Про Майнер і їх видобутку

Не секрет, що потужності сучасних офісних комп'ютерів занадто великі для виконання більшості необхідних завдань. Та й сервери часто простоюють - їх параметри підбираються на випадок пікових навантажень, які перевищують звичайні в 3-5 і більше разів.

В результаті на таких ПК може непомітно виконуватися безліч завдань, про які користувач не знає, - і не дізнається, якщо закралася в систему програма не почне «нахабніти».

Останнього дня помітив, що при просте ПК GPU стало вантажитися на 98-99%. Погуглити по даному питанню і зрозумів, що мою відеокарту використовують для Майнінг. Багато форумів про те, як заробляти на цій справі, яке обладнання підійде тощо. А ось як позбутися «нахлібника», я не знайшов. Від навантаженої відеокарти зайвий шум, це викликає дискомфорт, та й взагалі дратує, що хтось без твого відома збагачується за рахунок твоїх ресурсів. Підкажіть, що можна зробити?

Майнінг (від англ. Mining - «здобич») - спосіб заробітку сучасних цифрових валют, найвідомішою з яких є біткойн. Для видобутку потрібні серйозні обчислювальні потужності - і, на думку зловмисників, їх можна «запозичити» у простих користувачів. Забавно, як підходить значення слова «Майнінг» до дій зловмисників: зароблені ними гроші - дійсно видобуток, яку вони отримують з заражених комп'ютерів.

Перша шкідлива програма, призначена для подібного заробітку, з'явилася досить давно - 7 липня 2011 року.

На сьогоднішній день відомо кілька шкідливих програм, що займаються Майнінг електронної валюти Bitcoin, зокрема, Trojan.Coinbit і деякі версії Trojan.Vkbase. Новий троянець, Trojan.BtcMine.1, використовує дві легітимні програми для Майнінг, за допомогою яких задіє обчислювальні ресурси комп'ютера жертви.

На ілюстрації можна побачити навантаження на процесор, яку створює програма-майнер, запущена троянцем Trojan.BtcMine.1.

https://news.drweb.ru/show/?c=5&i=1771&lng=ru

У вищенаведеної новини є два цікавих моменти:

• майнер поводиться не як важливий гість у вашій системі - він займає всі вільні ресурси процесора;
• троянець використовує цілком легальні програми Майнінг. Тобто навіть якщо в системі немає явних ознак діяльності шкідливих програм, але з'являються невідомі вам процеси, - це може бути ознакою зараження, а значить, система захисту повинна реагувати на появу програм, які можуть використовуватися зловмисниками.

Як поширюються Майнер?

Trojan.BtcMine.221, призначений для видобутку криптовалюта Litecoin, поширюється з декількох належать зловмисникам веб-сайтів під виглядом різних додатків - наприклад, надбудови до браузеру, нібито допомагає користувачеві в підборі товару при здійсненні покупок в інтернет-магазинах.

Творці програми стверджують, що цей плагін, який назвали Shopping Suggestion, автоматично розпізнає Популярні користувачем на різних торгових майданчиках товари і відшукує в мережі аналогічні пропозиції за більш вигідними цінами. Також цей троянець нерідко маскується під інші програми, такі як VLC-плеєр або програму для анонімного серфінгу в Інтернеті.

http://news.drweb.com/show/?c=5&i=4160&lng=ru

Однією з альтернатив антивірусу вважається використання цифрових підписів додатки. Розробники повинні підписувати свої програми для підтвердження їх легітимності. Ідея здорова, але ...

Слід зазначити, що цифрові підписи були отримані розробниками на законне програмне забезпечення з аналогічними назвами, однак ту ж підпис має і Trojan.BtcMine.221.

Таким чином, якби захист грунтувалася тільки на перевірці підписів, даний троянець з легкістю обійшов би її.

Ще один шлях до зараження - партнерські програми.

Моніторинг партнерської програми з монетизації файлового трафіку Installmonster.ru в черговий раз підтвердив її шкідливий характер. На початку грудня в роздачі цієї партнерської програми був помічений файл SmallWeatherSetup.exe, нібито представляє собою «погодний тулбар». Відомо і однойменне цілком невинне додаток, дійсно здатне демонструвати актуальну інформацію про погоду, однак варіант, пропонований партнерською програмою Installmonster.ru, містить зовсім небезпечна «додаток» Trojan.BtcMine.218.

http://news.drweb.com/show/?c=5&i=4169&lng=ru

Партнерська програма для власників сайтів - один із способів заробітку. Вони розміщують у себе якісь додатки і отримують плату за їх скачування. Найчастіше партнерські програми спочатку вказують на своє не зовсім легітимний призначення.

До речі, в даному випадку погодний інформатор дійсно встановлювався: інсталятор містив це невинне додаток. Але разом з ним - і троянця ...

