Троян, использующий вычислительные мощности ПК для генерации Bitcoin

    Случилось мне вчера привезти из командировки один троянчик, Trojan.Win32.Powp.rdf (по классификации ЛК). Там я его победил, но флэшки он мне успел позаражать. Чтоб добро зря не проподало, решил поковырять его на досуге.
    С наименованием зловредов у ЛК, как всегда, оказалось не все хорошо, он относится скорее к классу Trojan-Downloader, т.к. основная задача — скачка файлов с fileave.com. Поставил на виртуалку поиграться, среди кучи заурядного вредоносного хлама, закачиваемого им на машину, я обратил внимание на один sfx-архив и как оказалось не зря…

    По ссылке http_://pasic.fileave.com/BTxDEF.exe скачался самораспаковывающийся архив.



    Смотрим, что же внутри…



    А внутри у нас программка Hidden Start 3.2 (hstart.exe), которая запускается скриптом архива, с параметром /NOCONSOLE test.bat, что позволяет скрытно выполнить test.bat.



    Смотрим, что у нас в батнике…



    Пока ничего не понятно, хотя btc.mobinil.biz уже наводит на некоторые мысли. Остался последний файл — taskmgr.exe, который, видимо, усиленно косит под Диспетчер задач Windows.



    Опаньки! Файл оказывается BitCoin Miner'ом, предназначенным для генерации биткоинов. Батник запускает его с параметрами:
    bitcoin-miner [-a seconds] [-g|l yes|no] [-t threads] [-v] [-o url] [-x proxy] -u user -p password,
    где
    -a #seconds# time between getwork requests 1..60, default 15
    -g yes|no set 'no' to disable GPU, default 'yes'
    -h this help -l yes|no set 'no' to disable Long-Polling, default 'yes'
    -t #threads# Number of threads for CPU mining, by default is number of CPUs (Cores), 0 - disable CPU mining
    -v Verbose output
    -o url in form server.tld:port/path, by default 127.0.0.1:8332
    -x type=host:port Use HTTP or SOCKS proxy.
    Thread number should be 0..32


    Итак, таймаут — 5 секунд, url — btc.mobinil.biz:8332/, user — redem_guild, pass — redem, 2 потока.
    При наличии интернета BitCoin Miner начинает усиленно трудиться на благо неизвестного…



    Вот так вот, теперь уже и вычислительные мощности компьютеров стали приносить доход киберпреступникам. Пользователь платит не только за трафик ботнета, к примеру, но и за электроэнергию, а денежки капают дяде на другом конце света :)

    P.S.


    Самое интересное, что обе программы из архива легитимные, а трояном можно считать разве что батник, запускающий все это хозяйство… KIS 2011 детектит архив целиком, с помощью KSN, без имени.

    Upd


    Теперь он маскируется под svchost.exe. Некоторые антивирусы стали детектить батник внутри архива как вредоносный.
    Метки:
    Поделиться публикацией
    Похожие публикации
    Комментарии 95
    • НЛО прилетело и опубликовало эту надпись здесь
      • +51
        Реальная польза — высчитывать белковые зависимости для создания новых лекарств и понимания реакций в живой клетке. Что биткойн (не имеет реального смысла, стоимость торгуется биржей), что ботнет (не имеет положительного влияния, сдаётся злоумышленниками в аренду) — одно и то же практически.
        • +28
          Белки рассчитываем всем миром, а патенты и сверхприбыли потом какому-нибудь Файзеру?
          • +4
            Просто надо белки тоже на биржу выставить. Получится забавно. Хотя, во многом, не в белках дело, конечно. Не все белки одинаково полезны и питательны.
            • +9
              Кто-нибудь рано или поздно всё равно рассчитает и получит патенты и сверхприбыли.
              Но чем раньше будет зарегистрирован патент, тем раньше он истечёт, и у всех появится возможность получить лекарства по разумным ценам.
              • +1
                Если я не ошибаюсь, так результаты «фолдинга» являются «народным достоянием» и не подлежат патентированию и могут быть использованы кем угодно. На сайте folding.stanford.edu/ где-то было об этом.

