Пользователь
0,0
рейтинг
7 апреля 2013 в 10:34

Разработка → Новый skype-троян превращает компьютер в раба, добывающего Bitcoin

В блоге Дмитрия Бестужева, эксперта «Лаборатории Касперского», несколько дней назад появилось сообщение о массированной компании по распространению в skype нового трояна. Пользователям рассылаются сообщения, предлагающие перейти по некой ссылке вида:
www.goo.gl/XXXXX?image=IMG0540250-JPG

По состоянию на 4 апреля интенсивность перехода по ней составляла почти 3 клика в секунду, а общее число кликов — около 170к!
Большая часть жертв — из России и Украины:



Так же затронуты пользователи из Китая, Италии, Болгарии и Тайваня.
Сам троян написан на Visual Basic и так же способен распространяться через USB-накопители. После инфицирования, компьютер жертвы становится частью ботнета, используя для связи с командным сервером IRC протокол.
Кроме того, троян, похоже, ворует файл wallet.dat от Bitcoin кошелька:



В своём следующем посте, Дмитрий рассказал про аналогичную компанию, но распространяющую троян немного другого рода. Оказавшись на машине пользователя, он запускает команду:

bitcoin-miner.exe -a 60 -l no -o suppp.cantvenlinea.biz:1942/ -u XXXXXX0000001@gmail.com -p XXXXXXXX

Таким образом, заставляя ваш компьютер добывать биткоины для злоумышленника!
При этом, нагрузка на CPU значительно возрастает:



Один из хабраюзеров писал о трояне со схожей функциональностью 2 года назад, но теперь, похоже, интернет захлёстывает новая волна зловредного ПО, так или иначе связанного c Bitcoin, вокруг которого последнее время и так немало шума.
Евгений @Captcha
карма
25,7
рейтинг 0,0
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Спецпроект

Самое читаемое Разработка

Комментарии (86)

  • +83
    Сам троян написан на Visual Basic

    А раньше об этом только шутили
    • +21
      Так это еще не самый страшный вариант.
      Мне однажды попадался троян-майнер, написанный на python и маскировавшийся под java.exe.
      • +3
        Майнеры написаны на python практически все.
    • 0
      Первый вирус, что я увидел в «дикой природе» был «I Love You» — написан на VBA (или VBS, позабыл уже), где-то в конце 90х.
  • +1
    По хорошему надо захватить пару-тройку суперкомпьтеров из ЦОДов на недельку — другую! Вот тогда думаю профит был бы ощутим!
    • +2
      Несколько десятков тысяч десктопных компьютеров тоже могут дать нехилый профит.
      • +2
        А уж если на них стоят игровые видеокарты…
        • 0
          Это CPU майнер, без SDK на GPU не помайнить.
          • +2
            Никакой SDK не нужен. Дрова для OpenCL в обычной установке драйверов для видеокарты.
            • +1
              Уже попадался такой, жрал как CPU, так и GPU.
    • +1
      Дальше определенной величины все равно не разгонитесь, эмиссия валюты-то ограничена ежедневная. Да, вы будете добывать больше биткоинов на «душу», но выше эмиссии не прыгнешь. :(
      • 0
        Если получить больше 50% вычислительной мощности то можно просто все биткоины себе перевести)
        • +1
          Оммм… А подробней можно? Для чайников, так сказать. Почему 50%+ чуть-чуть вычислительной мощности => все биткоины — мои.

          И потом, если все биткоины — мои, то я, наверное, захочу их продать и вывести их в $, а это значит, что они уже не мои. :)
          • 0
            Скорее всего речь про double-spending атаку.
            • +1
              О, спасибо, занимательное чтиво.
          • 0
            Не, если все они ваше, то значит, что биткоину конец.
  • 0
    Я уже наивно надеялся что трояны через USB изжили свое. Давненько их не видел.
    • +1
      Пока живы устройства, будет жить и зло, протекающее через них.
      • +4
        Виноваты не устройства, а странная привычка некоторых операционных систем запускать все подряд с самых разных накопителей с правами пользователя, которые до недавнего времени не ограничивались. Autorun, ведь его кто-то придумал…
        • +3
          Попробуйте скомпилить экзешник с иконкой виндовой папки и дайте флэшку с ним своим знакомым. Вы удивитесь проценту людей, которые сходу его запустят…
  • –1
    bitcoin-miner.exe -a 60 -l no -o suppp.cantvenlinea.biz:1942/ -u XXXXXX0000001@gmail.com -p XXXXXXXX

