился новый "рекламодатель", устанавливающий пользователям программу RadioOnline.exe, которая, как нетрудно догадаться, представляет собой всё тот же Trojan.BtcMine.218. Вредоносная программа Trojan.BtcMine.218 распознается и успешно удаляется ПО Dr.Web и потому не представляет опасности для пользователей нашего антивируса.

Источник

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Milord

Кто хочет "пощупать", в том же ргхосте забиваем в поиск "RadioOnline.exe" - 100% попадание)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Товарищ Беляш уже пожаловался в компетентные органы на школьника?

хотя если они в винлоках открыто адрес вк пишут для фидбека...

а вообще меня умиляет ситуация когда чуть ли не fud семпл выкачивает и инсталлит некриптованный cpuмайнер... - такое в большинстве случаев на мой взгляд....

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
B .

Он таки покриптован. Энигмой.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • mafanya
      Сделать настроение отличным на весь день помогут прикольные картинки на сайте https://proprikol.ru. Удобный интерфейс в сочетании с красивым дизайном понравятся каждому пользователю. Портал наполнен картинками различных жанров, просто перейдите в интересующую вас рубрику и наслаждайтесь просмотром. В честь дня рождения или какого-нибудь торжества есть поздравительные открытки. Для любителей смешных гифок на сайте отведена отдельная категория. Не забывайте делиться позитивом с друзьями. Для этого нужно скачать понравившуюся картинку, а затем отправить её любым удобным способом.
    • mafanya
    • Kuisa
      Тут стоит посмотреть себе качественные шторы плиссе https://alumdevelop.ru/solntsezashhitnye-sistemy/shtory-plisse/ Не так давно их заказывали себе и остались довольны. Смотрятся круто и цена скажу я вам очень даже адекватная на все это дело
    • PR55.RP55
      Недостатки uVS:
      1) Невозможно задать временный критерий. После поиска созданный критерий нужно удалять... Решение: При создании критерия добавить чек бокс:  НЕ вносить изменений в snms [ V ] 2) В Инфо. нет подсветки по типу поиска в браузере ( подсветить всё найденное ) 3) Поиск идёт по всем критериям -  по старым и по новым. Когда критериев много ( а их много ) такой поиск теряет смысл. Разве ? Нет смысла искать в других полях по: каталог; имя производителя; цифровой подписи; хэш. Напомню:  " Пока что вижу эти: wmic.exe, vssadmin.exe, cmd.exe, svchost.exe + powershell.exe+ netsh.exe конечно, остальные можно по мере поступления добавить.  "      
    • gromm
      А мне в своё время очень помог частный детектив. Банальная семейная история с изменой мужа. Сначала я не придавала значения вечным опозданиям супруга с работы. Москва город большой. Вечный пробки на МКАДе и тому подобное. Позже стала замечать, что муж постоянно сидит в мобильном телефоне. Как - то раз решила я посмотреть его мобильный телефон. Но не вышло. Он оказался под паролем. Тут же закрались сомнения. Лучшая подружка посоветовала обратиться в детективное агентство https://shpion.su/agency  . Слежка за человеком - это их конёк. Самое главное, что моё обращение к ним сохраняется в тайне.  Всего за несколько дней мне предоставили подробный отчёт, чем занимался мой супруг в рабочее, а так же в не рабочее время. 
×