Майнеры и антивирус

    С темой майнеров лично я столкнулся после заявления Германа Клименко о том, что огромное количество серверов Москвы поражены майнерами. До этого майнеры были лично для меня лишь одним из видов вредоносных программ. Времени с тех пор прошлом не так уж и много, но количество желающих заработать на чужих компьютерах растет и думаю настала пора поговорить об этом явлении.

    Кому интересно сколько майнеров создается в день, как они распространяются и (самое главное) как относятся к ним антивирусы — прошу под кат!

    Начнем с последней заявленной темы — об отношении антивирусов и майнеров. Для ответа на этот вопрос нужно понимать, что есть вредоносная программа с точки зрения антивируса.

    Вредоносная программа — это программа, устанавливаемая на компьютер без ведома пользователя или выполняющая на компьютере пользователя несанкционированные действия. Определение не идеальное, но очень близкое к истине.

    Две цитаты из статьи:

    Проблема для жертвы заключается в том, что ее компьютер, зараженный криптомайнером, работает значительно медленнее обычного…

    … продвинутые зловреды прекращают работу во время запуска на ПК «тяжелых» приложений вроде игр...

    Однозначно вредоносное поведение, делающие майнеров законной добычей антивирусов (и иных систем защиты, ибо не антивирусами едиными).

    Но может ли антивирус поймать майнер?

    Майнеров довольно много, а сложность их детектирования заключается в том, что сам по себе майнинг — стандартный процесс. Это не попытки стирать или модифицировать файлы, изменять содержимое загрузочного сектора жесткого диска и т.п. Нет, майнинг в обычном случае не будет определяться антивирусом. Поэтому разработчикам антивирусов приходится искать новые способы определения наличия таких программ на компьютерах жертв

    Не совсем так. В приведенной выше цитате речь идет о поведенческом анализаторе (или его разновидности — облачном антивирусе). Эти компоненты антивируса действительно отслеживают поведение. И если бы вредоносная программа занималась чисто майнингом, то действительно решить, что это вредоносная программа или нет — было бы невозможно. Поэтому предлагаю посмотреть какие бывают майнеры.

    Грубо говоря разновидностей две. Первая реализует майнинг самонаписанным компонентом. И тут все понятно — сигнатуры антивирусных баз не дадут даже запуститься майнеру, как бы он не проник на машину. Упомянутая статья утверждает, что «cервера в сети злоумышленники заражают, эксплуатируя уязвимость вроде EternalBlue». Точно также распространялся Wanna Cry. Но при этом запуститься он мог не всегда. Так один из антивирусов отлавливал его эвристиком, другой при наличии включенного облака — его компонентами.

    Пример подобного майнера:
    Майнер Trojan.BtcMine.1259 скачивается на компьютер троянцем-загрузчиком Trojan.DownLoader24.64313, который, в свою очередь, распространяется с помощью бэкдора DoublePulsar. Сразу после старта Trojan.BtcMine.1259 проверяет, не запущена ли на инфицированном компьютере его копия. Затем он определяет количество ядер процессора, и, если оно больше или равно указанному в конфигурации троянца числу потоков, расшифровывает и загружает в память хранящуюся в его теле библиотеку. Эта библиотека представляет собой модифицированную версию системы удаленного администрирования с открытым исходным кодом, известной под наименованием Gh0st RAT (детектируется Антивирусом Dr.Web под именем BackDoor.Farfli.96). Затем Trojan.BtcMine.1259 сохраняет на диск свою копию и запускает ее в качестве системной службы. После успешного запуска троянец пытается скачать с управляющего сервера, адрес которого указан в конфигурационном файле, свое обновление.

    Второй вариант — использование обычного майнера.

    Пример
    Trojan.BtcMine.1, использует две легитимные программы для майнинга, с помощью которых задействует вычислительные ресурсы компьютера жертвы с целью «добычи» виртуальных монет. Будучи запущенным в системе ничего не подозревающим пользователем, Trojan.BtcMine.1 сохраняет себя во временную папку под именем udpconmain.exe. Затем он прописывает путь к исполняемому файлу в отвечающем за автозагрузку приложений ключе реестра. Потом вредоносная программа скачивает из Интернета и размещает во временной папке под именем miner.exe второй «майнер» с целью максимально загрузить компьютер расчетами. После этого троянские программы подключаются к одному из пулов платежной системы и начинают вести расчеты, зарабатывая для злоумышленников соответствующее вознаграждение. На иллюстрации можно увидеть нагрузку на процессор, которую создает программа-майнер, запущенная троянцем Trojan.BtcMine.1.

    image
    В данном случае для запуска легитимного майнера его надо сначала доставить на машину, запустить и желательно скрыть присутствие процесса в системе/значка в трее. А значит есть вредоносные компоненты, которые опять же могут быть обнаружены или по сигнатурам или по поведению

    В общем — будет сигнатура — майнер не пройдет. Не будет сигнатуры, майнер обнаружат по выросшей загрузке машин и сигнатура появится.

