Майнинговый троян прячется от игр и ДЗ

Похожие темы

Stass

Проверка на авторские статьи.
Главный редактор
Статус
Offline
С нами
Сообщения
169
Симпатии
6
Розыгрыши
0
#1
Создатель информационного портала Bleeping Computer Лоренс Абрамс (Lawrence Abrams) рассказал о новом криптомайнере, который использует нестандартную технику, чтобы избежать детектирования. Зловред приостанавливает работу, если в системе запущена одна из популярных видеоигр или утилита для диагностики процессов. Таким образом, вредоносная программа может долгое время не вызывать подозрений.

Как известно, майнинг криптовалюты создает серьезную нагрузку на вычислительные мощности компьютера. Она неизбежно сказывается на производительности зараженного устройства. В частности, в ресурсоемких видеоиграх это выражается в уменьшении кадровой частоты и характерном “притормаживании” картинки. Естественно, в таком случае пользователь открывает диспетчер задач или его аналог, чтобы узнать, на что уходят ресурсы центрального процессора. Поэтому разработчики нового майнера решили подстраховаться.

При установке зловред сохраняет исполняемый файл iostream.exe в директорию C:\Program Data и создает задачу WindowsRecoveryCleaner, которая запускается через командную строку. Задача выполняется каждый день в полночь и повторяется ежеминутно — так криптомайнер обеспечивает себе максимально быстрый возврат к работе после остановки.

Помимо этого, iostream.exe внедряется в легитимный исполняемый файл C:\Windows\system32\attrib.exe, отвечающий за просмотр, установку и отключение некоторых атрибутов документов и директорий. В обычном состоянии процесс закрывается сразу после исполнения, однако укомплектованный майнером файл продолжает работать, пока его принудительно не остановят.

Зловред постоянно мониторит активные процессы и сравнивает их со своим “черным списком”. Если на компьютере открыт диспетчер задач, Process Explorer, Process Monitor, Process Hacker, AnVir Task Manager, PlayerUnknown’s Battlegrounds (PUBG), Counterstrike: Global Offensive, Rainbox Six или Dota 2, он отключает attrib.exe и Iostream.exe. Абрамс предполагает, что список игр еще будет дополняться.

Впрочем, засечь зловред все-таки можно, как это и сделал создатель Bleeping Computer. Достаточно переименовать утилиту для отслеживания процессов. Майнер не распознает новое название и продолжит спокойно работать.

Программы для скрытой добычи криптовалюты используют все возможные средства, чтобы как можно дольше оставаться незамеченными. В апреле исследователи Palo Alto обнаружили активность зловреда Rarog, который помимо отслеживания работы диспетчера задач и его аналогов умел регулировать нагрузку на центральный процессор.
 

Похожие темы

Похожие темы