                Да и все результаты там лежат в открытом виде.
              • +5
                Вот бы все компы считающие биткоины на 1 день переметнулись на белки. Думаю сдвиг был бы приличный.
                • +12
                  Биткоин генерит 6 блоков в час или 24х6=144 блоков (по 50 бтц) в сутки. Т.е. суммарно на поддержание такой сети в сутки нужно 144*50*16 (текущий курс) 115200$, т.е. всего 3 миллиона $ в месяц. аренда всех мощностей биткоина (околоо 150 пфлоп). Для американских фарма компаний это сущие копейки. Так что пусть платят и будут им сдвиги и белки.
                  Лекарства производимые на основе расчетов они все равно будут продавать с бешеной наценкой и платить за расчеты сообществу это вполне нормально я считаю.
                  • 0
                    > Для американских фарма компаний это сущие копейки. Так что пусть платят и будут им сдвиги и белки.
                    Так вот почему игры с одинаковым уровнем графики по-разному тормозят
                • +2
                  Перед grid'ами стоит куда более широкий круг задач. Хотя расчет волновых функций молекул — действительно мощная задача.
                  • +4
                    а как же братья наши по вселенной? Может вот она, реальная польза?
                    • +4
                      Я бы побоялся искать братьев по вселенной, вдруг они будут не совсем мирными. Индейцы тоже хорошо встречали колонизаторов
              • +12
                Они украли мою идею!
                • +4
                  • +3
                    и не только вашу :(
                    • +10
                      Идея носилась в воздухе уже года полтора, с самого основания сети, никто ничего не крал. Скорее удивительно, что до этого момента никто ничего подобного не написал.
                      Вы лучше взгляните на пост: «Смотрите, какой вирус я подцепил в командировке.» Распространение компьютерных вирусов всё больше напоминает человеческие.
                      Что интересно, антивирусы работаю по поводу этого вируса верно — сама программа-майнер вредоносной по сути не является.
                      • 0
                        С чего вы взяли, что никто подобного не писал? Может просто никто подобного не ловил/замечал?
                      • +1
                        Первая мысль которая пришла мне в голову когда запустил свой майнер, это то, что очень скоро появятся трояны и целые ботсети для майнинга, и вот тебе на.
                      • +2
                        Интересно, логин и пароль идут в открытом виде, т.е. поймал трояна, сходил на сайт пула и вывел себе компенсацию?)
                        • +7
                          ан нет, это же данные воркера.
                          • 0
                            Можно задосить (одна Д) пул неверными сведениями от логина воркера, тогда пул будет его банить. Для того и придумали пароли.
                          • 0
                            Если известен логин и пароль воркера, можно его остановить?
                            • +2
                              Нет, нужен логин и пароль от аккаунта на пуле. На один аккаунт можно сделать несколько воркеров и каждому из них назначить свой пароль.