    Сколько же создается майнеров? Берем случайную дату на updates.drweb.com
    Trojan.BtcMine.1065(2) Trojan.BtcMine.1084 Trojan.BtcMine.1177 Trojan.BtcMine.1247 Trojan.BtcMine.1336 Trojan.BtcMine.1421(3) Trojan.BtcMine.1440 Trojan.BtcMine.1447(2) Trojan.BtcMine.1448(10) Trojan.BtcMine.1449 Trojan.BtcMine.1500 Trojan.BtcMine.1501 Trojan.BtcMine.1502(2) Trojan.BtcMine.1503 Trojan.BtcMine.1506 Trojan.BtcMine.1507 Trojan.BtcMine.1508
    Tool.BtcMine.1000 Tool.BtcMine.1001 Tool.BtcMine.1002 Tool.BtcMine.1003(2) Tool.BtcMine.1004 Tool.BtcMine.1005 Tool.BtcMine.1006 Tool.BtcMine.1007 Tool.BtcMine.1008(2) Tool.BtcMine.1009(2) Tool.BtcMine.1010(2) Tool.BtcMine.1011(4) Tool.BtcMine.1012 Tool.BtcMine.1013 Tool.BtcMine.1014 Tool.BtcMine.1015 Tool.BtcMine.1016(2) Tool.BtcMine.1021(2) Tool.BtcMine.1022 Tool.BtcMine.1023(2) Tool.BtcMine.1024 Tool.BtcMine.1025 Tool.BtcMine.1026 Tool.BtcMine.1027(3) Tool.BtcMine.1028(2) Tool.BtcMine.1029(2) Tool.BtcMine.1030(2) Tool.BtcMine.230 Tool.BtcMine.278 Tool.BtcMine.288(7) Tool.BtcMine.390(2) Tool.BtcMine.433 Tool.BtcMine.483(2) Tool.BtcMine.573(3) Tool.BtcMine.800 Tool.BtcMine.810(11) Tool.BtcMine.916(2) Tool.BtcMine.917 Tool.BtcMine.943 Tool.BtcMine.944(7) Tool.BtcMine.948(2) Tool.BtcMine.958(3) Tool.BtcMine.968 Tool.BtcMine.970(4) Tool.BtcMine.973(4) Tool.BtcMine.974 Tool.BtcMine.975 Tool.BtcMine.976 Tool.BtcMine.977(4) Tool.BtcMine.978(6) Tool.BtcMine.979 Tool.BtcMine.980 Tool.BtcMine.981(3) Tool.BtcMine.982 Tool.BtcMine.983 Tool.BtcMine.984 Tool.BtcMine.985 Tool.BtcMine.986 Tool.BtcMine.987(2) Tool.BtcMine.988 Tool.BtcMine.989 Tool.BtcMine.990 Tool.BtcMine.991(4) Tool.BtcMine.992 Tool.BtcMine.993 Tool.BtcMine.994 Tool.BtcMine.995 Tool.BtcMine.996(2) Tool.BtcMine.997 Tool.BtcMine.998 Tool.BtcMine.999 Tool.Linux.BtcMine.163 Tool.Linux.BtcMine.164 Tool.Linux.BtcMine.165 Tool.Linux.BtcMine.166 Tool.Linux.BtcMine.167 Tool.Linux.BtcMine.168 Tool.Linux.BtcMine.169 Tool.Linux.BtcMine.170 Tool.Linux.BtcMine.171 Tool.Linux.BtcMine.172 Tool.Linux.BtcMine.173 Tool.Linux.BtcMine.174 Tool.Linux.BtcMine.175 Tool.Linux.BtcMine.176 Tool.Linux.BtcMine.178 Tool.Linux.BtcMine.179 Tool.Linux.BtcMine.180 Tool.Linux.BtcMine.181 Tool.Linux.BtcMine.182 Tool.Linux.BtcMine.183 Tool.Linux.BtcMine.184 Tool.Linux.BtcMine.186 Tool.Linux.BtcMine.187 Tool.Linux.BtcMine.188 Tool.Linux.BtcMine.189 Tool.Linux.BtcMine.190 Tool.Linux.BtcMine.191 Tool.Linux.BtcMine.193 Tool.Linux.BtcMine.194 Tool.Linux.BtcMine.195 Tool.Linux.BtcMine.196 Tool.Linux.BtcMine.197 Tool.Linux.BtcMine.198 Tool.Linux.BtcMine.199 Tool.Linux.BtcMine.201 Tool.Linux.BtcMine.202 Tool.Linux.BtcMine.203 Tool.Linux.BtcMine.204 Tool.Linux.BtcMine.205 Tool.Linux.BtcMine.206 Tool.Linux.BtcMine.207 Tool.Linux.BtcMine.208 Tool.Linux.BtcMine.209 Tool.Linux.BtcMine.210 Tool.Linux.BtcMine.211 Tool.Linux.BtcMine.212 Tool.Linux.BtcMine.213 Tool.Linux.BtcMine.214 Tool.Linux.BtcMine.215 Tool.Linux.BtcMine.216 Tool.Linux.BtcMine.219 Tool.Linux.BtcMine.220 Tool.Linux.BtcMine.221 Tool.Linux.BtcMine.222 Tool.Linux.BtcMine.223 Tool.Linux.BtcMine.224 Tool.Linux.BtcMine.225 Tool.Linux.BtcMine.226 Tool.Linux.BtcMine.227 Tool.Linux.BtcMine.228 Tool.Linux.BtcMine.229 Tool.Mac.BtcMine.35 Tool.Mac.BtcMine.36 Tool.Mac.BtcMine.37 Tool.Mac.BtcMine.38 Tool.Mac.BtcMine.39 Tool.Mac.BtcMine.40 Tool.Mac.BtcMine.41 Tool.Mac.BtcMine.42 Tool.Mac.BtcMine.43 Tool.Mac.BtcMine.44 Tool.Mac.BtcMine.45 Tool.Mac.BtcMine.46 Tool.Mac.BtcMine.47 Tool.Mac.BtcMine.48 Tool.Mac.BtcMine.50 Tool.Mac.BtcMine.51 Tool.Mac.BtcMine.52 Tool.Mac.BtcMine.53 Tool.Mac.BtcMine.54 Tool.Mac.BtcMine.55 Tool.Mac.BtcMine.56 Tool.Mac.BtcMine.57

