С течением времени объем вычислительных ресурсов, которые необходимо затратить для добычи подобных Bitcoin популярных криптовалют, значительно возрос, а интерес к этой сфере со стороны злоумышленников пропорционально снизился. Вместе с тем в вирусную лабораторию компании «Доктор Веб» до сих пор периодически поступают образцы троянцев-майнеров, один из которых получил наименование Trojan.BtcMine.737.
По своей внутренней архитектуре Trojan.BtcMine.737 напоминает матрешку, состоящую из трех вложенных друг в друга установщиков, созданных злоумышленниками с использованием технологии Nullsoft Scriptable Install System (NSIS). Первый слой этого своеобразного «сэндвича» представляет собой довольно-таки простой дроппер: он пытается остановить процессы Trojan.BtcMine.737, если ранее они уже были запущены в системе, а затем извлекает из своего тела и помещает во временную папку исполняемый файл другого установщика, запускает его, а исходный файл удаляет.
Второй установщик обладает чуть более широкими возможностями, похожими на функционал сетевого червя. В первую очередь он сохраняет в одной из папок на диске атакованного компьютера и запускает исполняемый файл CNminer.exe, который также представляет собой NSIS-установщик, затем создает собственную копию в папке автозагрузки, в папке «Документы» пользователя Windows и во вновь созданной на диске директории, к которой автоматически открывает доступ из локальной сети. В целевых папках эти копии вредоносной программы отображаются в виде файла с именем Key, имеющего значок WinRAR-архива.
Затем троянец копирует себя в корневую папку всех дисков инфицированной машины (эту операцию он повторяет с определенной периодичностью), перечисляет доступные в сетевом окружении компьютеры и пытается подключиться к ним, перебирая логины и пароли с использованием имеющегося в его распоряжении специального списка. Помимо этого, вредоносная программа пытается подобрать пароль к локальной учетной записи пользователя Windows. Если это удается, Trojan.BtcMine.737 при наличии соответствующего оборудования запускает на инфицированном компьютере открытую точку доступа WiFi. Если вредоносной программе удалось получить доступ к одному из компьютеров в локальной сети, предпринимается попытка сохранить и запустить на нем копию троянца либо с использованием инструментария Windows Management Instrumentation (WMI), либо при помощи планировщика заданий.
Программа CNminer.exe, которую Trojan.BtcMine.737 сохраняет на диск на втором этапе своей установки, как раз и является установщиком утилиты для добычи (майнинга) криптовалюты. Запустившись на инфицированном компьютере, приложение CNminer.exe сохраняет в текущей папке исполняемые файлы майнера для 32-разрядной и 64-разрядной архитектур, а также текстовый файл с необходимыми для его работы конфигурационными данными. Ссылку на исполняемый файл троянец вносит в отвечающую за автоматический запуск приложений ветвь системного реестра Windows, и, кроме того, сохраняет ярлык на него в стандартной папке автозапуска. После старта установщика содержащийся в нем сценарий останавливает уже работающие процессы майнеров (если они были запущены ранее), затем обращается к своему управляющему серверу, который возвращает ему в виде HTML-файла дополнительные конфигурационные данные с параметрами пулов и номерами электронных кошельков, причем эти номера периодически меняются. Следует отметить, что в качестве майнера для добычи криптовалюты злоумышленники используют утилиту другого разработчика, детектируемую Антивирусом Dr.Web как программу из семейства Tool.BtcMine. Создатель этой утилиты распространяет ее на условии оплаты комиссии в размере 2,5% от всей добытой с ее помощью криптовалюты, поэтому вирусописатели автоматически направляют ему часть своей незаконной выручки в качестве комиссионных.
Поскольку Trojan.BtcMine.737 обладает способностью к самостоятельному распространению по локальной сети, он может представлять опасность для компьютеров, не защищенных антивирусными программами. Антивирус Dr.Web детектирует и успешно удаляет этого троянца, поэтому пользователи продукции «Доктор Веб» надежно защищены от действий данного майнера.
Последние новости
- Технологии | Сегодня, 15:15
Мы производим 10 млн дронов в год. И будет 20 — Зеленский - Технологии | Сегодня, 15:15
Трамп пригрозил ударить по иранским электростанциям и мостам - Бизнес | Сегодня, 14:45
Україна купуватиме китайські компоненти для дронів за кредитні кошти ЄС, - FT - Бизнес | Сегодня, 14:15
Иран угрожает заблокировать новые важные морские пути - Гаджеты | Сегодня, 13:45
Бездротові навушники Sony LinkBuds Clip тепер доступні в Україні - Технологии | Сегодня, 13:15
На Львівщині ліквідували мережу нелегальних онлайн-казино - Бизнес | Сегодня, 12:45
Топ-5 популярних напрямків, які цього літа краще оминути - Технологии | Сегодня, 12:15
Нові "Герань-3" та "Герань-4" стають складним завданням для української ППО - Интернет | Сегодня, 11:45
Telegram отримав масштабне оновлення
Последние материалы
- Обзоры | Позавчера, 9:40
EcoFlow Solar Connector Solar Extension Cable - подовжувач для сонячних панелей - Аналитика | Позавчера, 6:58
Дайджест ключових новин тижня №8 (2026) - EcoFlow NextGen зі знижкою 25% та анонс Logitech Mobi Fold - Аналитика | 6 июля, 22:53
Дайджест ключових новин тижня №7 (2026) - знижка на EcoFlow Lightweight та анонс Logitech Spotlight 2 - Аналитика | 29 июня, 9:56
Дайджест ключових новин тижня №6 (2026) - зарядна станція EcoFlow DELTA 3 1000 Air та новий Zenbook DUO - Фотогалереи | 26 июня, 7:16
Czech Photo оприлюднив десять найкращих фотографій травня 2026 року - Фотогалереи | 24 июня, 8:44
ASUS представляє в Україні новий Zenbook DUO - ноутбук з двома екранами - Обзоры | 16 июня, 11:05
be quiet! Dark Perk Sym – саме такою має бути ігрова мишка - Аналитика | 15 июня, 10:24
Дайджест ключових новин тижня №5 (2026) - EcoFlow презентує нову лінійку зарядних станцій DELTA 3 Air - Обзоры | 13 июня, 11:56
Verbatim Dual Portable Monitor (32403) – подвійний монітор з портативним підключенням
Популярные новости
- Гаджеты | 12 июля, 22:15
Logitech Mobi Fold — перша ультракомпактна миша для роботи в дорозі 5.00 - Бизнес | Сегодня, 14:45
Україна купуватиме китайські компоненти для дронів за кредитні кошти ЄС, - FT 0.00 - Бизнес | Сегодня, 14:15
Иран угрожает заблокировать новые важные морские пути 0.00 - Гаджеты | Сегодня, 13:45
Бездротові навушники Sony LinkBuds Clip тепер доступні в Україні 0.00 - Технологии | Сегодня, 13:15
На Львівщині ліквідували мережу нелегальних онлайн-казино 0.00 - Бизнес | Сегодня, 12:45
Топ-5 популярних напрямків, які цього літа краще оминути 0.00 - Технологии | Сегодня, 12:15
Нові "Герань-3" та "Герань-4" стають складним завданням для української ППО 0.00 - Интернет | Сегодня, 11:45
Telegram отримав масштабне оновлення 0.00 - Технологии | Сегодня, 11:15
Українські пілоти керують дронами дистанційно 0.00
