Троян, использующий вычислительные мощности ПК для генерации Bitcoin

    Случилось мне вчера привезти из командировки один троянчик, Trojan.Win32.Powp.rdf (по классификации ЛК). Там я его победил, но флэшки он мне успел позаражать. Чтоб добро зря не проподало, решил поковырять его на досуге.
    С наименованием зловредов у ЛК, как всегда, оказалось не все хорошо, он относится скорее к классу Trojan-Downloader, т.к. основная задача — скачка файлов с fileave.com. Поставил на виртуалку поиграться, среди кучи заурядного вредоносного хлама, закачиваемого им на машину, я обратил внимание на один sfx-архив и как оказалось не зря…

    По ссылке http_://pasic.fileave.com/BTxDEF.exe скачался самораспаковывающийся архив.



    Смотрим, что же внутри…



    А внутри у нас программка Hidden Start 3.2 (hstart.exe), которая запускается скриптом архива, с параметром /NOCONSOLE test.bat, что позволяет скрытно выполнить test.bat.



    Смотрим, что у нас в батнике…



    Пока ничего не понятно, хотя btc.mobinil.biz уже наводит на некоторые мысли. Остался последний файл — taskmgr.exe, который, видимо, усиленно косит под Диспетчер задач Windows.



    Опаньки! Файл оказывается BitCoin Miner'ом, предназначенным для генерации биткоинов. Батник запускает его с параметрами:
    bitcoin-miner [-a seconds] [-g|l yes|no] [-t threads] [-v] [-o url] [-x proxy] -u user -p password,
    где
    -a #seconds# time between getwork requests 1..60, default 15
    -g yes|no set 'no' to disable GPU, default 'yes'
    -h this help -l yes|no set 'no' to disable Long-Polling, default 'yes'
    -t #threads# Number of threads for CPU mining, by default is number of CPUs (Cores), 0 - disable CPU mining
    -v Verbose output
    -o url in form server.tld:port/path, by default 127.0.0.1:8332
    -x type=host:port Use HTTP or SOCKS proxy.
    Thread number should be 0..32


    Итак, таймаут — 5 секунд, url — btc.mobinil.biz:8332/, user — redem_guild, pass — redem, 2 потока.
    При наличии интернета BitCoin Miner начинает усиленно трудиться на благо неизвестного…



    Вот так вот, теперь уже и вычислительные мощности компьютеров стали приносить доход киберпреступникам. Пользователь платит не только за трафик ботнета, к примеру, но и за электроэнергию, а денежки капают дяде на другом конце света :)

    P.S.


    Самое интересное, что обе программы из архива легитимные, а трояном можно считать разве что батник, запускающий все это хозяйство… KIS 2011 детектит архив целиком, с помощью KSN, без имени.

    Upd


    Теперь он маскируется под svchost.exe. Некоторые антивирусы стали детектить батник внутри архива как вредоносный.
    Поделиться публикацией
    Похожие публикации
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама
    Комментарии 95
    • НЛО прилетело и опубликовало эту надпись здесь
      • +51
        Реальная польза — высчитывать белковые зависимости для создания новых лекарств и понимания реакций в живой клетке. Что биткойн (не имеет реального смысла, стоимость торгуется биржей), что ботнет (не имеет положительного влияния, сдаётся злоумышленниками в аренду) — одно и то же практически.
        • +28
          Белки рассчитываем всем миром, а патенты и сверхприбыли потом какому-нибудь Файзеру?
          • +4
            Просто надо белки тоже на биржу выставить. Получится забавно. Хотя, во многом, не в белках дело, конечно. Не все белки одинаково полезны и питательны.
            • +9
              Кто-нибудь рано или поздно всё равно рассчитает и получит патенты и сверхприбыли.
              Но чем раньше будет зарегистрирован патент, тем раньше он истечёт, и у всех появится возможность получить лекарства по разумным ценам.
              • +1
                Если я не ошибаюсь, так результаты «фолдинга» являются «народным достоянием» и не подлежат патентированию и могут быть использованы кем угодно. На сайте folding.stanford.edu/ где-то было об этом.