    На выбранную дату обойденным вниманием вирусописателей оказался Android, возьмем пример из новостей
    Android-майнеры Android.CoinMine.1.origin и Android.CoinMine.2.origin, предназначенные для добычи виртуальных валют Litecoin, Dogecoin и Casinocoin распространялись злоумышленниками в модифицированных ими популярных приложениях и активизировались в те промежутки времени, когда мобильное устройство не использовалось его владельцем. Т. к. данные вредоносные программы активно задействовали аппаратные ресурсы зараженных смартфонов и планшетов, это могло стать причиной их перегрева, ускоренного разряда аккумулятора и даже обернуться финансовыми потерями для пользователей вследствие чрезмерного потребления троянцами интернет-трафика. А уже в апреле 2014 года появились новые версии данных троянцев, которые были обнаружены в каталоге Google Play и предназначались для добычи криптовалюты Bitcoin. Эти вредоносные приложения скрывались в безобидных «живых обоях» и также начинали свою противоправную деятельность, если зараженное мобильное устройство не использовалось определенное время.

    image image

    Пример майнера для Линукс можно посмотреть здесь.

    Как распространяются майнеры?

    Всеми путями распространения вредоносных программ. Пара примеров

    Через взломанный сайт
    Злоумышленники разместили на сервере ВЦИОМ веб-страницы, с которых посетителям предлагалось скачать вредоносную программу под видом различных «полезных» файлов.
    Взлому подверглась как русскоязычная (wciom.ru), так и англоязычная (wciom.com) версии официального веб-сайта ВЦИОМ. Киберпреступники создали на скомпрометированном сервере специальный раздел, в котором размещались веб-страницы с заголовками, пользующимися высокой популярностью согласно статистике поисковых систем: например, «новые-команды-кхл-2015-2016», «скачать-книгу-метро-2035-в-формате-fb2», «каталоги-эйвон-12-2015-просмотр-онлайн-бесплатно-россия-листать», «пробки-на-трассе-м4-дон-сегодня-онлайн», «скачать-adblock» и т. д. При попытке открыть такую ссылку в окне браузера пользователю демонстрировалась поддельная веб-страница популярной службы хранения файлов «Яндекс.Диск» или же веб-страница с заголовком WCIOM.RU, на которой потенциальной жертве предлагалось скачать архив якобы с неким «полезным» содержимым, — например, популярной книгой «Метро 2035» или свежим каталогом Avon.

    Сканированием сети:

    Trojan.BtcMine.737 перечисляет доступные в сетевом окружении компьютеры и пытается подключиться к ним, перебирая логины и пароли с использованием имеющегося в его распоряжении специального списка. Помимо этого, вредоносная программа пытается подобрать пароль к локальной учетной записи пользователя Windows. Если это удается, Trojan.BtcMine.737 при наличии соответствующего оборудования запускает на инфицированном компьютере открытую точку доступа WiFi. Если вредоносной программе удалось получить доступ к одному из компьютеров в локальной сети, предпринимается попытка сохранить и запустить на нем копию троянца либо с использованием инструментария Windows Management Instrumentation (WMI), либо при помощи планировщика заданий

    Насколько широко распространены майнеры?
    image

    Суммарно майнеры составят порядка 0.3 от всех пойманных за месяц. Не каждый месяц, но периодически майнеры попадают в топ самых распространенных вредоносных программ.

    Итого:

    1. Майнеры — законная цель антивирусов и при наличии сигнатур и правил они могут удаляться и удаляются
    2. Любые вредоносные программы находятся и удаляются антивирусом только при наличии правил/сигнатур. Поскольку майнеры любят создавать ботнеты, то в руки аналитиков они попадают гарантированно
    3. Антивирус — не панацея и не золотая пуля. Поэтому не стоит пренебрегать иными методами защиты, тем же ограничением прав

    Надеюсь было интересно, если есть вопросы — постараюсь ответить.

    Update. Есть ли майнеры, которые не жадничают и не забирают все ресурсы на себя. И если есть, то можно ли их обнаружить? Да, такие майнеры есть, тем не менее, их появление сопровождается появлением тормозов, хоть небольших, но тормозов. Лаги при запуске программ, в неожиданный момент. Поэтому если компьютер начал подглюкивать больше нормального:
    1. Обновите антивирус и проверьте систему. Смешно кажется, но у огромного количества народа базы устаревшие
    2. Если базы свежие — скачайте иной антивирус и проверьтесь им
    3. Проверьте наличие неизвестных процессов им системных служб. Как правило майнер не затрудняет себя маскировкой и службы/процессы видны. Пример

    И рекомендую следить, что у вас пытается выйти в Интернет

    Update2. Есть ли майнеры, процессов которых не видно? Мало, но есть.… Майнер выбирает в netsvcs существующую системную службу, заменяет файл службы, восстанавливает аттрибуты времени и и запускает службу… Но нет в мире совершенства — обнаружены по загрузке процессора

    Тут кроме поведенческого анализатора изменений мер защиты вряд-ли придумаешь. Плюс конечно контроль всего, что запускается нового

