Зловредный XMRig блочит Windows Update и повышает права с помощью WinRing0

Зловредный XMRig блочит Windows Update и повышает права с помощью WinRing0

Зловредный XMRig блочит Windows Update и повышает права с помощью WinRing0

Специалисты G DATA проанализировали новый вредоносный вариант майнера XMRig, объявившийся минувшей весной на фоне роста курса монеро. Заражения были обнаружены в Китае, Бельгии, Греции и России.

Обновленный зловред проникает на Windows-машины поэтапно, используя предустановленные в системе скрипты и бинарники (LOLBAS) для запуска полезной нагрузки, закрепления и ухода от обнаружения.

Определить первичный вектор заражения аналитикам не удалось. Вредоносную цепочку запускает svchost.exe, порождающий cmd-процесс для выполнения пакетного скрипта, именуемого 1.cmd.

Этот сценарий проверяет наличие контрольного файла check.txt в папке %APPDATA%\Temp во избежание повторного заражения, изменяет настройки Microsoft Defender, чтобы исключить сканирование корня пути C:\, а затем загружает другой скрипт, S2.bat, из домена notif[.]su и скрытно запускает его на исполнение с помощью PowerShell.

Сценарий S2.bat прежде всего отключает Windows-сервисы, способные помешать дальнейшему развертыванию зловреда (службы обновлений, BITS, TrustedInstaller). Он также загружает с того же сайта XMRig (miner.exe), который при установке создает новый ключ реестра на быстрый запуск и дропает легитимный драйвер WinRing0 для повышения прав в системе.

Как оказалось, все задействованные в атаке скрипты не обфусцированы. Обнаруженные в кодах комментарии свидетельствуют о том, что их создал ИИ-кодер либо неумелый вирусописатель; несмотря на это, на момент обнаружения все файлы плохо детектились на VirusTotal.

По данным G DATA, к маю поток обновлений для зловреда-криптоджекера иссяк. Спустя пару недель используемый им сайт notif[.]su был заблокирован.

В Иркутской области школьника удалили с ЕГЭ за умные очки с камерой

В Иркутской области выпускник решил зайти на ЕГЭ с технологическим апгрейдом и быстро пожалел об этом. Школьника удалили с экзамена после того, как наблюдатели заметили камеру в его умных очках.

Об этом сообщает телеграм-канал Baza. По данным издания, одиннадцатиклассник пришел на экзамен в очках, которые внешне выглядели как обычная оптика.

Однако наблюдатели, контролировавшие проведение ЕГЭ, заметили встроенную камеру. После этого у школьника забрали бланки, работу аннулировали, а самого выпускника вывели из аудитории.

Официальной причиной удаления указали использование средств связи. Для ЕГЭ это жесткое нарушение: на экзамене запрещены телефоны, умные устройства, камеры, наушники и любые гаджеты, которые могут использоваться для передачи или получения информации.

Самое неприятное для выпускника — пересдать экзамен он сможет только в следующем году.

В региональной комиссии этот случай уже назвали одним из самых технологичных за всю историю проведения ЕГЭ в Иркутской области.

История показывает, что экзаменационные аудитории постепенно превращаются в поле боя не только со шпаргалками, но и с носимыми гаджетами. Если раньше наблюдатели искали телефоны в карманах и записки в рукавах, теперь приходится внимательно смотреть даже на очки.

RSS: Новости на портале Anti-Malware.ru