                Да и все результаты там лежат в открытом виде.
              • +5
                Вот бы все компы считающие биткоины на 1 день переметнулись на белки. Думаю сдвиг был бы приличный.
                • +12
                  Биткоин генерит 6 блоков в час или 24х6=144 блоков (по 50 бтц) в сутки. Т.е. суммарно на поддержание такой сети в сутки нужно 144*50*16 (текущий курс) 115200$, т.е. всего 3 миллиона $ в месяц. аренда всех мощностей биткоина (околоо 150 пфлоп). Для американских фарма компаний это сущие копейки. Так что пусть платят и будут им сдвиги и белки.
                  Лекарства производимые на основе расчетов они все равно будут продавать с бешеной наценкой и платить за расчеты сообществу это вполне нормально я считаю.
                  • 0
                    > Для американских фарма компаний это сущие копейки. Так что пусть платят и будут им сдвиги и белки.
                    Так вот почему игры с одинаковым уровнем графики по-разному тормозят
                • +2
                  Перед grid'ами стоит куда более широкий круг задач. Хотя расчет волновых функций молекул — действительно мощная задача.
                  • +4
                    а как же братья наши по вселенной? Может вот она, реальная польза?
                    • +4
                      Я бы побоялся искать братьев по вселенной, вдруг они будут не совсем мирными. Индейцы тоже хорошо встречали колонизаторов
              • +12
                Они украли мою идею!
                • +4
                  • +3
                    и не только вашу :(
                    • +10
                      Идея носилась в воздухе уже года полтора, с самого основания сети, никто ничего не крал. Скорее удивительно, что до этого момента никто ничего подобного не написал.
                      Вы лучше взгляните на пост: «Смотрите, какой вирус я подцепил в командировке.» Распространение компьютерных вирусов всё больше напоминает человеческие.
                      Что интересно, антивирусы работаю по поводу этого вируса верно — сама программа-майнер вредоносной по сути не является.
                      • 0
                        С чего вы взяли, что никто подобного не писал? Может просто никто подобного не ловил/замечал?
                      • +1
                        Первая мысль которая пришла мне в голову когда запустил свой майнер, это то, что очень скоро появятся трояны и целые ботсети для майнинга, и вот тебе на.
                      • +2
                        Интересно, логин и пароль идут в открытом виде, т.е. поймал трояна, сходил на сайт пула и вывел себе компенсацию?)
                        • +7
                          ан нет, это же данные воркера.
                          • 0
                            Можно задосить (одна Д) пул неверными сведениями от логина воркера, тогда пул будет его банить. Для того и придумали пароли.
                          • 0
                            Если известен логин и пароль воркера, можно его остановить?
                            • +2
                              Нет, нужен логин и пароль от аккаунта на пуле. На один аккаунт можно сделать несколько воркеров и каждому из них назначить свой пароль.