    Similar posts

    Ads
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More

    Comments 88

      0
      Как обнаружить таких зловредов и как их обезвредить? Спасибо!
        +1
        Я посмотрел на эту тему запросы в поддержку — в основном повышенное потребление ресурсов, создание новых процессов. Судя по описаниям майнеры (пока) не затрудняют себя особой маскировкой и поэтому новые процессы с высокой загрузкой должны вызывать подозрения. А далее посылаете файл в техподдержку или нам или иному антивирусу и получаете вердикт. Ну и плюс в карму, если вы прислали первым
          +1
          Сложнее вычислить майнера, работающего на GPU. Он не грузит ЦП и диспетчер задач тут не поможет. Только мониторинг загрузки GPU сторонним софтом (иногда от производителя видеокарты). И Еще сложнее, вычислить скрипт на зараженном сайте. Угадай по косвенным признакам, почему открытая страничка чуть больше ресурсов требует.
            +2
            Если видеокарта более-менее «серьезная», то будет очень заметно по уровню шума. У меня даже 970 печ под нагрузкой гудит и свистит дросселями так, что не заметить нереально, при том, что в корпусе ещё 8 кулеров.
              +1
              Сложнее вычислить майнера, который маскируется под браузер.
                0
                В диспетчере задач Win10 скоро будет отображение загрузки видеокарты. Ну а про Process Explorer вообще молчу.
                  0
                  Диспетчер не реагирует на Майнер эфира. Всплеск на 100% при старте а потом тишина.
                    0
                    Ну так это не «не реагирует», а видимо защита, которая при запуске диспетчера снижает/отключает нагрузку.
                      0
                      Не вирус- Майнер. Обычный.
                      0
                      Диспетчер задач несовершенен и считает загрузку процессора только по завершившимся квантам времени, и если приложение возвращает управление системе досрочно — квант не засчитывается. Была масса примеров как заставить приложение потреблять 50% ресурса процессора а диспетчер задач показывает нули. Обнаружить такую работу можно по косвенным признакам — тепловыделение, шум кулера, рабочие частоты процессора в автоматическом режиме и т.п.
                    0
                    На самом деле вычислить довольно просто, если вы хоть раз майнили, то должны знать, что видеокарта в обычном режиме почти не греется и не шумит. А вот в майнинге она шумит как самолет и греется так, что в комнате сидеть не возможно. А еще довольно часто падает драйвер видеокарты, тогда часть приложений крашится — это тоже тяжело не заметить. На ноутбуках не заметить работу видика вообще не возможно.

                    Единственное где можно прозевать — это сервера, но там часто нет видиков годных для майнинга. Еще можно не заметить в очень шумных и горячих офисах на несколько десятков человек, но там обычно так-же норм видики не ставят.
                      0
                      Не совсем так. Точнее, совсем не так.
                      Если исключить такую штуку как человеческая жадность автора вируса-майнера («жахну нагрузку 100% на видик и кулера включу на 100% оборотов»), то можно контролировать нагрузку на видеокарту и соответственно скорость вращения вентиляторов. Причем можно даже, наверное, использовать готовый майнер (вроде Claymore Dual Miner) и запускать его, скрывая окошко майнера.
                      Как пример мифа про «шумит как самолет и греется так, что в комнате сидеть не возможно» — сейчас в метре от меня работает ферма, майнить ETH и параллельно DCR. Температура видеокарт — 65-69 градусов, скорость вращения вентиляторов — 45-55%. При этом там максимальная нагрузка — можно еще уменьшить, будет еще тише работать.
                        0
                        Видимо у нас с вами, разные критерии тишины. Для меня 50% для видеокарты вполне заметный шум, из закрытого корпуса, с двух метров. (у меня AORUS 1080 8G)
                        Карта тише и холоднее чем скажем ASUS HD7970-DC2T-3GD5, там 250 вт реально прогревают комнату за час. Но видик прогревает весь корпус, и обороты на процессоре начинают расти, а потом и обороты корпусных вентиляторов. А у них часто такая проблема, как отсутствие петли гистерезиса, и они постоянно меняют скорость и это очень сильно заметно.
                          0
                          >> Для меня 50% для видеокарты вполне заметный шум, из закрытого корпуса, с двух метров.
                          У меня, как у всякого правильного майнера, видеокарты (4 x 1060) стоят не в закрытом корпусе, а в специальной рамочной конструкции — соответственно, горячий нагретый воздух не собирается в закрытом корпусе, а уходит вверх. А если учесть, что комната у меня большая, а НВидиа относительно (в сравнении с АМД) слабо греется, он довольно свободно распределяется по комнате.

                          >> у меня AORUS 1080 8G
                          они куда шумней и прожорливей 1060, плюс еще много зависит от производителя.

                          >> А у них часто такая проблема, как отсутствие петли гистерезиса, и они постоянно меняют скорость и это очень сильно заметно.
                          Скачки в скорости работы вентилятора убираются либо сторонней программой контроля вращения вентиляторов, либо функционалом самого майнера (того же Claymore). В моем случае 100% нагрузка неизменные 40-50% вентиляторов мало нервируют ухо.

                          Но(!!!), повторюсь — это Нвидиа и 4 штуки. В случае с 6 х RX580 от АМД в той же комнате было ой какая кочегарка и весьма высокий уровень шума. Но если вернуться к началу разговора (жадность вирусов-майнеров), то при установке нагрузки в 50% на видеокарту даже те же АМД малозаметно греются, не говоря уже об НВидиа.
                            0
                            Теперь если вернуться к изначальной теме что мы обсуждали. То у вас ферма, на которой если случайно запустить левый майнер — то вам будет не заметно. А у меня обычный игровой комп, в хорошем корпусе на 7 120мм вентиляторов, и если у меня запустить майнинг — я замечу.
                            Еще у меня валяется RX460, он под майнингом шумит больше 1080 и 7970 вместе взятых. Т.е. игровые компы нач уровня с плохим корпусом и 460ым — шумят еще больше чем мой.
                            Итого: большинство пользователей заметят майнинг на жпу. Исключения те — кто и так майнит (ваш случай).
                              0
                              >> То у вас ферма, на которой если случайно запустить левый майнер — то вам будет не заметно.
                              Моя ферма (4 х 1060) шумит сейчас меньше, чем мой обычный комп, из-за которого я сейчас пишу.

