Троян-майнер самостоятельно распространяется по локальной сети

Объем вычислительных ресурсов, необходимый для получения криптовалют, с течением времени только увеличивается. При этом интерес со стороны хакеров к данной сфере пропорционально снизился. Однако в компанию «Доктор Веб» периодически попадают представители троянов-майнеров. Среди последних образцов присутствует Trojan.BtcMine.737.

Внутренняя архитектура вируса напоминает матрешку – три независимых установщика вложены друг в друга. Первый слой представлен простым дроппером, который извлекает исполняемый файл другого дроппера (хранится в теле установщика), помещает его во временный каталог и запускает его.

Второй инсталлятор имеет немного больше возможностей, его функционал схож с возможностями сетевого червя. После активации он сохраняет на диск и запускает файл CNminer.exe, также представляющий собой установщик. После этого он создает несколько собственных копий – каталог автозагрузки, папка с документами пользователя и в новой директории, созданной на диске. Ко всем папкам автоматически открывается доступ по локальной сети. Во всех папках вредоносные приложения имеют вид файла с иконкой WinRAR-архива и названием Key.

Далее вирус копирует себя в корневые каталоги всех дисков зараженной машины, фиксирует все ПК в сетевом окружении и осуществляет попытки зайти на них, перебирая пароли при помощи внутреннего списка. Кроме того, вредоносная утилита делает попытки подобрать пароль для доступа к локальному аккаунту системы. Если данная операция проходит успешно, Trojan.BtcMine.737 запускает на компьютере полноценную Wi-Fi точку доступа (при наличии соответствующих плат). Если вирусу удается подключиться к компьютеру в локальной сети, осуществляется попытка загрузить и запустить на нем копию троянской программы. Для этого используется либо штатный планировщик заданий, либо компонент Windows Management Instrumentation.

Утилита CNminer.exe как раз и отвечает за инсталляцию программы для получения криптовалюты (майнинга). После запуска CNminer.exe сохраняет в каталоге исполняемые файлы майнера, а также текстовый файл с конфигурационными данными. Для обеспечения автозагрузке утилита создает ярлык в папке автозапуска и редактирует реестр Windows.

Если каким-то образом на ваш компьютер попала данная программа, лучшим решением будет установка Windows в Минске с нуля, так как несмотря на то, что тот же Dr.Web данный троян обнаруживает, не факт, что остальные антивирусы успешно могут справиться с этой угрозой.