                              Кстати это не первый вирус, майнящий биткойны. В первом использовался как раз был логин-пароль от аккаунта на дипбите, ему потом народ с оверклокеров удалил всех воркеров и сменил пароль.
                              • 0
                                Пароль юзера и пароль воркера это не обязательно одно и тоже. Но по логину можно вычислить засранца и написать в саппорт пула. Но скорее всего таким образом получится только заблокировать именно аккаунт злоумшленника, но это не помешает ему перерегистрироваться.
                                • 0
                                  тут походу поднят собственный пул
                                  • 0
                                    Не там 2500Ghesh/sec. Это блин между slush и deepbit по мощности, не вариант в одного такую скорость развить.
                                    • 0
                                      С btc.mobinil.biz идет перенаправление на btcguild. Скорее всего для отвода глаз от собственного пула, тк в инете нет информации, что btc.mobinil.biz принадлежит btcguild
                                      • 0
                                        Мда… Действительно, я подумал что это один из доменов btcguild. Зарегался проверить их домены:
                                        uscentral.btcguild.com
                                        nl2.btcguild.com Netherlands
                                        nl.btcguild.com Netherlands
                                        useast.btcguild.com Florida
                                        de.btcguild.com Germany
                                        uswest.btcguild.com
                                        Мда, чувак шифруется.
                                • +1
                                  Скорее всего нет, т.к., я думаю, пароль от воркера отличается от пароля на сайт.
                                • 0
                                  Только вчера столкнулся с этим вирусом, в батнике указаны именно эта пара логин, пароль. После удаления всех его кусков я столкнулся с тем, что после перезагрузки, из интернета выкачивается архив, который распаковывается, кладет свои файлы в Local Settings/Temp (сам архив остается в Aplication Data/), и запускается. Все перерыл, не могу найти где сидит эта зараза что выкачивает вирь из интернета, и где она прописывается. Если кто сможет чем то помочь буду благодарен.
                                  Что уже сделал: проверил множеством антивирусов в поисках некоего downloadera, проверил ключи реестра отвечающие за автозапуск (Winlog/Shell ,userinit), msconfig, планировщик.
                                  • +1
                                    Предлагаю устроить товарищу темную. Если есть логин можно попробовать поискать его в сети. Ну а там уже думаю найдутся добрые люди на Хабре, которые способны найти управу на аккаунты товарища.
                                    • 0
                                      Autoruns от Sysinternals.
                                      • 0
                                        Process Explorer?
                                        • 0
                                          Это, как я и писал, Trojan.Win32.Powp.rdf скорее всего. Действует он действительно хитро, насколько я понял, юзает драйвер и внедряет его в системный процесс. Я лечил с помощью свежего CureIT, из-под загрузочной флэшки. Попробуйте.
                                          • 0
                                            Большое всем спасибо, обязательно попробую эти варианты.
                                          • –4
                                            Хранить логин и пароль в открытом виде — гениальная идея «разработчика» этого «творения».
                                            • +4
                                              Он просто не заморачивался — взял обычный майнер и использует его
                                              • +2
                                                если это его собственный пул, то знание логина и пароля от воркера нечего не даст
                                                • 0
                                                  Я вообще не понимаю зачем придумали пароль для воркеров. На некоторых пулах он не имеет значения и может быть любым.
                                                  • +2
                                                    А вот интересно, если воркер будет флудить в пул всякое дерьмо? :-)
                                                    Какова реакция пула?
                                                    Адрес пула и учётку воркера мы знаем так что можно…
                                                    Собственно наверное от этого, и придуманы отдельные учётки воркеров.
                                                    • –7
                                                      Вы уж меня простите конечно, но это жадные дети в треде чтоли?
                                                      Как я себе представляю эту систему: Есть троян-даунлоадер, его кто-то написал (по сути не важно кто именно), но у него есть хозяин (т.е. не исключено, что это разные люди), который его распространяет и продает кому-то возможность скачивания чего-то еще на зараженный компьютер, и попутно собирая деньги за количество инсталляций других програм (правда делая это с некоторой периодичностью несколько раз с каждой машиной, пока она все еще в бот-сети). Дальше самое интересное — кто и зачем купит такую возможность — вопрос открытый. Этим способом на комп загружаются различные винлокеры/похитители паролей от контактиков/прокси-сервера и вообще все, что душе угодно, теперь и биткоин-майнеры.
                                                      А соль в том, что на каждом этапе этой схемы существуют разные люди и платятся деньги от уровня к уровню за «услуги». Такой вот бизнес нехороший.
                                                      А теперь вопрос, хоть и не совсем корректный, что лучше — чтобы «злоумышленник» покупал зомби-машины для майнинга биткоинов за счет вычислительных мощностей пользователей или для установки всяческой хрени типа платных винлокеров/троянов для кражи аккаунтов/проксей, которые затем позволяют спамить все и вся (начиная с почты и заканчивая соцсетями)? Для меня ответ на этот вопрос достаточно очевиден.
                                                      • 0
                                                        Что лучше — чтобы пользователь платил злоумышленнику или за электроэнергию? Я думаю, дя пользователя ответ очевиден…
                                                        • +1
                                                          Если сравнить цену на смску в винлокере и цену за киловатт, то она будет отличаться на порядок обычно даже не два порядка. При этом посмотрим на мощность среднестатистического компа из такой бот-сети — скорее всего это будет ноутбук или какой-нибудь не самый новый десктоп, возможно даже на WinXP, без обновлений, антивирусов/фаерволов.
                                                          Т.е. это будет комп, за которым особо не следят. Но это скорее всего не будет машиной, специально собранной хорошо подходящей для майнинга!

                                                          Жрет электроэнергии такая железка не так уж и много, давайте прикинем:
                                                          0.350Ввт*3р*8ч — это меньше 10 рублей за 8 часов работы в день!
                                                          А при 24*7 включеном компьютере будет 25 рублей в сутки максимум (при полной загрузке БП, чего вообще говоря никогда не должно быть) И в генерации от нее одной толку тоже мало, поэтому они берут количеством таких машин, а не качеством.

                                                          Если звучит не убидительно, дам другой пример — ПО для кражи аккаунтов и спама. В данном случае во-первых это создаст проблемы как самому пользователю («аааа у меня в контактик/почту/etc не заходит!»), во-вторых этот спам потом вам же и придет, т.е. всем остальным. А спам ходит зачем? Для привлечения трафика («прямой» заработок) и для распространения заразы, позволяющей этот спам рассылать дальше (т.е. банальная кража аккаунтов).