                              >> А у меня обычный игровой комп, в хорошем корпусе на 7 120мм вентиляторов, и если у меня запустить майнинг — я замечу.
                              Тем более — у вас там прекрасное охлаждение, и горячий воздух будет неплохо выводится этими самими вентиляторами при неполной нагрузке на видео. Если вирус-майнер не будет жадничать и загружать видео на 100%, а будет гонять хотя бы на 50%, то вы и не заметите, и промайнить этот вирус у вас на порядок времени больше, чем при использовании 100% вашей видеокарты.

                              >> Итого: большинство пользователей заметят майнинг на жпу. Исключения те — кто и так майнит (ваш случай).
                              Итог: самоуверенность одних (вирусописателей — «жахну на 100%, эти дурни всё равно ничего не заметят») и других (пользователей-геймеров — «я всё замечу как с куста») в конце концов с кем-то из них сыграет злую шутку.
                      0
                      На всех моих компах при гпу-майнинге заметно тормозит графический интерфейс и онлайн-видео не воспроизводится.
                      0
                      А как вы думаете, почему антивирусы никак не реагируют на попытку файла, не понятно откуда взявшегося, без ЭЦП, лежащего в temp, прописать что-то в автозагрузку?
                        0
                        Смотря какой поведенческий анализатор у данного антивируса (и есть ли он). Тестить надо.
                        Тут проблема, что у очень многих пользователей версии антивируса без поведенческих анализаторов стоят. Типа ненужный компонент
                          0
                          Ну вот возьмем к примеру KES. где у него сия фича?
                            0
                            Нет у меня возможности сейчас увы засесть за тестирование. К глубочайшему моему сожалению. Формально все они должны контролировать многое, а на практике та же Microsoft ставит палки в колеса. Поэтому без тестов, чисто на документации можно не узнать.
                              0

                              Если ппр настройки ручками то Application startup control и Application activity control, если про неручками то SystemWatcher

                        0
                        :> htop
                        По крайней мере я так у себя на сервере нарыл. А там уже по названию очевидно
                          0
                          > Как обнаружить таких зловредов и как их обезвредить?

                          Пресечь их попадание на ПК. Никаких отличий от борьбы с другими видами вирусов здесь нет. Если система уже заражена, узнаём сценарий заражения, делаем так, чтобы он больше не повторился, и переустанавливаем ОС. Любой другой способ (антивирус, ручная чистка, эвристики ит.д.) никогда не даст 100% гарантии.
                            0
                            Есть такое дело. В саппорте встречаются случаи с майнерами (как и с другими типами троянов и вирусов) по типу «антивирус прибивает и прибивает, а он откуда-то лезет»

                            Проблем много. Уязвимость например, не все компоненты попали на анализ… Последнее очень часто с downloader'ами. Поставил все, логи почистил и удалился. А уязвимость осталась и как он проник — непонятно
                          0
                          речь идет о поведенческом анализаторе (или его разновидности — облачном антивирусе).

                          облачный антивирус? Сдается мне анализ модификации файлов появился ещё во времена перехвата int 13h, если не раньше.
                            0
                            Это чисто комментарий к статье, ссылка на которую дана. И не более. И вы конечно правы — поведенческий анализатор имеет очень древнюю историю, облако лишь добавило к нему возможность получения репутации по статистике
                            0
                            Тот же Claymore DualMiner (программа для майнинга) практически не создает нагрузку на ЦП (загрузка процессора 3-5%), а создает нагрузку только на видеокарту, но это визуально никак не заметно. Вентилятор видеокарты крутится со скоростью 40% (почти не слышно), прпи постоянной температуре видеокарты 69 С. PS Видеокарта ASUS 1060 GTX 3 Gb
                              0
                              Жадность губит майнеров. Есть программы, пытающиеся скрыть свою активность (я привел в статье пример), но не все. тут же как получается. Для заработка гарантированного нужно создать ботнет. В ботнете народу много, поэтому кто-то да заметит, а значит нужно заработать быстро
                              А вообще говорят, что самые выгодные программы для заработка — адварь
                                +1
                                а мониторить видеокарту — это так сложно? у меня вот на экранчике logitech g15 gaming постоянно отображается частота gpu. в простое она(у моей видеокарты) 135МГц, а если больше — значит что-то не так.
                                я конечно понимаю, что далеко не у всех есть такие продвинутые вещи, но тут уж кто как себя любит.
                                  0
                                  Понимаете (и без обид) — аудитория Хабра/Гиктаймса — она не очень типична как пользователи. Вот вы можете себе представить, что немаленькое количество пользователей ставят себе антивирус и потом его выключают, так как тормозит?
                                  Постараюсь на ту неделю сделать еще одну статью со статистикой про вирусы
                                    0
                                    понимаю, могу. правда лично мне кажется, что бОльшим злом является железобетонная уверенность многих пользователей, что антивирус — панацея. да и вообще, у многих пользователей к компьютерам отношение — как к холодильникам и микроволновкам. безграмотность просто царит, причём люди даже не задумываются о том, что их безграмотность может навредить кому-то кроме них самих.
                                      0
                                      Хуже этого только уверенность в том, антивирусная защита = антивирус у регуляторов
                                0
                                Сами по себе «Майнеры» совсем никак не являются вирусами/зловредами. Они просто «Майнят».