                              Кстати это не первый вирус, майнящий биткойны. В первом использовался как раз был логин-пароль от аккаунта на дипбите, ему потом народ с оверклокеров удалил всех воркеров и сменил пароль.
                              • 0
                                Пароль юзера и пароль воркера это не обязательно одно и тоже. Но по логину можно вычислить засранца и написать в саппорт пула. Но скорее всего таким образом получится только заблокировать именно аккаунт злоумшленника, но это не помешает ему перерегистрироваться.
                                • 0
                                  тут походу поднят собственный пул
                                  • 0
                                    Не там 2500Ghesh/sec. Это блин между slush и deepbit по мощности, не вариант в одного такую скорость развить.
                                    • 0
                                      С btc.mobinil.biz идет перенаправление на btcguild. Скорее всего для отвода глаз от собственного пула, тк в инете нет информации, что btc.mobinil.biz принадлежит btcguild
                                      • 0
                                        Мда… Действительно, я подумал что это один из доменов btcguild. Зарегался проверить их домены:
                                        uscentral.btcguild.com
                                        nl2.btcguild.com Netherlands
                                        nl.btcguild.com Netherlands
                                        useast.btcguild.com Florida
                                        de.btcguild.com Germany
                                        uswest.btcguild.com
                                        Мда, чувак шифруется.
                                • +1
                                  Скорее всего нет, т.к., я думаю, пароль от воркера отличается от пароля на сайт.
                                • 0
                                  Только вчера столкнулся с этим вирусом, в батнике указаны именно эта пара логин, пароль. После удаления всех его кусков я столкнулся с тем, что после перезагрузки, из интернета выкачивается архив, который распаковывается, кладет свои файлы в Local Settings/Temp (сам архив остается в Aplication Data/), и запускается. Все перерыл, не могу найти где сидит эта зараза что выкачивает вирь из интернета, и где она прописывается. Если кто сможет чем то помочь буду благодарен.
                                  Что уже сделал: проверил множеством антивирусов в поисках некоего downloadera, проверил ключи реестра отвечающие за автозапуск (Winlog/Shell ,userinit), msconfig, планировщик.
                                  • +1
                                    Предлагаю устроить товарищу темную. Если есть логин можно попробовать поискать его в сети. Ну а там уже думаю найдутся добрые люди на Хабре, которые способны найти управу на аккаунты товарища.
                                    • 0
                                      Autoruns от Sysinternals.
                                      • 0
                                        Process Explorer?
                                        • 0
                                          Это, как я и писал, Trojan.Win32.Powp.rdf скорее всего. Действует он действительно хитро, насколько я понял, юзает драйвер и внедряет его в системный процесс. Я лечил с помощью свежего CureIT, из-под загрузочной флэшки. Попробуйте.
                                          • 0
                                            Большое всем спасибо, обязательно попробую эти варианты.
                                          • –4
                                            Хранить логин и пароль в открытом виде — гениальная идея «разработчика» этого «творения».
                                            • +4
                                              Он просто не заморачивался — взял обычный майнер и использует его
                                              • +2
                                                если это его собственный пул, то знание логина и пароля от воркера нечего не даст
                                                • 0
                                                  Я вообще не понимаю зачем придумали пароль для воркеров. На некоторых пулах он не имеет значения и может быть любым.
                                                  • +2
                                                    А вот интересно, если воркер будет флудить в пул всякое дерьмо? :-)
                                                    Какова реакция пула?
                                                    Адрес пула и учётку воркера мы знаем так что можно…
                                                    Собственно наверное от этого, и придуманы отдельные учётки воркеров.
                                                    • –7
                                                      Вы уж меня простите конечно, но это жадные дети в треде чтоли?
                                                      Как я себе представляю эту систему: Есть троян-даунлоадер, его кто-то написал (по сути не важно кто именно), но у него есть хозяин (т.е. не исключено, что это разные люди), который его распространяет и продает кому-то возможность скачивания чего-то еще на зараженный компьютер, и попутно собирая деньги за количество инсталляций других програм (правда делая это с некоторой периодичностью несколько раз с каждой машиной, пока она все еще в бот-сети). Дальше самое интересное — кто и зачем купит такую возможность — вопрос открытый. Этим способом на комп загружаются различные винлокеры/похитители паролей от контактиков/прокси-сервера и вообще все, что душе угодно, теперь и биткоин-майнеры.
                                                      А соль в том, что на каждом этапе этой схемы существуют разные люди и платятся деньги от уровня к уровню за «услуги». Такой вот бизнес нехороший.
                                                      А теперь вопрос, хоть и не совсем корректный, что лучше — чтобы «злоумышленник» покупал зомби-машины для майнинга биткоинов за счет вычислительных мощностей пользователей или для установки всяческой хрени типа платных винлокеров/троянов для кражи аккаунтов/проксей, которые затем позволяют спамить все и вся (начиная с почты и заканчивая соцсетями)? Для меня ответ на этот вопрос достаточно очевиден.
                                                      • 0
                                                        Что лучше — чтобы пользователь платил злоумышленнику или за электроэнергию? Я думаю, дя пользователя ответ очевиден…
                                                        • +1
                                                          Если сравнить цену на смску в винлокере и цену за киловатт, то она будет отличаться на порядок обычно даже не два порядка. При этом посмотрим на мощность среднестатистического компа из такой бот-сети — скорее всего это будет ноутбук или какой-нибудь не самый новый десктоп, возможно даже на WinXP, без обновлений, антивирусов/фаерволов.
                                                          Т.е. это будет комп, за которым особо не следят. Но это скорее всего не будет машиной, специально собранной хорошо подходящей для майнинга!

                                                          Жрет электроэнергии такая железка не так уж и много, давайте прикинем:
                                                          0.350Ввт*3р*8ч — это меньше 10 рублей за 8 часов работы в день!
                                                          А при 24*7 включеном компьютере будет 25 рублей в сутки максимум (при полной загрузке БП, чего вообще говоря никогда не должно быть) И в генерации от нее одной толку тоже мало, поэтому они берут количеством таких машин, а не качеством.

                                                          Если звучит не убидительно, дам другой пример — ПО для кражи аккаунтов и спама. В данном случае во-первых это создаст проблемы как самому пользователю («аааа у меня в контактик/почту/etc не заходит!»), во-вторых этот спам потом вам же и придет, т.е. всем остальным. А спам ходит зачем? Для привлечения трафика («прямой» заработок) и для распространения заразы, позволяющей этот спам рассылать дальше (т.е. банальная кража аккаунтов).