                                                          Именно поэтому я и написал, что пусть лучше пытаются майнить, чем занимаюся какой-нибудь деструктивной деятельностью. Из двух зол выбирают меньшее, разве нет? (Проблема правда в том, что иногда выбирать не приходится и на зомби-машину ставится и то и другое.)
                                                          P.S. Надеюсь, что меня минусуют за ссылку на жадных детей, а не за суть поста. Несогласные, выразите пожалуйста свою позицию более конкретно, мне интересно узнать ваше мнение, а не ваше количество.
                                                          • –1
                                                            Только вот он майнить будет бесконечно.
                                                            И да, вы не поняли о чем был мой комментарий выше. Он был о том, что пользователь выберет не платить нахлебникам.
                                                • 0
                                                  Первое, что бросается в глаза читателю на первой большой картинке:
                                                  WinRAR (незарегистрированная копия)
                                                  • +5
                                                    +1 особенно когда есть замечательный 7-zip
                                                    • 0
                                                      я, например, тупо привык к WinRAR за лет 10 использования, на все машины ставлю именно его.
                                                      • 0
                                                        надеюсь вы его купили и поддержали автора
                                                      • 0
                                                        В RAR мне нравится автоматическая распаковка при запуске одного из файлов.
                                                      • +15
                                                        Ну а чего? Человек честен, не крякает ВинРАР. Конечно, можно воспользоваться 7зипом, но почему вообше это должно обращать на себя внимания? Горазло странней было бы если он таки оказался зареганным.
                                                        • +2
                                                          Когда делал скрины, так и думал, что кто-то обратит внимание :)
                                                          • +1
                                                            о, да — заплатить за продукт, которым пользуешься — что может быть страннее?
                                                            • 0
                                                              При наличии бесплатных альтернатив (тот же 7z), которые не хуже, а то и местами лучше? Честно говоря, действительно что может быть страннее :)
                                                        • +16
                                                          > Случилось мне вчера привезти из командировки один троянчик

                                                          Жене уже говорили? :)
                                                          • +2
                                                            Так и представил:
                                                            " Дорогая я в коммандировке подцепил один вирус...."
                                                            • +5
                                                              Лучше так: «Дорогая, я в командировке подцепил заразу...»
                                                              90% жен своей реакцией не дадут договорить фразу :)
                                                              • +5
                                                                Долго статистику собирали? :)
                                                                • 0
                                                                  По статистике 85% статических данных ошибочны :)
                                                                  • +7
                                                                    87.2%, не позорьте науку статистику.
                                                            • +1
                                                              Скинул подруге ссылку на топик :)
                                                            • +1
                                                              наконец то до кого-то дошла идея юзать чужое железо для ковки bitcon
                                                              • 0
                                                                Только недавно приходила в голову подобная идея… отмахнул ее в пользу того, что либо уже это кто-то эксплуатирует, либо это не так выгодно, раз никто о таком не трубил.