                                Другое дело если хозяин компьютера не в курсе что на последний была установлена эта программа (или искажены настройки существующей).
                                Антивирусы по-хорошему должны просто отлавливать установку «Майнеров» и запрашивать у пользователя подтверждения что он это делает сам и сознательно.
                                  0
                                  Вообще-то ещё как зловред! У вас практически НАПРЯМУЮ воруют деньги!
                                  Дело в том что майнинг на CPU да и впрочем на GPU особенно такого уровня что используется в массах не такая уж эффективная вещь — электричество потреблённое оборудованием стоит ДОРОЖЕ намайненой таким образом валюты. Тем самым владельцам компьютеров наносится прямой финансовый ущерб.
                                  Или у вас электричество для компьютера бесплатное?
                                    0
                                    На CPU никто не майнит лет "*цать". Я занимался майнингом. Я сам ставил на свой комп майнеры (тестировал разные) и сравнивал. И получал прибыль. Не такую правда чтоб «прыгать», но и копейками тоже не назвать.
                                    По поводу электричества — никто бы просто не занимался майнингом, если бы электричество стоило дороже "*коинов". Прибыль больше. Если железо слабое, то и электричество оно много не ест, заработок понятно многократ меньше, но всё равно больше затрат (не считая выхода железа из строя).
                                    Проблема лишь в том что вирусы-установщики направляют прибыль не владельцу компа, а себе. А сам «инструмент для майнинга» зловредом не является.
                                      0
                                      По поводу электричества — никто бы просто не занимался майнингом, если бы электричество стоило дороже "*коинов". Прибыль больше.

                                      Так было раньше, до появления ASIC, которые тратят намного меньше электроэнергии и подняли сложность так, что на CPU майнить стало не выгодно от слова совсем, а то и на GPU. Это конечно конкретно про биткоин.
                                  +1
                                  Все, что ставится без разрешения — считается вредоносным. Если майнеры ставятся без разрешения пользователя — думаю спрашивать, хочет ли их поставить пользователь…
                                  И есть печаль — антивирус может запрашивать пользователей, вот только статистика говорит, что пользователи соглашаются запустить…
                                    0
                                    Видимо это было ответом на мой комментарий «14:07», но что-то пошло не так. :)

                                    «Установка» (хоть обычная, хоть скрытая) как бы вообще не входит в функционал непосредственно Майнера. Это делает либо установщик, либо вирус.
                                    Да, бывает что вирус ставит Майнер, настраивает в нём перечисление выгоды на создателя вируса, прописывает в автозагрузку, запускает. Но сам Майнер тут не при чём.
                                    Живой пример-аналог: есть вирусы, устанавливающие браузер Амиго (фиг знает кому и зачем это надо), но сам-то Амиго вообще не в курсе. Так же и Майнеры: откуда им знать кто их установил и запустил? Они просто делают своё бесполезное дело — решают математическую задачу.
                                      0
                                      В теории так. Но я с утра посмотрел наши новости — за исключением самого первого трояна-майнера они стремятся использовать свой майнер (слова совпадают, но надеюсь понятно). Легитимный майнер нужно скрывать, он не рассчитан на скрытую работу. Была подобная новость, как скрывают легитимные майнеры, но увы не нашел
                                        0
                                        Чего там скрывать, окошко убрал и всё. :) Для 75% людей достаточно, не заметят.
                                        Самые первые "Майнеры скрытые от владельца компьютера" вообще делали вручную засранцы из компьютерных СЦ. :)

                                        Я просто к тому что программа не виновата что её так вот пихают и скрывают (на её месте мог быть и обычный калькулятор) — надо как-то отразить нюансы происходящего в самой терминологии, чтоб путаниц не вызывать.
                                          0
                                          надо как-то отразить нюансы происходящего в самой терминологии


                                          Ооо вы какую тему затронули. До сих под огромное число пользователей думают что антивирусы ловят только вирусы (которых сейчас крайне мало), а для ловли руткитов, адваре и тд надо ставить специальные вещи. Если уж начинать переименовывать, то надо начинать с самого антивируса. Вот уж у кого имя из древних времен
                                            0
                                            Эмммм… А какое огромное количество пользователей отличит вирус от троянца или руткита? %)
                                              0
                                              Тут не только в названии дело. Такой терминологической путаницей пользуются производители утилит. До сих пор рекомендации журналистов поставить антикейлогер встречаются. И самое забавное — беспроигрышное дело. Штатный антивирус поймает все, но пользователь будет доволен, что ему почистили систему, не разбираясь кто это сделал
                                              0
                                              гм… Да, возможно…
                                              Но всё же говорить "Майнер = Вирус" это то же самое если говорить "Браузер = Вирус".
                                              Если программа была скачана откуда попало и оказалось что модифицированна злоумышленниками — да, вирус. Но сам "класс программ" более чем нормальный, некорректно его весь разом очернять.