    Интересно, как долго ботсеть будет майнить, пока незадачливый юзер не перехватит управление аккаунтом пула, используя предоставленный пароль
    • 0
      Вполне возможно, что для каждого юзера создается свой аккаунт в пуле.
      • +10
        Или для майнинга один пароль, для входа в панель другой.
    • +10
      В некоторых пулах аккаунт для воркера выделяется отдельно и ни для чего кроме майнинга использоваться не может
    • 0
      Для управлением аккаунтом незадачливому юзеру нужно знать, помимо e-mail, еще пароль на вход пула + PIN из четырех цифр для подтверждения изменения личных данных.
    • +2
      Для майнинга пароли другие
    • +1
      это пароль для воркера.
      все что вы можете сделать, зная его — самостоятельно майнить в его пользу.
    • 0
      p2pool например вообще не требует создания учетки для майнера — можно просто генерить, в принципе так можно с любым сделать
  • 0
    Интересная идея!.. (:
  • +3
    Это похоже на Bitcoin-лихорадку. :-)
    • +1
      Виртуальный Клондайк ;)
  • 0
    Интересно смысл воровать wallet.dat, если он в 99% зашифрован?
    • 0
      Ради оставшегося 1%.
    • +1
      Скорее в 1% зашифрован.

      Или почему нельзя украсть и ключи сразу?
  • –36
    Если написан на Visual Basic — бояться нечего. Обычные школьники.
    • –32
      Или, учитывая что Visual basic — Microsoft, Skype-Microsoft, Бил решил подзаработать опять не честно
      • +12
        О да, а ещё все это хозяйство работает только на процессорах Intel и AMD — заговор налицо =)
        • –4
          Я же в шутку
          • +8
            image
  • +2
    Интересно когда админы начнут сами писать и сознательно заражать все компы в конторе))) Если уже не начали)))
    • 0
      Если будет возможность удаленно управлять нагрузкой, оставляя юзерам 20-30% ресурсов, этож сколько парни накачают, пока СБшники и руководство поймут почему выросли расходы на электричество)))
      • 0
        Не надо никаких 20-30% оставлять. Достаточно запускать процесс с приоритетом idle и на работу пользователя майнинг вообще влиять не будет.
        • 0
          можно потоков делать меньше чем ядер и будет вполне себе нормально работать
  • +4
    Похоже, правда школьники писали. Ну смысл писать вирус, который будет грузить проц на 100%? Зараженные на следующий же день обратятся к другу-админу, который все снесет и установит заново.
    Нужно было бы все переносить на GPU, чтобы хотя бы при обычном серфе инета не было диких тормозов.
    • +3
      Так у него, может, приоритет стоит Idle как у BOINC'овских клиентов.
      • 0
        Хммм… вообще аргумент, да. Хотя все равно куда выгоднее считать на GPU.
    • 0
      GPU гудением СО привлек бы внимание едва не быстрее чем тормоза системы. Надо просто не на 100% загружать. Учитывая сколько сейчас у процессоров ядер, выделить под это половину, среднестатистический юзер и не заметит.
      • 0
        Плохая идея, на ноутбуке вентилятор будет шуметь и это будет заметно.
        • 0
          На ноутбуках практически любая нагрузка выше среднего будет заметна
    • НЛО прилетело и опубликовало эту надпись здесь
  • +4
    А потом антивирусы на безобидные майнеры, большая часть из которых с открытыми исходниками, начинают орать резаной свиньей и грозить апокалипсисом, если срочно его не удалить, не продлить лицензию и не одеть шапочку из фольги.

    Правильно, чего свое время тратить на анализ присланного и вычленения действительно вредоносных модулей.
  • +1
    Трояна-майнера ловил и я. Заметил по загрузке GPU в MSI Afterburner и шуму.
    • 0
      Кстати, это лишнее напоминание — кошелек Bitcoin с паролем нужно держать на выключенной виртуальной машине.
      • +1
        Если кошелек только для хранения, то можно вообще командой DumpPrivKey вытащить ключ из wallet.dat, распечатать его или зазубрить и кошелек с виртуалкой уничтожить. Понадобиться снять средства — ключ импортируется в любой кошелек, и после рескана можно будет пользоваться средствами на этом адресе.
        • 0
          При этом слать деньги на соответствующий адрес можно спокойно, после синхронизации всё увидите. Для накопления биткоинов — очень даже вариант.
  • 0
    А это не приводит к инфляции?
    • 0
      масштаб майнинга биткоинов поистине огромен сейчас. цпу майнер дает в 20-100 раз меньше чем гпу майнер, и в сотни / тысячи раз меньше чем асики.
    • 0
      Напротив, приводит к дефляции.
    • +1
      Нет, не приводит. Количество эмитируемых монет практически не зависит от вливания мощностей, сложность пересчитывается каждые 2016 блоков.
      • 0
        Мощность здесь вообще ни при чем. Любая эмиссия во всех криптовалютах (включая биткоин и форки) увеличивает дефляцию этих валют. Это их фундаментальный прицип.
        • +2
          Вообще ответ был на сообщение imater. И
          Любая эмиссия во всех криптовалютах (включая биткоин и форки) увеличивает дефляцию этих валют
          у меня вызывает жесточайшее логическое противоречие) Думаю, не только у меня.
          • 0
            И в чем вы видите логическое противоречие? На вопрос:
            А это не приводит к инфляции?

            Я ответил, что приводит к дефляции.
            Вы ответили что не приводит и я это опроверг. Где противоречие и с чем?
            • +2
              Как может эмиссия валюты приводить к дефляции? К дефляции на данный момент приводит как раз затруднение участия в эмиссии (майнинга).
              • –2
                Эмиссия приводит к дефляции, поскольку в саму идею валюты заложен этот механизм. Возможное количество «монет» ограничено 21000000. В настоящее время сгенерировано (эмитировано) примерно половина монет. В 2140 году будет эмитирована последняя «монета», их количество составит 21000000 и эмиссия прекратится. Таким образом выпуск новых монет (эмиссия) приводит не к инфляции а к дефляции валюты.
                • +2
                  Ну, и каким образом это связано с дефляцией-то? Дефляция = рост цены валюты. Каким образом эмиссия влияет на курс биткоина?
                  • –1
                    С дефляцией это связано прямо. Чем — больше «монет» эмитировано, тем выше их цена, поскольку запас «монет» доступных для эмиссии сокращается. Понятие курса и цены валюты несколько разные вещи. Корректнее говорить не о курсовой цене, а о покупательной способности (или стоимости).
                    • +1
                      Ну, поскольку биткоин пока не обязателен к приёму нигде, то его покупательная способность характеризуется исключительно курсом.
                      • 0
                        Согласен. Но на биржевой курс влияет и «стоимость эмиссии». Когда вознаграждение за блок составляло 50 BTC максимальное значение курса составляло 3X$. После снижения вознаграждения до 25BTC за блок (что, кстати, напрямую связано с дефляционным механизмом, заложенным в идею и алгоритмы биткоина) курс вырос до 14X$. Я согласен что на рост курса повлияло и множество других факторов (включая и «офшорный» кризис), но, тем не менее, на сегодня мы имеем курс 14X$.
                        Дефляция, вместе с тем, в строго экономической терминологии обозначает искусственное изъятие из обращения избыточной денежной массы. А рост покупательной способности и снижение индекса цен являеются уже следствием этого процесса.
                        • +1
                          влияет и «стоимость эмиссии»
                          Я это и писал: «затруднение участия в эмиссии (майнинга).» — это и есть увеличение стоимости эмиссии. Сама-то эмиссия не меняется и вообще практически ни от чего не зависит.
                          Дефляция, вместе с тем, в строго экономической терминологии обозначает искусственное изъятие из обращения избыточной денежной массы.
                          Откуда у вас такое определение?
                          • 0
                            Эмиссия зависит от мощности сети, которая, в свою очередь, регулируется параметром сложности (тот самый пересчет каждые 2016 блоков). Очевидно что чем выше сложность, тем труднее (и дороже) сам процесс эмиссии. Что влечет к «удорожанию» валюты на бирже (майнерам необходимо окупить затраченные ресурсы). Помимо майнеров других источников новых «монет» не существует. Отсюда рост стоимости валюты.
                            Откуда у вас такое определение?

                            Словари «Борисов А.Б. Большой экономический словарь. — М.: Книжный мир, 2003», «Райзберг Б. А., Лозовский Л. Ш., Стародубцева Е. Б. Современный экономический словарь. 5-е изд. — М.: ИНФРА-М, 2007»

                            • 0
                              мощности сети, которая, в свою очередь, регулируется параметром сложности
                              Заранее извиняюсь за, возможно, глупые вопросы, но что тогда такое «мощность сети», если её можно регулировать параметром сложности? То есть, это не совокупная вычислительная мощность?
                              • 0
                                Регулируется не совокупная вычислительная мощность сети майнеров, а скорость генерации блоков этой сетью. Для предотвращения изменения скорости генерации блоков (блок стандартно генерируется в процессе ралли всех участников сети один раз в 10 минут) в алгоритм генерации введен динамический параметр сложности. С его помощью достигается неизменная скорость генерации блоков. Пересчет этого параметра производится после генерации каждых 2016 блоков.
                                • +2
                                  Направление мысли верное, но есть некоторая каша в понятиях. Попробую расставить все по местам.

                                  Факт 1. Мощность сети не регулируется сложностью. Эмиссия слабо зависит от мощности сети. Как сложность может заставить меня включать или не включать майнер? Сложность регулирует скорость эмиссии, пересчитываясь каждые 2016 блоков в зависимости от мощности сети в ту или иную сторону. А не наоборот. Эмиссия зависит от мощности сети только если есть постоянный устойчивый тренд. То есть если мощность постоянно повышается, то даже при пересчетах будет находиться немного больше блоков за какой-то промежуток времени, чем положено. Обычно это компенсируется колебаниями мощности.

                                  Факт 2. Эмиссия не приводит к дефляции. К дефляции приводит понимание ограниченности эмиссии.
  • +1
    Ладно еще сами установили… Но сейчас стало модным пихать майнеры в альтернативные сборки Win!
    Действительно лихорадка биткоинов…
    • +2
      А хорошая идея, в инсталяторе фриварной чудо-утилиты и внизу чекбокс «Поставить также» и там вместо какого-нибудь бара, майнер.
      • 0
        для того, кто ставит на обычную машину — пользы чуть, а для того, чей майнер ставится на тысячи таких машин… ;)
        • +1
          В том и суть — майнер будет работать в пользу разработчика утилиты.
  • 0
    Так по ссылке можно перейти или лучше не стоит?
    • 0
      Поздно, содержимое удалили уже в момент публикации статьи
  • 0
    Уверен на 99%, что этот майнер не заработает на офисных встроенных интелах. Профит!
  • 0
    Интересно, почему майнят bitcoin, вроде бы, выгоднее щас майнить лайты или неймы.
  • 0
    Сам троян написан на Visual Basic

    В вузах начали проходить простейшие языки :) Значит дальше в планах Delphi, а уж потом, возможно, начнётся что-то интересно :)
    Ничего нового в трояне не увидел, разве что поменяли способ рассылки «кликни меня/открой меня».
  • 0
    Жесть. Была у меня идея на все ~250 машинок что я админю поставить майнер, но в корпоративной сетке у нас ещё своя IT секьюрити, а это уже чревато. Вторая идея была как раз про малварь под биткойн-майнинг.

    У меня ко всем читающим вопрос: какова гарантия что отдельно взятый майнер занимается именно майнингом биткойнов для вас, а не является частью ботнета распределительных вычислений например? Так же, если ядер больше чем одно, он может делать и то и другое одновременно? Особенно если оный майнер не опенсорс?
    • 0
      Весь приличный софт, касающийся криптовалют — опенсорс, остальное считают скамом по дефолту. Ну и bitcointalks надо почитать, скорее всего увидите гору отзывов на заинтересовавшую софтину. Если нет — то либо смотреть самому, либо ждать что-то другое. В общем, всё как обычно с опенсорсом.
  • 0
    Вот этот параграф в оригинале
    >Goo.gl short URL service shows that at the moment there are more than 170k clicks on the malicious URL and only 1 hour ago there were around 160k clicks. It means the campaign is quite active with around 10k clicks per hour or with 2.7 clicks per second!

    переведён как:

    «По состоянию на 4 апреля интенсивность перехода по ней составляла почти 3 клика в секунду, а общее число кликов — около 170к!»

    Остальной перевод такой же?
  • 0
    Появился новый троян, распространяется по похожей системе.
    Заражённый абонент рассылает всем сообщение:
    Когда в последний раз вы видели эту фотографию?
    goo.gl/r4DV7?foto-index=[ваш_ник]:P

    Статистика кликов ссылки — goo.gl/#analytics/goo.gl/r4DV7/all_time, 130 тысяч кликов за 5 дней, начало распостранение — 3 июля 2013.
    Ссылка ведёт на lojasacredinorte.com.br/quickshop/facebook.html
    По ссылке автоматически скачивается Skype.facebook_photos.07.08.2013.zip с exe внутри ( www.virustotal.com/ru/file/96c038a6a1d1634daded226b61944cb6350e57e21dfb6fa843ac833480ac4268/analysis/1373290569/ ), который на сегодня никем ещё не определяется, кроме Kaspersky UDS:DangerousObject.Multi.Generic, Malwarebytes Rootkit.0Access.ED и Panda Suspicious file.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.