                                                                Оказалось, рано отмахнул…
                                                                • 0
                                                                  Я думаю, это только начало будущей волны подобных троянов.
                                                                  • +3
                                                                    Интересно, сколько всего таких юзеров, которые способны не заметить, что их компьютер втихую, стыдливо прячась, делает ЭТО!.. )))
                                                                    • –4
                                                                      Как бы там ни было сервис Bitcoin тоже не лыком шит и насколько я понял он блокирует аккаунты, которые зарабатывают таким образом (с помощью ботнета).
                                                                      • +1
                                                                        Как он может это узнать? В одном случае программу запустили, нажав на кнопку. В другом — батником. И?
                                                                        • +2
                                                                          При чем тут вообще Bitcoin?
                                                                          Речь идет про консольный майнер и про BTCGuild
                                                                          • 0
                                                                            Я смотрю пошли чрезвычайно «умные» комменты, ниже в т.ч.
                                                                            image
                                                                          • +1
                                                                            Пулы блокируют.
                                                                            «Сервиса» Bitcoin не существует, это же распределенная система )
                                                                            • 0
                                                                              А сервис под названием Torrent банит раскручивальщиков рейтинга. И блокирует аккаунты.
                                                                              А сервис под названием HTTP банит за просмотр порносайтов.
                                                                              А администраторы сервиса email вообще аферисты, мне присылают спам. Не продумали систему, да, пророчу скорую смерть пузыря под названием «email».
                                                                              • 0
                                                                                Пожалуйста, изолируйте от нас ваш идиотический сарказм ;)
                                                                            • 0
                                                                              1000 компов — 73 бакса в день… вполне нормально
                                                                              • +1
                                                                                Как вы так считаете?
                                                                              • 0
                                                                                Ждите. Вот когда появятся вирусы, считающие на видеокартах пользователей, вот тогда можно быдет смело умножать число на 200.
                                                                                • 0
                                                                                  Вы когда нибудь слышали лоад на видеокарте? Похоже на пылесос…
                                                                                  • 0
                                                                                    Слушаю прямо сейчас. И это обходится (вентилятор на 30-40, нагрузку на 500 Мгц). Самое главное — процессор не занят, система не тормозит и спалить вирус сложнее.
                                                                              • 0
                                                                                Как только услышал о биткоине, сразу начались мысли — что же это они там считают?.. Вторая мысль, следующсая из первой — сразу про ботнет.
                                                                                • 0
                                                                                  Поэтому лично я открыл вики и всё таки узнал, что же они там считают. Исходники открыты, кстати.
                                                                                • 0
                                                                                  Было бы логичнее нагружать вирусом процессор на 10%, а так слишком заметно.
                                                                                  • 0
                                                                                    Кому заметно? Не переоценивайте человеков.
                                                                                    • 0
                                                                                      Было бы логичнее задавать самый низкий приоритет, а там пусть себе ест сколько вздумается. Без заглядывания в диспетчер задач разницы не заметишь. А с 10% нужно заразить в 10 раз больше машин для достижения того же результата.
                                                                                      • 0
                                                                                        Вчера видел такую же заразу на ноуте брата. Только майнер маскировался под svchost.exe, а не под диспетчер задач. Сидит он, смотрит футураму, картинка заметно тормозит и дергается, ибо этот самый svchost.exe грузит систему, а брату пофиг. Так что, может, и замечают, но мирятся с этим.
                                                                                        • 0
                                                                                          Да, теперь он маскируется под svchost.exe, а антивирусы детектят только батник, запускающий майнер. Обычный пользователь просто будет материть дядю Билла и думать, что это системный процесс тупит…
                                                                                      • +1
                                                                                        А что было бы если бы для майнинга на видеокартах не нужно было бы ставить SDK от AMD весом под 50Мб )
                                                                                        Хотя рано или поздно наверное расковыряют SDK и будут незаметно устанавливать его тоже )
                                                                                        • 0
                                                                                          Расстроить тебя? Я недавно клепал себе образ WinPE сетевой загрузки для майнинга. Проблема с установкой SDK решается очень просто без шума и пыли — msiexec /i OPENCL2.4.MSI /quiet. Перезагрузка не нужна. Размер .msi файла 6 мб (несжатого). Думаю есть и более простые варианты.
                                                                                          Так что это все дело времени. :( Поставить драйвер для бота пара пустяков, даже на win7. А если бот будет идти в комплекте с «лекарством» от очередной игрушки, тут вообще ни каких вопросов.
                                                                                          • 0
                                                                                            ну для msiexec еще повышение привилегий необходимо, если не ошибаюсь? Если UAC не отключен…
                                                                                            • 0
                                                                                              Вирусня и в обход UAC запускается, т.к. UAC-не серебрянная пуля. Например, если браузер под админом запущен, или нажали «Да», не читая.
                                                                                              • 0
                                                                                                Или вирус находится в кряке к программе или в репаке к игре.
                                                                                          • 0
                                                                                            Последние версии драйверов уже включают в себя opencl, так что даже не надо нечего ставить. Можно даже самого пользователя попросить установить последнюю версию драйвера.
                                                                                            • 0
                                                                                              У нвидии включают, у ати, насколько я знаю, нет.
                                                                                            • 0
                                                                                              Грамотный вирус должен обновлять драйвера, сносить IE и ставить лису со скином осла, перетягивая в него избранное и куки. После этого обновлять яву, флеш и пдфридер. Все эти действия нужны для избежания заражения компьютера другими вирусами, которые будут жрать бесценные процессорные ресурсы.
                                                                                            • 0
                                                                                              В продолжение… когда сегодня решил заняться зараженными машинами, я не увидел в диспечере задач лишнего процесса taskmgr, зато появился новый процесс svchost который также отъедал 99% процессора, и соответственно в батнике test.bat, стоял уже новый процесс svchost со старой парой логин\пароль. У меня складывается впечатление, что создатели также читают хабр.

                                                                                              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.