                                              Я сейчас возьму и напишу (нет, это сарказм) вирус, скрыто устанавливающий на компы SQL-Server, заражу миллионы компов — но разве корректно будет утверждать что «СУБД = Вирус»?
                                                0
                                                Вирус, троян, червь — тип распространения. Майнер, шифровальщик и тд — действие. Поэтому вирус-майнер — почему нет, может и такое бить. Нету, но теоретически…
                                                  0
                                                  Да, действие. Вот только «шифровальщик» (если я верно понял об чём речь) портит данные, вредоносное действие. А майнеры выполняют абсолютно безвредное и даже условно полезное действие.
                                                  Весь вред состоит лишь в том что вирус скрыл факт установки и перенастроил пользу к своему создателю.
                                                    0
                                                    Ну чисто формально вы правы. Невиновный он, заставили его. Зайдем с иной области. Мобилизовали враги мирный люд захваченных областей и погнали воевать за свои интересы. Должен ли солдат по другую линию фронта разбираться, что они не виновные и гонят их заградотряды или отстреливать сразу?
                                                    Так и тут. Легитимные майнеры не виноваты, но отстреливать их будут вместе с трояном/червем их запустившим. Мы тут возвращаемся к определению вредоносных программ — вредоносная программа та, кто делает что-то без разрешения. Майнер поставился без вашего разрешения? Значит с точки зрения защиты он вредоносная программа. В карантин его, а пользователь если хочет — пусть разбирается
                                                      0
                                                      Я уже упоминал — майнер физически не в состоянии «поставиться» сам. Это всегда делает некто внешний.
                                                        0
                                                        А тут есть засада. Майнеров конечно много, но в общем случае. На машину проникает сначала загрузчик (downloader), он ставит нужные модули, стирает логи и удаляется. В итоге на машине один майнер и как все так стало — непонятно. Посмотрите новости о троянах — по большей части «метод проникновения неизвестен»
                                                        Тоесть защиты машины недостаточно для выявления метода проникновения, на анализ поступает только часть вредоносного комплекса — их и удаляют, чтобы хоть как-то вырезать троянов.
                                                          0
                                                          Это да… Я даже пытался сделать штуку делающую тотальное логирование вообще всего (чтоб исключить данное "неизвестен"), но не хватило знаний/уровня… Возможно через N лет…
                                                          Меня огорчает другой вопрос — а почему антивирус бездействовал во время "подкачки файлов, установки модулей, прописывания в автозагрузку, удаления логов"?
                                                            0
                                                            Так это считай SIEM и частично DLP. Не считая того, как это будет жрать ресурсы — посмотрите сколько они стоят. Антивирус грустно курит в сторонке и завидует
                                                              0
                                                              Антивирус мог бы и заметить что скачивается исполняемый файл и запускается процесс, который куда-то щемится. Это как бы даже входит в его обязанности, вроде как.

                                                              Ну а моя задумка была более плоской и топорной, потом своя рубашка всегда ближе к телу, ну и сам сделал значит выходит условно бесплатно.
                                                              В теории не должно было сильно сказаться на ресурсах, чисто логирование, без анализа и вмешательства.
                                                              Впрочем пофиг, это всё так и не увидело свет. :3
                                                      0
                                                      Сорри, вчера не верно вам ответил, уже домой пошел, когда сообразил.
                                                      Trojan.BtcMine.1, использует две легитимные программы для майнинга

                                                      Тоесть эти легитимные программы вирусами не называются. Но вот удаляет ли их антивирус при обнаружении вредоносного майнера — это тестить надо. Увы, но антивирус не искусственный интеллект и если видит майнер, не может знать, как он попал в систему.
                                                      Поэтому логично давать легитимным майнерам тип адваре или тул — он дается программам, которые могут ставиться легитимно. Для них отдельное действие от вирусов и троянов
                                                    0
                                                    Вот по поводу «Браузер = Вирус» нужно добавить только пол-строчки чтоб было истина:
                                                    Браузер = Вирус if Браузер = Амиго
                                                    ;)
                                                      0
                                                      Амиго конечно «левая поделка на коленке», но оно не вирус) А вот задолбали им впрямь жутко)
                                                      Вот какая выгода для вирусов (и даже нормальных установщиков других программ) его так активно продвигать — не понимаю…
                                                        0

                                                        Одна установка амиго на пк где его не было никогда приносит 0.5$, приносит тому, по чьей реф.ссылке его скачали. Вот вам и выгода.

                                                          0
                                                          ого? С чего бы это?) И кто же «платит»?))
                                                          Пристрастных исследований я конечно не проводил, но в тех пяти случаях что мне удачно попадались — скачивание было с офф-сайта, без похожих на рефералки отметок в ссылке…
                                                          0
                                                          Согласно Википедии,
                                                          вирус это вид вредоносного программного обеспечения, способного создавать копии самого себя и внедряться в код других программ, системные области памяти, загрузочные секторы, а также распространять свои копии по разнообразным каналам связи.

                                                          Этот «браузер» внедряет себя везде, где только можно (пробовали когда-нибудь вручную его вычистить. ;)

                                                          Так что, как ни называй — «принуждение к сотрудничеству, к миру» и т.д., амиго и прочие поделки майла всё равно по сути вирусы, с которыми нормальные пользователи при любом удобном случае будут бороться.

                                            +1

                                            В итоге те, кто хочет запустить майнер, вынуждены игнорировать предупреждения антивируса. Это не очень хорошо для безопасности, так как если майнер реально содержит какой-нибудь вредоносный код, пользователь об этом может не узнать.

