«Врач Интернет» предостерегает о возникновении вредной платформы Trojan.BtcMine.737, созданной для добычи криптовалют.

Science Picture Co./Corbis

Архитектура зловреда учитывает содержание нескольких приложенных приятель в приятеля установщиков, разработанных злодеями с применением технологии Nullsoft Scriptable Install Систем (NSIS). Первый пласт этого особого «сэндвича» представляет из себя довольно-таки простой дроппер: он старается остановить процессы Trojan.BtcMine.737, если раньше они запустили в системе, а потом извлекает из собственного тела и размещает во краткосрочную папку выполняемый документ иного установщика, пускает его, а начальный документ устраняет.

2-й наладчик владеет немного расширенными перспективами, похожими на работоспособность сетевого червяка. Прежде всего он сохраняет в одной из папок на диске атакованного ПК и пускает выполняемый документ CNminer.exe, который также представляет из себя NSIS-установщик, потом создаёт свою копию в папке автозагрузки, в директории «Бумаги» клиента Виндоус и во снова сделанной на диске директории, к которой автоматом открывает доступ из локальной сети. В целевых папках эти копии вредной платформы показываются в качестве документа под названием Key, имеющего знак WinRAR-архива.

«Врач Интернет»

Потом вирус воспроизводит себя в корневую папку всех дисков инфицированной автомашины (данную процедуру он повторяет с определённой периодичностью), перечисляет подходящие в сетевом круге ПК и старается присоединиться к ним, перебирая логины и пароли с применением имеющегося в его постановлении особого перечня.

Зловред также старается выбрать пароль к локальной учётной записи клиента Виндоус. Если это чунаётся, вирус в случае наличия аналогичного оснащения пускает на инфицированном ПК открытую точку доступа Wifi. Если вредной платформе удалось получить доступ к одному из ПК в локальной сети, предпринимается попытка оставить и включить на нём копию вируса или с применением инвентаря Виндоус Management Instrumentation (WMI), или с помощью планировщика заданий.

Инструментарий CNminer.exe считается установщиком программы для добычи (майнинга) криптовалюты. Запустившись на инфицированном ПК, дополнение CNminer.exe сохраняет в нынешней папке выполняемые документы майнера для 32-разрядной и 64-разрядной архитектур, и текстовый документ с нужными для его работы конфигурационными данными. Интересно, что в роли средств для добычи криптовалюты мошенники применяют программу иного создателя — Tool.BtcMine, которая разносится на требовании оплаты комиссии размером 2,5 % от всей приобретенной с её поддержкой криптовалюты.