Новая форма вредоносного майнера приводит к сбоям в работе системы, если антивирусный продукт пытается удалить ее с компьютера пользователя. Вредонос получил имя WinstarNssmMiner, он совершил полмиллиона атак в течение всего трех дней.
О находке сообщили эксперты из 360 Total Security, по их словам, майнер используется для добычи криптовалюты Monero. Особенность этого типа вредоносной программы заключается в деструктивных действиях — WinstarNssmMiner приведет к сбою в работе системы, если поймет, что его обнаружил антивирус.
Принцип действия майнера строится вокруг внедрения вредоносного кода в svchost.exe. Зловред порождает два процесса: один добывает цифровую валюту, а второй, работая в фоновом режиме, следит за работой антивирусной программы.
На следующем этапе WinstarNssmMiner изменяет CriticalProcess, добавляя атрибут, который позволяет вредоносу привести к сбою системы пользователя.
Кроме этого, WinstarNssmMiner сканирует зараженный компьютер на наличие антивирусных продуктов. Если он обнаружит антивирусы «Лаборатория Касперского» и Avast, он прекратит свою работу.
Если же используются менее опасные антивирусные средства, майнер будет пытаться всячески тормозить работу ОС, вызывать BSOD и мешать работе системы, пока он сам крадет вычислительную мощность компьютера.
На данный момент злоумышленники заработали около 26 500 долларов в Monero.
