Вредоносный софт, который захватывает процессор вашего компьютера, чтобы использовать его для майнинга криптовалют, пока вы бродите по интернету или просматриваете YouTube, становится довольно распространённым источником неприятностей. Это явление уже получило устоявшееся название — криптоджекинг. Обычно избавиться от программ, которые тайно майнят Monero, довольно просто: достаточно закрыть браузер.
Однако теперь обнаружен новый, более агрессивный вредоносный софт, который может испортить ваш компьютер, если вы обнаружите непрошеного гостя и попробуете его удалить.
Исследователи из компании 360 Total Security сообщили, что вредоносная программа под названием WinstarNssmMiner попыталась заразить почти 500 000 компьютеров всего за три дня через email и заражённые веб-сайты.
После загрузки программа запускает скрипт svchost.exe, который будет управлять базовыми функциями операционной системы компьютера. Затем вредоносная программа также внедряет скрипт, который позволяет майнеру работать в фоновом режиме, не обнаруживая себя.
После успешного завершения этой работы WinstarNssmMiner вмешивается в функцию ПК под названием CriticalProcess, чтобы вредоносная программа могла разрушить систему тогда, когда захочет.
Перед установкой WinstarNssmMiner сканирует компьютер на наличие антивирусного программного обеспечения. ZDNet сообщает, что если на компьютере установлены Avast, Kaspersky или антивирусные программы других авторитетных компаний, то WinstarNssmMiner прекращает попытки внедриться в такую систему.
Если ваш компьютер защищён сомнительным антивирусным софтом или вообще не имеет такой защиты, вредоносное ПО будет пытаться полностью использовать ваш процессор и агрессивно реагировать на попытки удаления:
Некоторые опытные пользователи могут идентифицировать вредоносный софт и пытаться прекратить его работу. Однако WinstarNssmMiner защищает себя, привязывая атрибуты майнингового процесса к функции CriticalProcess, чтобы заражённые компьютеры выходили из строя при попытке прерывания работы вредоносной программы.
Here's how to use @publicww to find websites running #cryptojacking malware such as:#Coinhive
Crypto-Loot
CoinImp
Minr
deepMinerhttps://t.co/UnOe14kHKN— Bad Packets by Okta (@bad_packets) February 8, 2018
Вот как нужно использовать @publicww для поиска сайтов, на которых есть вредоносные программы: Coinhive, Crypto-Loot, CoinImp, Minr [ссылка].
17 мая ZDNet сообщила, что WinstarNssmMiner уже заработал 133 Monero, что эквивалентно $26 500. По неуточнённым данным, вредоносная программа связана с четырьмя майнинговыми пулами.