Авторизация

Ім'я користувача:

Пароль:

Новини

Топ-новини

Фінансові новини

Фінанси

Банки та банківські технології

Страхування

Новини економіки

Економіка

ПЕК (газ та електроенергія)

Нафта, бензин, автогаз

Агропромисловий комплекс

Право

Міжнародні новини

Україна

Політика

Бізнес

Бізнес

Новини IT

Транспорт

Аналітика

Фінанси

Економіка

ПЕК (газ та електроенергія)

Нафта, бензин, автогаз

Агропромисловий ринок

Політика

Міжнародна аналітика

Бізнес

Прес-релізи

Новини компаній

Корирування

Курс НБУ

Курс валют

Курс долара

Курс євро

Курс британського фунта

Курс швейцарського франка

Курс канадського долара

Міжбанк

Веб-майстру

Інформери

Інформер курсів НБУ

Інформер курс обміну валют

Інформер міжбанківські курси

Графіки

Графік курсів валют НБУ

Графік курс обміну валют

Графік міжбанківській курс

Експорт новин

Інформація про BIN.ua

Про сайт BIN.ua

Реклама на сайті

Контакти

Підписка на новини

Троян-добытчик биткоинов раскрыл имя своего создателя

11:08 19.12.2013 |

Бізнес, Новини IT

Компания «Доктор Веб» - российский производитель антивирусных средств защиты информации - сообщила о появлении вредоносной программы Trojan.BtcMine.218, предназначенной для майнинга (добычи) электронной криптовалюты Bitcoin и распространяющейся с помощью широко известной вредоносной партнерской программы installmonster.ru. Это уже второй троян для несанкционированного использования вычислительных ресурсов компьютеров, обнаруженный специалистами «Доктор Веб» в декабре 2013 г., сообщили CNews в компании.

Мониторинг партнерской программы по монетизации файлового трафика Installmonster.ru в очередной раз подтвердил её вредоносный характер. В начале декабря в раздаче этой партнерской программы был замечен файл SmallWeatherSetup.exe, якобы представляющий собой «погодный тулбар». Известно и одноименное вполне безобидное приложение, действительно способное демонстрировать актуальную информацию о погоде, однако вариант, предлагаемый партнерской программой Installmonster.ru, содержит совсем небезопасное «дополнение», указали в «Доктор Веб».

«В данном случае мы имеем дело с классическим трояном-дроппером, написанным на макроязыке AutoIt», - рассказали в компании. Код скрипта достаточно прост и понятен, при этом, по словам специалистов «Доктор Веб», он содержит две характерные строки:

FILEINSTALL("C:\Users\Antonio\Desktop\Glue\SmallWeatherSetup.exe", @TEMPDIR & "\Setup_1.exe")

FILEINSTALL("C:\Users\Antonio\Desktop\Glue\Install.exe", @TEMPDIR & "\Setup_2.exe")

Из этих строк становится очевидно, что пользователь, скрывающийся под псевдонимом Antonio, собрал на «Рабочем столе» своего компьютера дроппер, включающий два приложения: безобидный «погодный информатор» SmallWeatherSetup.exe и вредоносную программу в файле Install.exe. Приложение Install.exe представляет собой загрузчик основного троянского компонента, который, используя конфигурационный файл в формате XML, скачиваемый с сайта злоумышленников http://bitchat.org, устанавливает на инфицированный компьютер приложение для добычи (майнинга) криптовалюты. В конфигурационном файле содержится логин пользователя, в чью пользу троян расходует аппаратные ресурсы компьютера жертвы - tonycraft.

В качестве приложения для добычи криптовалюты используется программа, известная под именем cpuminer (Tool.BtcMine.130), однако на зараженной системе она работает под именем %APPDATA%\Intel\explorer.exe. Для обеспечения автоматического запуска троянская программа модифицирует соответствующую ветвь системного реестра Windows:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Intel(R) Common User Interface"="%APPDATA%\Intel\Intel.exe"

«По всей видимости, Antonio (Tony) не слишком искушен в вопросах программирования, поскольку разработку вредоносной программы он поручил другому человеку, который и написал основные модули трояна», - добавили в «Доктор Веб». Об этом, как отметили в компании, говорит символьная информация, оставленная в модулях трояна, например: "c:\Users\Кошевой Дмитрий\Documents\Visual Studio 2012\Projects\Miner\Instal\obj\Debug\Instal.pdb".

Примечательно, что с помощью элементарного поиска без труда находится страница в социальной сети «ВКонтакте», где пользователь с ником Tonycoin приглашает всех на свой «обновленный чат-сайт bitchat.org»:

Троян-добытчик биткоинов раскрыл имя своего создателя

 

Кроме того, без труда отыскиваются страницы, где тот же пользователь рекламирует своего трояна под видом приложения SmallWeatherSetup.exe:

Троян-добытчик биткоинов раскрыл имя своего создателя

 
Троян-добытчик биткоинов раскрыл имя своего создателя
 

В настоящее время вирусописатель «Кошевой Дмитрий» неустанно продолжает модифицировать свою поделку для обхода сигнатурного детекта, а Tony переключился с «Погодного Информера» на распространение приложения «Интернет Радио» в виде файла с именем ScreamerRadio.exe.

По информации «Доктор Веб», на днях в партнерской программе InstallMonster появился новый «рекламодатель», устанавливающий пользователям программу RadioOnline.exe, которая представляет собой всё тот же Trojan.BtcMine.218. Вредоносная программа Trojan.BtcMine.218 распознается и успешно удаляется ПО Dr.Web.

За матеріалами: CNEWS.ru
Ключові теги: bitcoin
 

ТЕГИ

Курс НБУ на сьогодні
 
за
курс
uah
%
USD
1
39,8250
 0,0198
0,05
EUR
1
43,1106
 0,1537
0,36

Курс обміну валют на вчора, 10:57
  куп. uah % прод. uah %
USD 39,6092  0,09 0,24 40,1396  0,10 0,25
EUR 42,8960  0,07 0,16 43,6708  0,10 0,24

Міжбанківський ринок на вчора, 11:33
  куп. uah % прод. uah %
USD 39,8750  0,09 0,21 39,9000  0,07 0,18
EUR -  - - -  - -

ТОП-НОВИНИ

ПІДПИСКА НА НОВИНИ

 

Бізнес