Новый троянец занимается майнингом биткоинов
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

Новый троянец занимается майнингом биткоинов

Александр Панасенко 19 Декабря 2013 - 10:53
...

В антивирусной компании «Доктор Веб» сообщили о появлении вредоносной программы Trojan.BtcMine.218, предназначенной для майнинга (добычи) электронной криптовалюты Bitcoin, и распространяющейся с помощью широко известной вредоносной партнерской программы installmonster.ru. Это уже второй троянец для несанкционированного использования вычислительных ресурсов компьютеров, обнаруженный в декабре 2013 года.

 
Мониторинг партнерской программы по монетизации файлового трафика Installmonster.ru в очередной раз подтвердил её вредоносный характер. В начале декабря в раздаче этой партнерской программы был замечен файл SmallWeatherSetup.exe, якобы представляющий собой «погодный тулбар». Известно и одноименное вполне безобидное приложение, действительно способное демонстрировать актуальную информацию о погоде, однако вариант, предлагаемый партнерской программой Installmonster.ru, содержит совсем небезопасное «дополнение», пишет drweb.com.
 
В данном случае мы имеем дело с классическим троянцем-дроппером, написанным на макроязыке AutoIt. Код скрипта достаточно прост и понятен, при этом он содержит две характерные строки:
 
FILEINSTALL("C:\Users\Antonio\Desktop\Glue\SmallWeatherSetup.exe", @TEMPDIR & "\Setup_1.exe")
FILEINSTALL("C:\Users\Antonio\Desktop\Glue\Install.exe", @TEMPDIR & "\Setup_2.exe")
 
Из этих строк становится очевидно, что пользователь, скрывающийся под псевдонимом Antonio, собрал на Рабочем столе своего компьютера дроппер, включающий два приложения: безобидный «погодный информатор» SmallWeatherSetup.exe и вредоносную программу в файле Install.exe. Приложение Install.exe представляет собой загрузчик основного троянского компонента, который, используя конфигурационный файл в формате XML, скачиваемый с сайта злоумышленников http://bitchat.org, устанавливает на инфицированный компьютер приложение для добычи (майнинга) криптовалюты. В конфигурационном файле содержится логин пользователя, в чью пользу троянец расходует аппаратные ресурсы компьютера жертвы, — tonycraft.
 
В качестве приложения для добычи криптовалюты используется программа, известная под именем cpuminer (Tool.BtcMine.130), однако на зараженной системе она работает под именем %APPDATA%\Intel\explorer.exe. Для обеспечения автоматического запуска троянская программа модифицирует соответствующую ветвь системного реестра Windows:
 
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Intel(R) Common User Interface"="%APPDATA%\Intel\Intel.exe"
 
По всей видимости, Antonio (Tony) не слишком искушен в вопросах программирования, поскольку разработку вредоносной программы он поручил другому человеку, который и написал основные модули троянца. Об этом говорит символьная информация, оставленная в модулях троянца, например: "c:\Users\Кошевой Дмитрий\Documents\Visual Studio 2012\Projects\Miner\Instal\obj\Debug\Instal.pdb". С помощью элементарного поиска без труда находится страница в социальной сети «ВКонтакте», где пользователь с ником Tonycoin приглашает всех на свой «обновленный чат-сайт bitchat.org»:
 
Кроме того, без труда отыскиваются страницы, где тот же пользователь рекламирует своего троянца под видом приложения SmallWeatherSetup.exe. В настоящее время вирусописатель "Кошевой Дмитрий" неустанно продолжает модифицировать свою поделку для обхода сигнатурного детекта, а Tony переключился с "Погодного Информера" на распространение приложения "Интернет Радио" в виде файла с именем ScreamerRadio.exe.
 
К слову, на днях в партнерской программе InstallMonster появился новый "рекламодатель", устанавливающий пользователям программу RadioOnline.exe, которая, как нетрудно догадаться, представляет собой всё тот же Trojan.BtcMine.218.
Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Вредонос PROMPTFLUX обращается к ИИ Gemini, чтобы менять свой код
Екатерина Быстрова 06 Ноября 2025 - 09:52
Трояны Домашние пользователиКорпорации Google
Вредонос PROMPTFLUX обращается к ИИ Gemini, чтобы менять свой код

Google сообщила о новой экспериментальной вредоносной программе, использующей искусственный интеллект для изменения собственного кода и сокрытия в целевой системе. Речь идет о PROMPTFLUX — вредоносном скрипте на VB Script, который взаимодействует с API Gemini, запрашивая у модели варианты обфускации и обхода антивирусных систем.

Как пояснили специалисты из Google Threat Intelligence Group (GTIG), PROMPTFLUX обращается к Gemini 1.5 Flash (и более поздним версиям), чтобы получать обновлённый код, способный обойти сигнатурное обнаружение.

Вредоносный скрипт использует встроенный API-ключ для отправки запросов напрямую к API Gemini и сохраняет новые версии в папке автозагрузки Windows.

Интересно, что внутри скрипта есть функция саморегенерации — AttemptToUpdateSelf. Хотя она закомментирована и неактивна, наличие логов взаимодействия с ИИ в файле thinking_robot_log.txt говорит о том, что авторы планируют создать «саморазвивающийся» вредоносный код.

 

Google отмечает, что существует несколько вариаций PROMPTFLUX, и в одной из них ИИ получает задачу полностью переписывать код скрипта каждый час. Однако на данный момент программа находится на стадии разработки и не способна заражать устройства. Судя по всему, за проектом стоит группа с финансовой мотивацией, а не государственные хакеры.

Некоторые эксперты, впрочем, считают, что история преувеличена. Исследователь Марк Хатчинс (Marcus Hutchins) заявил, что PROMPTFLUX не демонстрирует реальных признаков «умного» поведения:

«Модель Gemini не знает, как обходить антивирусы. Кроме того, код не имеет механизмов, гарантирующих уникальность или стабильность работы. А функция модификации кода даже не используется».

Тем не менее специалисты Google предупреждают, что злоумышленники активно экспериментируют с использованием ИИ не только для автоматизации задач, но и для создания вредоносных инструментов, которые способны адаптироваться «на лету».

Среди других примеров ИИ-вредоносов, обнаруженных Google, упоминаются:

  • FRUITSHELL — обратная оболочка на PowerShell, обученная обходить системы на основе LLM;
  • PROMPTLOCK — кросс-платформенный вымогатель на Go, использующий LLM для генерации вредоносных скриптов на Lua;
  • PROMPTSTEAL (LAMEHUG) — инструмент, применявшийся группировкой APT28 для атак на Украину;
  • QUIETVAULT — JavaScript-зловред, крадущий токены GitHub и NPM.
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
70% атак на компании связаны со скачиванием вредоносной программы
Новость
70% атак на компании связаны со скачиванием вредоносной прог...
Госдума: россиян будут пускать в интернет только после идентификации
Новость
Госдума: россиян будут пускать в интернет только после идент...
Мошенники начали использовать информацию из Росреестра для атак
Новость
Мошенники начали использовать информацию из Росреестра для а...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.