Якщо ви завантажуєте і встановлюєте якесь додаток ні з сайту його розробника без встановленого антивіруса - ви сам собі «злісний Буратіно».

Використовувати легальні програми для заробітку криптовалюта зловмисникам не дуже зручно: таке ПО користувач може помітити, а для злочинців це небажано. Тому поряд з легальними утилітами Майнінг вони використовують спеціальні програми, які антивірус класифікує як потенційно небезпечні інструменти - Tool. У класифікації Dr.Web вони позначаються як Tool.BtcMine.

Майнінг можливий на будь-якій платформі.

У 2014 році в вірусні бази Dr.Web були додано кілька Linux-троянців, призначених для Майнінг (видобутку) криптовалюта - Linux.BtcMine і Linux.CpuMiner, а також троянці-Майнер, призначені для Android-пристроїв, - Android.CoinMine.1 .origin і Android.CoinMine.2.origin, що розповсюджувалися зловмисниками в модифікованих ними популярних додатках.

http://news.drweb.com/show/?c=5&i=9227&lng=ru

Найчастіше Майнінг служить для зловмисників лише побічним заробітком.

Основне ж призначення троянця Trojan.Mods.10 - підміна переглядаються користувачем сайтів належать зловмисникам веб-сторінками, однак крім цього зловмисники включили в неї модуль, призначений для видобутку електронної криптовалюта Bitcoin.

http://news.drweb.com/show/?c=5&i=4202&lng=ru

Trojan.Tofsee, основне призначення якого - розсилка спаму, може завантажувати з віддалених серверів 17 модулів, реалізованих у вигляді динамічних бібліотек, і зокрема плагін, що завантажує призначеного для видобутку криптовалюта Bitcoin троянця Trojan.BtcMine.148.

http://news.drweb.com/show/?c=5&i=5813&lng=ru

З плином часу потужностей окремого комп'ютера для Майнінг стало не вистачати, і зловмисники почали розробляти справжніх монстрів.

Троянець Trojan.BtcMine.737 копіює себе в кореневу папку всіх дисків інфікованої машини (цю операцію він повторює з певною періодичністю), перераховує доступні в мережевому оточенні комп'ютери і намагається підключитися до них, перебираючи логіни і паролі з використанням наявного в його розпорядженні спеціального списку. Крім цього, шкідлива програма намагається підібрати пароль до локального облікового запису користувача Windows. Якщо це вдається, Trojan.BtcMine.737 при наявності відповідного обладнання запускає на інфікованому комп'ютері відкриту точку доступу WiFi.

Якщо шкідливій програмі вдалося отримати доступ до потрібного комп'ютера в локальній мережі, робиться спроба зберегти і запустити на ньому копію троянця або з використанням інструментарію Windows Management Instrumentation (WMI), або за допомогою планувальника завдань.

Оскільки Trojan.BtcMine.737 має здатність до самостійного розповсюдження по локальній мережі, він може становити небезпеку для комп'ютерів, не захищених антивірусними програмами.

http://news.drweb.com/show/?c=5&i=9554&lng=ru
http://news.drweb.com/show/?c=5&i=9586&lng=ru

Цікаво, що троянець Trojan.BtcMine.737 - плід співпраці декількох зловмисників. Як Майнера злочинці використовують утиліту іншого розробника, яку Dr.Web детектирует як програму з сімейства Tool.BtcMine. Творець цієї утиліти поширює її на умови оплати комісії в розмірі 2,5% від всієї видобутої з її допомогою криптовалюта.

Цікаві цифри за рівнем зараження Майнер.

За усередненими підрахунками в створеній зловмисниками бот-мережі спостерігається активність 203 406 ботів на добу. У період з 10 до 12 грудня 2013 року до ботнету підключилося 49 140 знову інфікованих машин, при цьому кількість видалених з комп'ютерів користувачів троянців за той же період складає всього лише 6 028.

http://news.drweb.com/show/?c=5&i=4160&lng=ru

Більше 200 000 користувачів завантажили собі не зрозумій яку програму для оптимізації покупок в Інтернеті!

І на закінчення трохи статистики лечащей утиліти Dr.Web CureIt!

• Trojan.Zadved - підміна в вікні браузера результатів видачі пошукових систем, а також демонстрація підроблених спливаючих повідомлень соціальних мереж.
• Trojan.BtcMine.793
• Trojan.DownLoader - сімейство троянців, призначених для завантаження на атакується комп'ютер інших шкідливих додатків.
• Trojan.InstallCore.1903 - представник сімейства установників небажаних і шкідливих додатків.

http://news.drweb.ru/show/?i=10226

Ось хто може орудувати на ваших комп'ютерах, поки ви читаєте чергову новину про шифрувальником. # майнінг # корпоратівная_безопасность # термінологія # вредоносное_ПО # троянець