|
 |
Новости
|
|
19 декабря 2013 г
Trojan.BtcMine.218 раскрывает имя своего создателя
Компания «Доктор Веб» сообщает о появлении вредоносной программы Trojan.BtcMine.218, предназначенной для майнинга (добычи) электронной криптовалюты Bitcoin, и распространяющейся с помощью широко известной вредоносной партнерской программы installmonster.ru. Это уже второй троянец для несанкционированного использования вычислительных ресурсов компьютеров.
Мониторинг партнерской программы по монетизации файлового трафика Installmonster.ru в очередной раз подтвердил ее вредоносный характер. В начале декабря в раздаче этой партнерской программы был замечен файл SmallWeatherSetup.exe, якобы представляющий собой «погодный тулбар». Известно и одноименное вполне безобидное приложение, действительно способное демонстрировать актуальную информацию о погоде, однако вариант, предлагаемый партнерской программой Installmonster.ru, содержит совсем небезопасное «дополнение».
В данном случае мы имеем дело с классическим троянцем-дроппером, написанным на макроязыке AutoIt. Код скрипта достаточно прост и понятен, при этом он содержит две характерные строки:
FILEINSTALL("C:\Users\Antonio\Desktop\Glue\SmallWeatherSetup.exe", @TEMPDIR & "\Setup_1.exe")
FILEINSTALL("C:\Users\Antonio\Desktop\Glue\Install.exe", @TEMPDIR & "\Setup_2.exe")
Из этих строк становится очевидно, что пользователь, скрывающийся под псевдонимом Antonio, собрал на Рабочем столе своего компьютера дроппер, включающий два приложения: безобидный «погодный информатор» SmallWeatherSetup.exe и вредоносную программу в файле Install.exe. Приложение Install.exe представляет собой загрузчик основного троянского компонента, который, используя конфигурационный файл в формате XML, скачиваемый с сайта злоумышленников http://bitchat.org, устанавливает на инфицированный компьютер приложение для добычи (майнинга) криптовалюты. В конфигурационном файле содержится логин пользователя, в чью пользу троянец расходует аппаратные ресурсы компьютера жертвы, — tonycraft.
В качестве приложения для добычи криптовалюты используется программа, известная под именем cpuminer (Tool.BtcMine.130), однако на зараженной системе она работает под именем %APPDATA%\Intel\explorer.exe. Для обеспечения автоматического запуска троянская программа модифицирует соответствующую ветвь системного реестра Windows:
"Intel(R) Common User Interface"="%APPDATA%\Intel\Intel.exe"
По всей видимости, Antonio (Tony) не слишком искушен в вопросах программирования, поскольку разработку вредоносной программы он поручил другому человеку, который и написал основные модули троянца. Об этом говорит символьная информация, оставленная в модулях троянца, например: "c:\Users\Кошевой Дмитрий\Documents\Visual Studio 2012\Projects\Miner\Instal\obj\Debug\Instal.pdb".
С помощью элементарного поиска без труда находится страница в социальной сети «ВКонтакте», где пользователь с ником Tonycoin приглашает всех на свой «обновленный чат-сайт bitchat.org»:
Кроме того, без труда отыскиваются страницы, где тот же пользователь рекламирует своего троянца под видом приложения SmallWeatherSetup.exe:
В настоящее время вирусописатель "Кошевой Дмитрий" неустанно продолжает модифицировать свою поделку для обхода сигнатурного детекта, а Tony переключился с "Погодного Информера" на распространение приложения "Интернет Радио" в виде файла с именем ScreamerRadio.exe.
К слову, на днях в партнерской программе InstallMonster появился новый "рекламодатель", устанавливающий пользователям программу RadioOnline.exe, которая, как нетрудно догадаться, представляет собой все тот же Trojan.BtcMine.218. Вредоносная программа Trojan.BtcMine.218 распознается и успешно удаляется ПО Dr.Web и потому не представляет опасности для пользователей нашего антивируса.
 версия для печати
|
SMS
|
|
Сообщите коллегам о последних новостях, пресс-релизах и сведениях из Каталога компаний через наш SMS-гейт.
|
Смотрите также
|
|
20 декабря 2013 г
• LG представляет компьютер-моноблок на базе Chrome
• Новый PocketBook Basic 2 – простота и комфорт
• Samsung анонсирует смартфон Galaxy Core Advance
• Компанія «Шторм» приєдналась до складу ІнАУ
• Не праздником единым: «лучшие предложения» спамеров в ноябре
• В World of Tanks стало на одну нацию больше
19 декабря 2013 г
• Cтартовали продажи кулеров GeIL Cyclone II для оперативной памяти
• «Відкритий світ» оголосив школи-переможниці конкурсу ІІ етапу Національного проекту
• Cisco приобрела компанию Collaborate.com
• Thecus представляет NAS с поддержкой RAID 50 и 60
• Defender Avante X50 BT: универсальный концертный зал
• MTI – эксклюзивный дистрибьютор мобильных аксессуаров Metal-Slim и Simply Design
• В World of Warplanes появилась вторая ветка немецких истребителей
• OKI представляет монопринтеры с возможностями защиты данных
18 декабря 2013 г
• Что такое лепнина и материалы для ее изготовления
• Учимся правильно выбирать светодиодные лампы
• Вывоз мусора со строительной площадки
• Лицензии на услуги связи
17 декабря 2013 г
• Coast by Opera – теперь еще быстрее и элегантнее
• Шаблон интернет-магазина
|
