«Доктор Веб» нашел троянца, добывающего Bitcoin

12:47 19.12.2013

|   961 прочтение



Проанализировав код вредоносной программы специалисты смогли выяснить имя злоумышленника и найти его профиль в социальных сетях.

Производитель антивирусного ПО «Доктор Веб» сообщил о появлении вредоносной программы Trojan.BtcMine.218, предназначенной для добычи электронной криптовалюты Bitcoin, и распространяющейся с помощью партнерской программы installmonster.ru. Это уже второй троянец для несанкционированного использования вычислительных ресурсов компьютеров, обнаруженный специалистами компании в декабре 2013 года.

В начале декабря в раздаче этой партнерской программы был замечен файл SmallWeatherSetup.exe, якобы представляющий собой «погодный тулбар». Известно и одноименное вполне безобидное приложение, действительно способное демонстрировать актуальную информацию о погоде, однако вариант, предлагаемый партнерской программой Installmonster.ru, содержит совсем небезопасное «дополнение». В данном случае речь идет о классическом троянце, написанным на макроязыке AutoIt.

Из кода вредоносной программы выяснилось, что пользователь, скрывающийся под псевдонимом Antonio, собрал на Рабочем столе своего компьютера дроппер, включающий два приложения: безобидный «погодный информатор» SmallWeatherSetup.exe и вредоносную программу в файле Install.exe. Приложение Install.exe представляет собой загрузчик основного троянского компонента, который, используя конфигурационный файл в формате XML, скачиваемый с сайта злоумышленников, устанавливает на инфицированный компьютер приложение для добычи криптовалюты. В конфигурационном файле содержится логин пользователя, в чью пользу троянец расходует аппаратные ресурсы компьютера жертвы, — tonycraft. Также специалисты «Доктор Веб» смогли по некоторым данным найти страницу злоумышленника в социальных сетях, где он пытался распространять вредоносную программу.


Теги: Информационная безопасность