いつものように、マルウェア内のマルウェアの名前がすべて良くないことがわかりました;それは、Trojan-Downloaderクラスに属しているからです。 主なタスクはfileave.comからファイルをダウンロードすることです。 仮想マシンにそれを置いて再生しました。それによって、マシンにアップロードされた通常の悪意のあるゴミの山の中で、1つのsfxアーカイブに注意を払いましたが、結局は無駄ではありませんでした...
自己解凍アーカイブは、リンクhttp_://pasic.fileave.com/BTxDEF.exeからダウンロードされました 。
中身を見て...
内部には、 Hidden Start 3.2プログラム(hstart.exe)があります。これは、
/NOCONSOLE test.bat
したアーカイブスクリプトによって起動され、
/NOCONSOLE test.bat
を密かに実行できます。
バッチファイルにあるものを見て...
btc.mobinil.bizはすでにいくつかの考えにつながっていますが、まだ明確なものはありません。 最後のファイル-taskmgr.exeが残ったが、これは明らかにWindowsタスクマネージャーの下で大きく刈り取られている。
間抜け! ファイルは、ビットコインを生成するように設計されたBitCoin Minerであることがわかりました。 バッチファイルは、パラメータを使用して開始します。
bitcoin-miner [-a seconds] [-g|l yes|no] [-t threads] [-v] [-o url] [-x proxy] -u user -p password
、
どこで
-a #seconds# time between getwork requests 1..60, default 15
-g yes|no set 'no' to disable GPU, default 'yes'
-h this help -l yes|no set 'no' to disable Long-Polling, default 'yes'
-t #threads# Number of threads for CPU mining, by default is number of CPUs (Cores), 0 - disable CPU mining
-v Verbose output
-o url in form server.tld:port/path, by default 127.0.0.1:8332
-x type=host:port Use HTTP or SOCKS proxy.
Thread number should be 0..32
したがって、タイムアウトは5秒、urlはbtc.mobinil.biz:8332 /、ユーザーはredem_guild、パスはredem、2スレッドです。
インターネットにより、BitCoin Minerは未知の利益のために一生懸命働き始めます...
そのため、今ではコンピューターの計算能力がサイバー犯罪者の収益を生み出し始めています。 ユーザーは、たとえばボットネットトラフィックだけでなく、電気代も支払います。世界の反対側ではおじさんがお金を垂れ下がっています。
PS
最も興味深いのは、アーカイブの両方のプログラムが正規のものであり、トロイの木馬は、このすべてのビジネスを起動するバッチファイルとしてしか考えられないということです。KIS2011は、名前なしでKSNを使用してアーカイブ全体を検出します。
更新
現在は、svchost.exeを装っています。 一部のウイルス対策ソフトウェアは、アーカイブ内のバッチファイルを悪意のあるものとして検出し始めました。