                                                          Именно поэтому я и написал, что пусть лучше пытаются майнить, чем занимаюся какой-нибудь деструктивной деятельностью. Из двух зол выбирают меньшее, разве нет? (Проблема правда в том, что иногда выбирать не приходится и на зомби-машину ставится и то и другое.)
                                                          P.S. Надеюсь, что меня минусуют за ссылку на жадных детей, а не за суть поста. Несогласные, выразите пожалуйста свою позицию более конкретно, мне интересно узнать ваше мнение, а не ваше количество.
                                                          • –1
                                                            Только вот он майнить будет бесконечно.
                                                            И да, вы не поняли о чем был мой комментарий выше. Он был о том, что пользователь выберет не платить нахлебникам.
                                                • 0
                                                  Первое, что бросается в глаза читателю на первой большой картинке:
                                                  WinRAR (незарегистрированная копия)
                                                  • +5
                                                    +1 особенно когда есть замечательный 7-zip
                                                    • 0
                                                      я, например, тупо привык к WinRAR за лет 10 использования, на все машины ставлю именно его.
                                                      • 0
                                                        надеюсь вы его купили и поддержали автора
                                                      • 0
                                                        В RAR мне нравится автоматическая распаковка при запуске одного из файлов.
                                                      • +15
                                                        Ну а чего? Человек честен, не крякает ВинРАР. Конечно, можно воспользоваться 7зипом, но почему вообше это должно обращать на себя внимания? Горазло странней было бы если он таки оказался зареганным.
                                                        • +2
                                                          Когда делал скрины, так и думал, что кто-то обратит внимание :)
                                                          • +1
                                                            о, да — заплатить за продукт, которым пользуешься — что может быть страннее?
                                                            • 0
                                                              При наличии бесплатных альтернатив (тот же 7z), которые не хуже, а то и местами лучше? Честно говоря, действительно что может быть страннее :)
                                                        • +16
                                                          > Случилось мне вчера привезти из командировки один троянчик

                                                          Жене уже говорили? :)
                                                          • +2
                                                            Так и представил:
                                                            " Дорогая я в коммандировке подцепил один вирус...."
                                                            • +5
                                                              Лучше так: «Дорогая, я в командировке подцепил заразу...»
                                                              90% жен своей реакцией не дадут договорить фразу :)
                                                              • +5
                                                                Долго статистику собирали? :)
                                                                • 0
                                                                  По статистике 85% статических данных ошибочны :)
                                                                  • +7
                                                                    87.2%, не позорьте науку статистику.
                                                            • +1
                                                              Скинул подруге ссылку на топик :)
                                                            • +1
                                                              наконец то до кого-то дошла идея юзать чужое железо для ковки bitcon
                                                              • 0
                                                                Только недавно приходила в голову подобная идея… отмахнул ее в пользу того, что либо уже это кто-то эксплуатирует, либо это не так выгодно, раз никто о таком не трубил.

                                                                Оказалось, рано отмахнул…
                                                                • 0
                                                                  Я думаю, это только начало будущей волны подобных троянов.
                                                                  • +3
                                                                    Интересно, сколько всего таких юзеров, которые способны не заметить, что их компьютер втихую, стыдливо прячась, делает ЭТО!.. )))
                                                                    • –4
                                                                      Как бы там ни было сервис Bitcoin тоже не лыком шит и насколько я понял он блокирует аккаунты, которые зарабатывают таким образом (с помощью ботнета).
                                                                      • +1
                                                                        Как он может это узнать? В одном случае программу запустили, нажав на кнопку. В другом — батником. И?
                                                                        • +2
                                                                          При чем тут вообще Bitcoin?
                                                                          Речь идет про консольный майнер и про BTCGuild
                                                                          • 0
                                                                            Я смотрю пошли чрезвычайно «умные» комменты, ниже в т.ч.
                                                                            image
                                                                          • +1
                                                                            Пулы блокируют.
                                                                            «Сервиса» Bitcoin не существует, это же распределенная система )
                                                                            • 0
                                                                              А сервис под названием Torrent банит раскручивальщиков рейтинга. И блокирует аккаунты.
                                                                              А сервис под названием HTTP банит за просмотр порносайтов.
                                                                              А администраторы сервиса email вообще аферисты, мне присылают спам. Не продумали систему, да, пророчу скорую смерть пузыря под названием «email».
                                                                              • 0
                                                                                Пожалуйста, изолируйте от нас ваш идиотический сарказм ;)
                                                                            • 0
                                                                              1000 компов — 73 бакса в день… вполне нормально
                                                                              • +1
                                                                                Как вы так считаете?
                                                                                • 0
                                                                                  мой проц дает 7Mhs = 0.0072 BTC в день
                                                                                  • 0
                                                                                    Это практика =)
                                                                                  • 0
                                                                                    Ждите. Вот когда появятся вирусы, считающие на видеокартах пользователей, вот тогда можно быдет смело умножать число на 200.
                                                                                    • 0
                                                                                      Вы когда нибудь слышали лоад на видеокарте? Похоже на пылесос…
                                                                                      • 0
                                                                                        Слушаю прямо сейчас. И это обходится (вентилятор на 30-40, нагрузку на 500 Мгц). Самое главное — процессор не занят, система не тормозит и спалить вирус сложнее.
                                                                                  • 0
                                                                                    Как только услышал о биткоине, сразу начались мысли — что же это они там считают?.. Вторая мысль, следующсая из первой — сразу про ботнет.
                                                                                    • 0
                                                                                      Поэтому лично я открыл вики и всё таки узнал, что же они там считают. Исходники открыты, кстати.
                                                                                    • 0
                                                                                      Было бы логичнее нагружать вирусом процессор на 10%, а так слишком заметно.
                                                                                      • 0
                                                                                        Кому заметно? Не переоценивайте человеков.
                                                                                        • 0
                                                                                          Было бы логичнее задавать самый низкий приоритет, а там пусть себе ест сколько вздумается. Без заглядывания в диспетчер задач разницы не заметишь. А с 10% нужно заразить в 10 раз больше машин для достижения того же результата.
                                                                                          • 0
                                                                                            Вчера видел такую же заразу на ноуте брата. Только майнер маскировался под svchost.exe, а не под диспетчер задач. Сидит он, смотрит футураму, картинка заметно тормозит и дергается, ибо этот самый svchost.exe грузит систему, а брату пофиг. Так что, может, и замечают, но мирятся с этим.
                                                                                            • 0
                                                                                              Да, теперь он маскируется под svchost.exe, а антивирусы детектят только батник, запускающий майнер. Обычный пользователь просто будет материть дядю Билла и думать, что это системный процесс тупит…
                                                                                          • +1
                                                                                            А что было бы если бы для майнинга на видеокартах не нужно было бы ставить SDK от AMD весом под 50Мб )
                                                                                            Хотя рано или поздно наверное расковыряют SDK и будут незаметно устанавливать его тоже )
                                                                                            • 0
                                                                                              Расстроить тебя? Я недавно клепал себе образ WinPE сетевой загрузки для майнинга. Проблема с установкой SDK решается очень просто без шума и пыли — msiexec /i OPENCL2.4.MSI /quiet. Перезагрузка не нужна. Размер .msi файла 6 мб (несжатого). Думаю есть и более простые варианты.
                                                                                              Так что это все дело времени. :( Поставить драйвер для бота пара пустяков, даже на win7. А если бот будет идти в комплекте с «лекарством» от очередной игрушки, тут вообще ни каких вопросов.
                                                                                              • 0
                                                                                                ну для msiexec еще повышение привилегий необходимо, если не ошибаюсь? Если UAC не отключен…
                                                                                                • 0
                                                                                                  Вирусня и в обход UAC запускается, т.к. UAC-не серебрянная пуля. Например, если браузер под админом запущен, или нажали «Да», не читая.
                                                                                                  • 0
                                                                                                    Или вирус находится в кряке к программе или в репаке к игре.
                                                                                              • 0
                                                                                                Последние версии драйверов уже включают в себя opencl, так что даже не надо нечего ставить. Можно даже самого пользователя попросить установить последнюю версию драйвера.
                                                                                                • 0
                                                                                                  У нвидии включают, у ати, насколько я знаю, нет.
                                                                                                • 0
                                                                                                  Грамотный вирус должен обновлять драйвера, сносить IE и ставить лису со скином осла, перетягивая в него избранное и куки. После этого обновлять яву, флеш и пдфридер. Все эти действия нужны для избежания заражения компьютера другими вирусами, которые будут жрать бесценные процессорные ресурсы.
                                                                                                • 0
                                                                                                  В продолжение… когда сегодня решил заняться зараженными машинами, я не увидел в диспечере задач лишнего процесса taskmgr, зато появился новый процесс svchost который также отъедал 99% процессора, и соответственно в батнике test.bat, стоял уже новый процесс svchost со старой парой логин\пароль. У меня складывается впечатление, что создатели также читают хабр.

                                                                                                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.