Новый троянец занимается майнингом биткоинов

Александр Панасенко 19 Декабря 2013 - 10:53

...

В антивирусной компании «Доктор Веб» сообщили о появлении вредоносной программы Trojan.BtcMine.218, предназначенной для майнинга (добычи) электронной криптовалюты Bitcoin, и распространяющейся с помощью широко известной вредоносной партнерской программы installmonster.ru. Это уже второй троянец для несанкционированного использования вычислительных ресурсов компьютеров, обнаруженный в декабре 2013 года.

Мониторинг партнерской программы по монетизации файлового трафика Installmonster.ru в очередной раз подтвердил её вредоносный характер. В начале декабря в раздаче этой партнерской программы был замечен файл SmallWeatherSetup.exe, якобы представляющий собой «погодный тулбар». Известно и одноименное вполне безобидное приложение, действительно способное демонстрировать актуальную информацию о погоде, однако вариант, предлагаемый партнерской программой Installmonster.ru, содержит совсем небезопасное «дополнение», пишет drweb.com.

В данном случае мы имеем дело с классическим троянцем-дроппером, написанным на макроязыке AutoIt. Код скрипта достаточно прост и понятен, при этом он содержит две характерные строки:

FILEINSTALL("C:\Users\Antonio\Desktop\Glue\SmallWeatherSetup.exe", @TEMPDIR & "\Setup_1.exe")

FILEINSTALL("C:\Users\Antonio\Desktop\Glue\Install.exe", @TEMPDIR & "\Setup_2.exe")

Из этих строк становится очевидно, что пользователь, скрывающийся под псевдонимом Antonio, собрал на Рабочем столе своего компьютера дроппер, включающий два приложения: безобидный «погодный информатор» SmallWeatherSetup.exe и вредоносную программу в файле Install.exe. Приложение Install.exe представляет собой загрузчик основного троянского компонента, который, используя конфигурационный файл в формате XML, скачиваемый с сайта злоумышленников http://bitchat.org, устанавливает на инфицированный компьютер приложение для добычи (майнинга) криптовалюты. В конфигурационном файле содержится логин пользователя, в чью пользу троянец расходует аппаратные ресурсы компьютера жертвы, — tonycraft.

В качестве приложения для добычи криптовалюты используется программа, известная под именем cpuminer (Tool.BtcMine.130), однако на зараженной системе она работает под именем %APPDATA%\Intel\explorer.exe. Для обеспечения автоматического запуска троянская программа модифицирует соответствующую ветвь системного реестра Windows:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Intel(R) Common User Interface"="%APPDATA%\Intel\Intel.exe"

По всей видимости, Antonio (Tony) не слишком искушен в вопросах программирования, поскольку разработку вредоносной программы он поручил другому человеку, который и написал основные модули троянца. Об этом говорит символьная информация, оставленная в модулях троянца, например: "c:\Users\Кошевой Дмитрий\Documents\Visual Studio 2012\Projects\Miner\Instal\obj\Debug\Instal.pdb". С помощью элементарного поиска без труда находится страница в социальной сети «ВКонтакте», где пользователь с ником Tonycoin приглашает всех на свой «обновленный чат-сайт bitchat.org»:

Кроме того, без труда отыскиваются страницы, где тот же пользователь рекламирует своего троянца под видом приложения SmallWeatherSetup.exe. В настоящее время вирусописатель "Кошевой Дмитрий" неустанно продолжает модифицировать свою поделку для обхода сигнатурного детекта, а Tony переключился с "Погодного Информера" на распространение приложения "Интернет Радио" в виде файла с именем ScreamerRadio.exe.

К слову, на днях в партнерской программе InstallMonster появился новый "рекламодатель", устанавливающий пользователям программу RadioOnline.exe, которая, как нетрудно догадаться, представляет собой всё тот же Trojan.BtcMine.218.

Следующая главная новость »

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »

Екатерина Быстрова 09 Февраля 2026 - 11:54

Android iOS Уязвимости программ Домашние пользователи

70% мобильных игр небезопасны: эксперты нашли сотни уязвимостей

Казалось бы, что может быть безобиднее мобильных игр? Пару уровней в дороге, быстрый матч перед сном — и никаких рисков. Но на практике всё не так радужно. По данным AppSec Solutions, семь из десяти игровых приложений для смартфонов содержат уязвимости, а каждая седьмая из них может быть потенциально опасной.

Специалисты компании проанализировали около 50 популярных мобильных игр с помощью инструмента AppSec.Sting и обнаружили порядка 700 уязвимостей. Из них 90 получили высокий или критический уровень опасности.

Самые тревожные находки — это банальные, но оттого не менее опасные ошибки. Так, в 12 приложениях пароли и токены хранились прямо в исходном коде, фактически в открытом виде. Для злоумышленников это настоящий подарок — такие данные легко извлекаются и могут использоваться для взлома.

Ещё 13 игр не имели проверки целостности, что позволяет без особых усилий модифицировать сборку и менять логику приложения.

«Это серьёзно упрощает вмешательство в работу игры — от читов до более опасных сценариев», — пояснил руководитель отдела анализа защищённости AppSec.Sting компании AppSec Solutions Никита Пинаев.

Эксперт выделил три ключевые проблемы, которые встречаются в мобильных играх особенно часто.

Во многих играх критически важные механики — расчёт наград, прогресса и внутриигровых ресурсов — реализованы на стороне клиента. Без полноценной серверной проверки это открывает дорогу к подмене данных, повторному воспроизведению запросов и манипуляциям с игровой экономикой. Итог — читы, перекос баланса, падение честности и доверия игроков.

Небезопасное хранение данных и слабая защита сетевого взаимодействия. Конфиденциальная информация нередко хранится локально без шифрования и контроля целостности. К этому добавляются проблемы с сетевой защитой — отсутствие проверок подлинности запросов и защиты от повторного воспроизведения. Всё это создаёт условия для утечек данных и автоматизации мошеннических сценариев.

Многие приложения поставляются без обфускации кода и базовых механизмов защиты. В результате бизнес-логика легко анализируется, конфиденциальные параметры извлекаются, а модифицированные клиенты распространяются быстрее, чем разработчики успевают реагировать.

На первый взгляд проблемы выглядят «внутриигровыми», но на деле они оборачиваются вполне реальными рисками — финансовыми потерями, ростом мошенничества и репутационными издержками. И страдают от этого не только студии, но и обычные пользователи.

Эксперты AppSec Solutions напоминают простые, но эффективные правила цифровой гигиены:

Скачивайте игры только из официальных магазинов.
Сторонние источники — главный канал распространения модифицированных и вредоносных версий.
Осторожнее с модами и «взломами».
Читы — это не только риск бана, но и реальная угроза утечки данных или заражения устройства.
Следите за разрешениями.
Давайте игре только то, что действительно нужно для работы, и периодически пересматривайте доступы.
Обновляйте приложения и ОС.
Апдейты часто закрывают уязвимости, о которых вы даже не подозреваете.
Используйте уникальные пароли.
Для игровых аккаунтов — свои учётные данные и, по возможности, дополнительные механизмы защиты.

Мобильные игры давно перестали быть просто развлечением — вокруг них крутятся деньги, данные и целые цифровые экосистемы. А значит, относиться к их безопасности стоит не менее серьёзно, чем к банковским приложениям.

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »