«Доктор Веб» предупреждает о новом трояне-майнере

7 августа 2015

«Доктор Веб» известил о том, что в Сети появился новый троян. Вредоносная программа получила название Trojan.BtcMine.737, ее предназначение – добывать криптовалюту.

Вредоносная программа представляет собой ряд установщиков, вложенных друг в друга. Для их создания была применена технология Nullsoft Scriptable Install System (NSIS).

Задача первого слоя – остановка процессов Trojan.BtcMine.737, если таковые ранее уже действовали в пораженной системе. После этого происходит извлечение из своего тела и помещение во временную папку исполняемого файла другого установщика. После его запуска происходит удаление исходного файла.

Возможности второго установщика несколько шире, чем первого. Он обладает функциональностью сетевого червя. В одной из папок на жестком диске пораженного компьютера происходит сохранение и запуск исполняемого файла CNminer.exe, который также является NSIS-установщиком. После этого ним создаются собственные копии, которые размещаются в папке автозагрузки, в «Документах» пользователя Windows, а также в новой директории, созданной на диске, после чего к ней из локальной сети открывается автоматический доступ. Вредоносные программы обозначаются в вышеназванных папках в виде архивного файла WinRAR и имеет имя Key.

Далее происходит копирование трояна в корневые папки всех дисков зараженного компьютера, и происходит это с определенной периодичностью. Вредоносная программа пытается подключиться ко всем компьютерам, находящимся в сетевом окружении при помощи подбора логинов и паролей.

Помимо этого происходят попытки взлома локальной учётной записи пользователя Windows. В случае успеха, трояном запускается открытая точка доступа Wi-Fi на зараженном компьютере, если, конечно, имеется соответствующее оборудование. Получив в локальной сети доступ к одному из компьютеров, вредоносная программа, при помощи инструментария Windows Management Instrumentation (WMI), или же планировщика заданий, постарается проделать в нем все те же операции, что были перечислены выше.

CNminer.exe устанавливает утилиту, которая добывает криптовалюту. После запуска на зараженном компьютере, она сохраняет там исполняемые файлы майнера и текстовый файл, содержащий необходимые для ее работы конфигурационные данные.

Поделиться: