Администратор ИБ
0,4
рейтинг
2 июля 2011 в 08:38

Разработка → Троян, использующий вычислительные мощности ПК для генерации Bitcoin

Случилось мне вчера привезти из командировки один троянчик, Trojan.Win32.Powp.rdf (по классификации ЛК). Там я его победил, но флэшки он мне успел позаражать. Чтоб добро зря не проподало, решил поковырять его на досуге.
С наименованием зловредов у ЛК, как всегда, оказалось не все хорошо, он относится скорее к классу Trojan-Downloader, т.к. основная задача — скачка файлов с fileave.com. Поставил на виртуалку поиграться, среди кучи заурядного вредоносного хлама, закачиваемого им на машину, я обратил внимание на один sfx-архив и как оказалось не зря…

По ссылке http_://pasic.fileave.com/BTxDEF.exe скачался самораспаковывающийся архив.



Смотрим, что же внутри…



А внутри у нас программка Hidden Start 3.2 (hstart.exe), которая запускается скриптом архива, с параметром /NOCONSOLE test.bat, что позволяет скрытно выполнить test.bat.



Смотрим, что у нас в батнике…



Пока ничего не понятно, хотя btc.mobinil.biz уже наводит на некоторые мысли. Остался последний файл — taskmgr.exe, который, видимо, усиленно косит под Диспетчер задач Windows.



Опаньки! Файл оказывается BitCoin Miner'ом, предназначенным для генерации биткоинов. Батник запускает его с параметрами:
bitcoin-miner [-a seconds] [-g|l yes|no] [-t threads] [-v] [-o url] [-x proxy] -u user -p password,
где
-a #seconds# time between getwork requests 1..60, default 15
-g yes|no set 'no' to disable GPU, default 'yes'
-h this help -l yes|no set 'no' to disable Long-Polling, default 'yes'
-t #threads# Number of threads for CPU mining, by default is number of CPUs (Cores), 0 - disable CPU mining
-v Verbose output
-o url in form server.tld:port/path, by default 127.0.0.1:8332
-x type=host:port Use HTTP or SOCKS proxy.
Thread number should be 0..32


Итак, таймаут — 5 секунд, url — btc.mobinil.biz:8332/, user — redem_guild, pass — redem, 2 потока.
При наличии интернета BitCoin Miner начинает усиленно трудиться на благо неизвестного…



Вот так вот, теперь уже и вычислительные мощности компьютеров стали приносить доход киберпреступникам. Пользователь платит не только за трафик ботнета, к примеру, но и за электроэнергию, а денежки капают дяде на другом конце света :)

P.S.


Самое интересное, что обе программы из архива легитимные, а трояном можно считать разве что батник, запускающий все это хозяйство… KIS 2011 детектит архив целиком, с помощью KSN, без имени.

Upd


Теперь он маскируется под svchost.exe. Некоторые антивирусы стали детектить батник внутри архива как вредоносный.
Александр @Akr0n
карма
88,7
рейтинг 0,4
Администратор ИБ
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое Разработка

Комментарии (95)

  • НЛО прилетело и опубликовало эту надпись здесь
    • +51
      Реальная польза — высчитывать белковые зависимости для создания новых лекарств и понимания реакций в живой клетке. Что биткойн (не имеет реального смысла, стоимость торгуется биржей), что ботнет (не имеет положительного влияния, сдаётся злоумышленниками в аренду) — одно и то же практически.
      • +28
        Белки рассчитываем всем миром, а патенты и сверхприбыли потом какому-нибудь Файзеру?
        • +4
          Просто надо белки тоже на биржу выставить. Получится забавно. Хотя, во многом, не в белках дело, конечно. Не все белки одинаково полезны и питательны.
        • +9
          Кто-нибудь рано или поздно всё равно рассчитает и получит патенты и сверхприбыли.
          Но чем раньше будет зарегистрирован патент, тем раньше он истечёт, и у всех появится возможность получить лекарства по разумным ценам.
        • +1
          Если я не ошибаюсь, так результаты «фолдинга» являются «народным достоянием» и не подлежат патентированию и могут быть использованы кем угодно. На сайте folding.stanford.edu/ где-то было об этом.

          Да и все результаты там лежат в открытом виде.
      • +5
        Вот бы все компы считающие биткоины на 1 день переметнулись на белки. Думаю сдвиг был бы приличный.
        • +12
          Биткоин генерит 6 блоков в час или 24х6=144 блоков (по 50 бтц) в сутки. Т.е. суммарно на поддержание такой сети в сутки нужно 144*50*16 (текущий курс) 115200$, т.е. всего 3 миллиона $ в месяц. аренда всех мощностей биткоина (околоо 150 пфлоп). Для американских фарма компаний это сущие копейки. Так что пусть платят и будут им сдвиги и белки.
          Лекарства производимые на основе расчетов они все равно будут продавать с бешеной наценкой и платить за расчеты сообществу это вполне нормально я считаю.
          • 0
            > Для американских фарма компаний это сущие копейки. Так что пусть платят и будут им сдвиги и белки.
            Так вот почему игры с одинаковым уровнем графики по-разному тормозят
      • +2
        Перед grid'ами стоит куда более широкий круг задач. Хотя расчет волновых функций молекул — действительно мощная задача.
      • +4
        а как же братья наши по вселенной? Может вот она, реальная польза?
        • +4
          Я бы побоялся искать братьев по вселенной, вдруг они будут не совсем мирными. Индейцы тоже хорошо встречали колонизаторов
          • +4
            и оспу…
  • +12
    Они украли мою идею!
    • +4
    • +3
      и не только вашу :(
    • +10
      Идея носилась в воздухе уже года полтора, с самого основания сети, никто ничего не крал. Скорее удивительно, что до этого момента никто ничего подобного не написал.
      Вы лучше взгляните на пост: «Смотрите, какой вирус я подцепил в командировке.» Распространение компьютерных вирусов всё больше напоминает человеческие.
      Что интересно, антивирусы работаю по поводу этого вируса верно — сама программа-майнер вредоносной по сути не является.
      • 0
        С чего вы взяли, что никто подобного не писал? Может просто никто подобного не ловил/замечал?
    • +1
      Первая мысль которая пришла мне в голову когда запустил свой майнер, это то, что очень скоро появятся трояны и целые ботсети для майнинга, и вот тебе на.
  • +2
    Интересно, логин и пароль идут в открытом виде, т.е. поймал трояна, сходил на сайт пула и вывел себе компенсацию?)
    • +7
      ан нет, это же данные воркера.
    • 0
      Можно задосить (одна Д) пул неверными сведениями от логина воркера, тогда пул будет его банить. Для того и придумали пароли.
  • 0
    Если известен логин и пароль воркера, можно его остановить?
    • +2
      Нет, нужен логин и пароль от аккаунта на пуле. На один аккаунт можно сделать несколько воркеров и каждому из них назначить свой пароль.

      Кстати это не первый вирус, майнящий биткойны. В первом использовался как раз был логин-пароль от аккаунта на дипбите, ему потом народ с оверклокеров удалил всех воркеров и сменил пароль.
    • 0
      Пароль юзера и пароль воркера это не обязательно одно и тоже. Но по логину можно вычислить засранца и написать в саппорт пула. Но скорее всего таким образом получится только заблокировать именно аккаунт злоумшленника, но это не помешает ему перерегистрироваться.
      • 0
        тут походу поднят собственный пул
        • 0
          Не там 2500Ghesh/sec. Это блин между slush и deepbit по мощности, не вариант в одного такую скорость развить.
          • 0
            С btc.mobinil.biz идет перенаправление на btcguild. Скорее всего для отвода глаз от собственного пула, тк в инете нет информации, что btc.mobinil.biz принадлежит btcguild
            • 0
              Мда… Действительно, я подумал что это один из доменов btcguild. Зарегался проверить их домены:
              uscentral.btcguild.com
              nl2.btcguild.com Netherlands
              nl.btcguild.com Netherlands
              useast.btcguild.com Florida
              de.btcguild.com Germany
              uswest.btcguild.com
              Мда, чувак шифруется.
    • +1
      Скорее всего нет, т.к., я думаю, пароль от воркера отличается от пароля на сайт.
  • 0
    Только вчера столкнулся с этим вирусом, в батнике указаны именно эта пара логин, пароль. После удаления всех его кусков я столкнулся с тем, что после перезагрузки, из интернета выкачивается архив, который распаковывается, кладет свои файлы в Local Settings/Temp (сам архив остается в Aplication Data/), и запускается. Все перерыл, не могу найти где сидит эта зараза что выкачивает вирь из интернета, и где она прописывается. Если кто сможет чем то помочь буду благодарен.
    Что уже сделал: проверил множеством антивирусов в поисках некоего downloadera, проверил ключи реестра отвечающие за автозапуск (Winlog/Shell ,userinit), msconfig, планировщик.
    • +1
      Предлагаю устроить товарищу темную. Если есть логин можно попробовать поискать его в сети. Ну а там уже думаю найдутся добрые люди на Хабре, которые способны найти управу на аккаунты товарища.
    • 0
      Autoruns от Sysinternals.
    • 0
      Process Explorer?
    • 0
      Это, как я и писал, Trojan.Win32.Powp.rdf скорее всего. Действует он действительно хитро, насколько я понял, юзает драйвер и внедряет его в системный процесс. Я лечил с помощью свежего CureIT, из-под загрузочной флэшки. Попробуйте.
    • 0
      Большое всем спасибо, обязательно попробую эти варианты.
  • –4
    Хранить логин и пароль в открытом виде — гениальная идея «разработчика» этого «творения».
    • +4
      Он просто не заморачивался — взял обычный майнер и использует его
    • +2
      если это его собственный пул, то знание логина и пароля от воркера нечего не даст
    • 0
      Я вообще не понимаю зачем придумали пароль для воркеров. На некоторых пулах он не имеет значения и может быть любым.
      • +2
        А вот интересно, если воркер будет флудить в пул всякое дерьмо? :-)
        Какова реакция пула?
        Адрес пула и учётку воркера мы знаем так что можно…
        Собственно наверное от этого, и придуманы отдельные учётки воркеров.
        • –7
          Вы уж меня простите конечно, но это жадные дети в треде чтоли?
          Как я себе представляю эту систему: Есть троян-даунлоадер, его кто-то написал (по сути не важно кто именно), но у него есть хозяин (т.е. не исключено, что это разные люди), который его распространяет и продает кому-то возможность скачивания чего-то еще на зараженный компьютер, и попутно собирая деньги за количество инсталляций других програм (правда делая это с некоторой периодичностью несколько раз с каждой машиной, пока она все еще в бот-сети). Дальше самое интересное — кто и зачем купит такую возможность — вопрос открытый. Этим способом на комп загружаются различные винлокеры/похитители паролей от контактиков/прокси-сервера и вообще все, что душе угодно, теперь и биткоин-майнеры.
          А соль в том, что на каждом этапе этой схемы существуют разные люди и платятся деньги от уровня к уровню за «услуги». Такой вот бизнес нехороший.
          А теперь вопрос, хоть и не совсем корректный, что лучше — чтобы «злоумышленник» покупал зомби-машины для майнинга биткоинов за счет вычислительных мощностей пользователей или для установки всяческой хрени типа платных винлокеров/троянов для кражи аккаунтов/проксей, которые затем позволяют спамить все и вся (начиная с почты и заканчивая соцсетями)? Для меня ответ на этот вопрос достаточно очевиден.
          • 0
            Что лучше — чтобы пользователь платил злоумышленнику или за электроэнергию? Я думаю, дя пользователя ответ очевиден…
            • +1
              Если сравнить цену на смску в винлокере и цену за киловатт, то она будет отличаться на порядок обычно даже не два порядка. При этом посмотрим на мощность среднестатистического компа из такой бот-сети — скорее всего это будет ноутбук или какой-нибудь не самый новый десктоп, возможно даже на WinXP, без обновлений, антивирусов/фаерволов.
              Т.е. это будет комп, за которым особо не следят. Но это скорее всего не будет машиной, специально собранной хорошо подходящей для майнинга!

              Жрет электроэнергии такая железка не так уж и много, давайте прикинем:
              0.350Ввт*3р*8ч — это меньше 10 рублей за 8 часов работы в день!
              А при 24*7 включеном компьютере будет 25 рублей в сутки максимум (при полной загрузке БП, чего вообще говоря никогда не должно быть) И в генерации от нее одной толку тоже мало, поэтому они берут количеством таких машин, а не качеством.

              Если звучит не убидительно, дам другой пример — ПО для кражи аккаунтов и спама. В данном случае во-первых это создаст проблемы как самому пользователю («аааа у меня в контактик/почту/etc не заходит!»), во-вторых этот спам потом вам же и придет, т.е. всем остальным. А спам ходит зачем? Для привлечения трафика («прямой» заработок) и для распространения заразы, позволяющей этот спам рассылать дальше (т.е. банальная кража аккаунтов).

              Именно поэтому я и написал, что пусть лучше пытаются майнить, чем занимаюся какой-нибудь деструктивной деятельностью. Из двух зол выбирают меньшее, разве нет? (Проблема правда в том, что иногда выбирать не приходится и на зомби-машину ставится и то и другое.)
              P.S. Надеюсь, что меня минусуют за ссылку на жадных детей, а не за суть поста. Несогласные, выразите пожалуйста свою позицию более конкретно, мне интересно узнать ваше мнение, а не ваше количество.
              • –1
                Только вот он майнить будет бесконечно.
                И да, вы не поняли о чем был мой комментарий выше. Он был о том, что пользователь выберет не платить нахлебникам.
  • 0
    Первое, что бросается в глаза читателю на первой большой картинке:
    WinRAR (незарегистрированная копия)
    • +5
      +1 особенно когда есть замечательный 7-zip
      • 0
        я, например, тупо привык к WinRAR за лет 10 использования, на все машины ставлю именно его.
        • 0
          надеюсь вы его купили и поддержали автора
      • 0
        В RAR мне нравится автоматическая распаковка при запуске одного из файлов.
    • +15
      Ну а чего? Человек честен, не крякает ВинРАР. Конечно, можно воспользоваться 7зипом, но почему вообше это должно обращать на себя внимания? Горазло странней было бы если он таки оказался зареганным.
      • +2
        Когда делал скрины, так и думал, что кто-то обратит внимание :)
      • +1
        о, да — заплатить за продукт, которым пользуешься — что может быть страннее?
        • 0
          При наличии бесплатных альтернатив (тот же 7z), которые не хуже, а то и местами лучше? Честно говоря, действительно что может быть страннее :)
  • +16
    > Случилось мне вчера привезти из командировки один троянчик

    Жене уже говорили? :)
    • +2
      Так и представил:
      " Дорогая я в коммандировке подцепил один вирус...."
      • +5
        Лучше так: «Дорогая, я в командировке подцепил заразу...»
        90% жен своей реакцией не дадут договорить фразу :)
        • +5
          Долго статистику собирали? :)
          • 0
            По статистике 85% статических данных ошибочны :)
            • +7
              87.2%, не позорьте науку статистику.
    • +1
      Скинул подруге ссылку на топик :)
  • +1
    наконец то до кого-то дошла идея юзать чужое железо для ковки bitcon
  • 0
    Только недавно приходила в голову подобная идея… отмахнул ее в пользу того, что либо уже это кто-то эксплуатирует, либо это не так выгодно, раз никто о таком не трубил.

    Оказалось, рано отмахнул…
  • 0
    Я думаю, это только начало будущей волны подобных троянов.
  • +3
    Интересно, сколько всего таких юзеров, которые способны не заметить, что их компьютер втихую, стыдливо прячась, делает ЭТО!.. )))
  • –4
    Как бы там ни было сервис Bitcoin тоже не лыком шит и насколько я понял он блокирует аккаунты, которые зарабатывают таким образом (с помощью ботнета).
    • +1
      Как он может это узнать? В одном случае программу запустили, нажав на кнопку. В другом — батником. И?
      • +2
        При чем тут вообще Bitcoin?
        Речь идет про консольный майнер и про BTCGuild
      • 0
        Я смотрю пошли чрезвычайно «умные» комменты, ниже в т.ч.
        image
    • +1
      Пулы блокируют.
      «Сервиса» Bitcoin не существует, это же распределенная система )
    • 0
      А сервис под названием Torrent банит раскручивальщиков рейтинга. И блокирует аккаунты.
      А сервис под названием HTTP банит за просмотр порносайтов.
      А администраторы сервиса email вообще аферисты, мне присылают спам. Не продумали систему, да, пророчу скорую смерть пузыря под названием «email».
      • 0
        Пожалуйста, изолируйте от нас ваш идиотический сарказм ;)
  • 0
    1000 компов — 73 бакса в день… вполне нормально
    • +1
      Как вы так считаете?
      • 0
        мой проц дает 7Mhs = 0.0072 BTC в день
      • 0
        Это практика =)
    • 0
      Ждите. Вот когда появятся вирусы, считающие на видеокартах пользователей, вот тогда можно быдет смело умножать число на 200.
      • 0
        Вы когда нибудь слышали лоад на видеокарте? Похоже на пылесос…
        • 0
          Слушаю прямо сейчас. И это обходится (вентилятор на 30-40, нагрузку на 500 Мгц). Самое главное — процессор не занят, система не тормозит и спалить вирус сложнее.
  • 0
    Как только услышал о биткоине, сразу начались мысли — что же это они там считают?.. Вторая мысль, следующсая из первой — сразу про ботнет.
    • 0
      Поэтому лично я открыл вики и всё таки узнал, что же они там считают. Исходники открыты, кстати.
  • 0
    Было бы логичнее нагружать вирусом процессор на 10%, а так слишком заметно.
    • 0
      Кому заметно? Не переоценивайте человеков.
    • 0
      Было бы логичнее задавать самый низкий приоритет, а там пусть себе ест сколько вздумается. Без заглядывания в диспетчер задач разницы не заметишь. А с 10% нужно заразить в 10 раз больше машин для достижения того же результата.
    • 0
      Вчера видел такую же заразу на ноуте брата. Только майнер маскировался под svchost.exe, а не под диспетчер задач. Сидит он, смотрит футураму, картинка заметно тормозит и дергается, ибо этот самый svchost.exe грузит систему, а брату пофиг. Так что, может, и замечают, но мирятся с этим.
      • 0
        Да, теперь он маскируется под svchost.exe, а антивирусы детектят только батник, запускающий майнер. Обычный пользователь просто будет материть дядю Билла и думать, что это системный процесс тупит…
  • +1
    А что было бы если бы для майнинга на видеокартах не нужно было бы ставить SDK от AMD весом под 50Мб )
    Хотя рано или поздно наверное расковыряют SDK и будут незаметно устанавливать его тоже )
    • 0
      Расстроить тебя? Я недавно клепал себе образ WinPE сетевой загрузки для майнинга. Проблема с установкой SDK решается очень просто без шума и пыли — msiexec /i OPENCL2.4.MSI /quiet. Перезагрузка не нужна. Размер .msi файла 6 мб (несжатого). Думаю есть и более простые варианты.
      Так что это все дело времени. :( Поставить драйвер для бота пара пустяков, даже на win7. А если бот будет идти в комплекте с «лекарством» от очередной игрушки, тут вообще ни каких вопросов.
      • 0
        ну для msiexec еще повышение привилегий необходимо, если не ошибаюсь? Если UAC не отключен…
        • 0
          Вирусня и в обход UAC запускается, т.к. UAC-не серебрянная пуля. Например, если браузер под админом запущен, или нажали «Да», не читая.
          • 0
            Или вирус находится в кряке к программе или в репаке к игре.
    • 0
      Последние версии драйверов уже включают в себя opencl, так что даже не надо нечего ставить. Можно даже самого пользователя попросить установить последнюю версию драйвера.
      • 0
        У нвидии включают, у ати, насколько я знаю, нет.
    • 0
      Грамотный вирус должен обновлять драйвера, сносить IE и ставить лису со скином осла, перетягивая в него избранное и куки. После этого обновлять яву, флеш и пдфридер. Все эти действия нужны для избежания заражения компьютера другими вирусами, которые будут жрать бесценные процессорные ресурсы.
  • 0
    В продолжение… когда сегодня решил заняться зараженными машинами, я не увидел в диспечере задач лишнего процесса taskmgr, зато появился новый процесс svchost который также отъедал 99% процессора, и соответственно в батнике test.bat, стоял уже новый процесс svchost со старой парой логин\пароль. У меня складывается впечатление, что создатели также читают хабр.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.