ПО для криптовалютного майнинга оказалось вирусом

На сайте японской компании TrendMicro, являющейся разработчиком защитного ПО для серверов, облачных сервисов, рабочих станций и домашних ПК, появилась информация о новом виде вредоносных программ.
security
Речь идет о CoinMiner, который обнаруживается сканерами программ компании как TROJ64_COINMINER.QO. Впервые вредонос был замечен в июле 2017 в Азиатско-Тихоокеанском регионе. На сегодня более всего подвержены угрозе заражения Япония, Индонезия, Таиланд и Тайвань, что не означает, что в других регионах мира не может произойти заражения.

По утверждению специалистов компании, этот криптовалютный майнер представляет серьезную угрозу из-за того, что содержит ряд эффективных функций и производит действия в несколько этапов. Для первичного заражения жертвы используется EternalBlue Exploit MS17-010, который с помощью бэкдора устанавливает сценарии через WMI. Используя C&C сервера, получает инструкции и загружает вредоносные компоненты и саму программу-майнер криптовалюты.

Анализ JScript показал, что при заражении используется сразу несколько уровней серверов C&C, что позволяет быстро обновлять компоненты, изменять загруженные вредоносные файлы и избегать обнаружения. Кроме того, так как WMI – основной компонент Windows, который используется ежедневно, опасность взаимодействия с этим инструментарием выявленного вредоносного ПО становится еще более значимой. Как и всегда, наибольшая опасность грозит устаревшим компьютерам и ПК, на которых используются неактуальные компоненты и антивирусы.