Фахівці з «Лабораторії Касперського» виявили новий незвичайний вірус, який поширюється в файлі «bitcoin-miner.exe». Цей вірус використовує обчислювальні потужності заражених ПК, щоб «добувати» віртуальну валюту для зловмисників.
У міру того, як курс віртуальної валюти Bitcoin весь час зростає (за неї вже можна купити справжній будинок), зловмисники все частіше намагаються отримати цю валюту обхідними шляхами. Наприклад, виявлений в кінці минулого року ботнет Skynet містив модуль для добування нових біткойнов на потужностях заражених машин. Справа в тому, що кількість що знаходяться в обігу біткойнов строго лімітований, а нові біткойни з'являються тільки в результаті серйозних обчислень. Час для прибуткового «добування» біткойнов таким способом під кінець: уже скоро кількість їх стане настільки великим, що розрахунок кожної наступної біткойнов буде непомірно дорогим.
Зараз один біткойн (BTC) вже торгується на віртуальних біржах за ціною 130 доларів США за одиницю - це в чотири рази більше, ніж за все півтора місяці тому. Згідно з принципами валюти BTC, нові одиниці, або «монети», створюються шляхом вирішення складних криптографічних рівнянь. За кожен новий коректний блок даних автори отримують 25 біткойнов (ще недавно сума винагороди складала 50 BTC). Легітимні учасники «видобутку» зазвичай отримують свою частку від нагороди, використовуючи потужні системи з графічними прискорювачами для підвищення продуктивності.
Як з'ясувалося, автори нового вірусу використовують набагато більш агресивний підхід. Новий вірус поширюється через службу голосової і відеозв'язку Skype у вигляді посилань на шкідливі файли. Хоча виконуваний файл під назвою «bitcoin-miner.exe» задіє тільки ресурси центрального процесора, що сильно уповільнює «здобич» біткойнов, зловмисники використовують досить багато «поневолених» комп'ютерів, так що в результаті отримують цілком потужний ресурс. На відміну від легітимних «видобувачів» віртуальної валюти, злочинцям не потрібно оплачувати захоплене обладнання, платити по рахунках за електрику і так далі.
Віруси для нелегальної «видобутку» Bitcoin існують вже близько двох років. Деякі версії цих вірусів вже навчилися використовувати графічні прискорювачі на заражених ПК, а частина вірусів може заражати навіть машини під управлінням Mac OS X.
За більшістю ознак новий вірус схожий на середньої якості наслідування іншим вірусам цього класу, але є одна причина думати, що для творців цей вірус був не просто розвагою. Справа в тому, що скорочений за допомогою сервісу bit.ly URL-адресу, на якому розміщені шкідливі файли, отримував більше 2000 переходів на годину, по крайней мере, в момент публікації опису в блозі «Лабораторії Касперського». Для розподілених обчислень це дуже непоганий рівень.
За класифікацією «Касперського» вірус отримав назву «Trojan.Win32.Jorik.IRCbot.xkt». Імовірно, його поширення почалося з Європи - максимальні рівні активності зафіксовано в Італії, Росії, Польщі, Коста-Ріці, Іспанії, Німеччини та України. Початковий фрагмент вірусу, за оцінкою фахівців, створений в Індії, а потім став використовувати сервери в Німеччині (IP-адреса одного з серверів 213.165.68.138:9000). Коли користувач переходить по небезпечній посиланням, вірус запускає додаткові компоненти і дані з сервісу Hotfile, а потім очікує подальших інструкцій. Щоб уникнути зараження, краще за все не переходити за жодними підозрілими посиланнями в Skype.
