По внутренней архитектуре троян напоминает матрешку, состоящую из трех вложенных друг в друга установщиков.
Специалисты ИБ-компании «Доктор Веб» обнаружили новый образец трояна-майнера, который способен самостоятельно распространяться по сети. Вредонос получил название Trojan.BtcMine.737 (по классификации «Доктор Веб»).
По внутренней архитектуре троян напоминает матрешку, состоящую из трех вложенных друг в друга установщиков, созданных с использованием технологии Nullsoft Scriptable Install System (NSIS). Первый установщик является обыкновенным дроппером. Он пытается остановить процессы Trojan.BtcMine.737, если они уже ранее были запущены в системе, а затем извлекает из своего тела и помещает во временную папку исполняемый файл другого установщика, запускает его, а затем удаляет исходный файл.
Второй установщик обладает более широкими функциональными возможностями. Сначала он сохраняет в одной из папок на диске целевого ПК и запускает исполняемый файл CNminer.exe, а затем создает собственную копию в папке автозагрузки, в папке «Документы» пользователя Windows и во вновь созданной папке на диске директории, к которой автоматически открывает доступ из локальной сети. В папках копии вредоноса отображаются в виде файла с именем Key со значком WinRAR-архива.
Исполняемый файл CNminer.exe является установщиком утилиты для добычи криптовалюты. После запуска на зараженном компьютере приложение сохраняет в текущей папке исполняемые файлы для 32- и 64-битной архитектур, а также текстовый файл с конфигурационными данными. Ссылку на исполняемый файл вредонос вносит в ветку системного реестра Windows, которая отвечает за автоматический запуск приложений. После запуска содержащийся в установщике скрипт останавливает запущенные ранее процессы майнеров, а затем обращается к C&C-серверу, который отправляет ему дополнительные данные с параметрами пулов и номерами электронных кошельков.
5778 К? Пф! У нас градус знаний зашкаливает!