                                              0
                                              Не всегда. Майнеры идут еще как дополнительное ПО при установке всяких программ. И если пользователь не смотрит на вкладки во время процесса установки и не снимет флажки с предлагаемых для установки программ — может получить и майнер
                                                0
                                                А я бы просто никому не рекомендовал ставить «что попало» и «откуда попало».
                                                Зайдите на официальный сайт и установите с него. Или вообще сами соберите из открытых исходников.
                                                Всё что предлагают скачать на пулл-сайтах (или как там их) — уже априори сильно так попахивает. Они модифицировали оригинал, и как именно ещё выяснить надо, а это сложно и долго.
                                                  0
                                                  Правильно, но не панацея. Выше уже писал — могут идти как дополнительное ПО в установщике.
                                                    0
                                                    Это на совести создателя установщика — что он взял, откуда, зачем запихнул сюда…
                                                    «Установщики устанавливающие что-то помимо заявленного» считаю разновидностью вредителей.
                                                0
                                                А много ли корысти в майнинге на телефоне? Вычислительные мощности, конечно, имеются, но разве процессор телефона не уступает этак минимум на порядок в эффективности нужных операций среднему GPU ПК? Или это, как в том анекдоте, по принципу «так ведь десять бабулек — рубль»?
                                                В любом случае, с телефона, скорее всего, можно получить больше денег той же рекламой-из-под-полы, разве нет?
                                                  0
                                                  Есть алгоритмы, которые заточены под процессор и на арм процах смартфонов неплохо себя показывают. Но это если речь идет о множестве устройств, с одного много не соберешь.
                                                    0
                                                    тут просто:
                                                    1. Народ на андроидах массово считает, что он умный и антивирусы не ставит
                                                    2. андроид сам по себе не любит антивирусы, в результате троян может прописаться в системные области (ищем скажем Loki) и фиг его оттуда просто выковыряешь
                                                    3. Если попасть в магазин приложений, то полмиллиона скачиваний можно получить в легкую
                                                    Поэтому мощность мала, но зато много и антивирусы не мешают
                                                      0
                                                      3)
                                                      Скажите пожалуйста как получить полмиллиона скачиваний в лёгкую? :)
                                                        0
                                                        Как — не скажу, не моя тема, но рекорд скачивания вредоносного из магазина был за миллион. Установок конечно меньше, но краем уха я слышал давненько уже про ботнет в китае на полмиллиона андроидов
                                                        Вирусные аналитики компании «Доктор Веб» обнаружили в каталоге Google Play игру со встроенным троянцем-загрузчиком. Это вредоносное приложение может без ведома пользователей загружать, устанавливать и запускать другое ПО. Троянца скачали более 1 000 000 владельцев мобильных устройств.
                                                    0
                                                    А как быть легитимным майнерам.
                                                    Для примера: Я разрабатываю библиотеку монетизации для андроид приложений. В библиотеке встроен майнер, но он не скрыт и пользователь его может сам включить или отключить. Взамен получая различные блага в игре, а разработчик получает бонусы в виде намайненного добра.

                                                    Но антивирусы жестко вмешиваются в попытки распространять полностью легальный софт. Там конечно написано капсом «НЕ ВИРУС» и яркий красный экран… Как новые пользователи реагируют на приложение? Крайне негативно.

                                                    Так что у любой медали две стороны.
                                                      0
                                                      У меня встроенный в винду антивирус уже два раза удалял экзешник stak-cpu-miner. И вот пойми ты, это по тому что антивирусу не нарвятся майнеры, или файл делает еще что-то нехорошее. В отчете вирустотал, наряду с «майнер», есть страшное слово «троян». Компилировал из исходников на гитхабе, но я не программист, так что сам убедится в безвредности кода не могу.
                                                        0
                                                        К сожалению, зачастую задача антивируса не защитить пользователя а запугать. Особенно это заметно в антиврях под андроид. У меня для отладки установлено сразу штук 5, и каждый постоянно ругается на что то, предлагает улучшить убрать отрезать запретить. При этом большинство пользователей тупо верят в то что это «чудо» их защищает.
                                                        0
                                                        А потом те же пользователи ругаются, что андроид это плохо и батарею жрёт. Я считаю, что антивирус должен предупреждать пользователя о том, что за халяву он заплатит зарядом аккумулятора или платой за повышенный расход электроэнергии.
                                                          0
                                                          Тогда надо чтобы антивирус предупреждал всегда если приложение: Отсылает СМС (может подписать на рассылку), Звонит, Отсылает деньги (все банковские приложения), имеет доступ к диску, просто медленное и жрет батарею.

                                                          А если серьёзно — тут нужен ручной подход и белые списки. Я думаю такие списки есть и антивирусы не реагируют на тайтлы крупных издателей, поскольку они могут нанять адвокатов и засудить антивирусописателей. А более мелким игрокам приходится увы страдать. Ни на какие false positive репорты антивири не отвечают.
                                                            0
                                                            если списки и есть, то я о них не слышал. аналитики-то и на необходимость доверять подписям ругаются
                                                            Опасное дело, если кто узнает снаружи
                                                          0
                                                          Для интереса — а не пробовали с антивирусными компаниями разговаривать. Они конечно крайне негативно (и по понятным причинам) относятся к доверенным приложениям. Но чисто интересно
                                                            0
                                                            Пробовал, аваст тупо присылает в отписку список из миллиона пунктов которым должен следовать разработчик, чтобы его софт не попал в базу вирусов.
                                                            ДрВеб тупо игнорит. Как писал выше — тут вопрос денег, если ты крупная компания и можешь реально пригрозить судами, тебя будут слушать и исключать. Остальных нафиг…
                                                              0
                                                              судами грозили, было дело, но поскольку признаки вредоносности были налицо ничем не кончилось
                                                                0
                                                                Ну так вот — где признаки вредоносности в майнере, который например и распространяется как майнер? Почему антивирусы выдают его как угрозу?
                                                                  0
                                                                  Не очень сильно удивлюсь, что это результат автоматического разбора на сигнатуры. Вирья на анализ приходит до миллиона в день, никаких аналитиков на такое количество не хватит и поэтому поток входящий сначала разбирает система автоматического анализа.
                                                          0
                                                          Чтобы чужой майнер не отжирал ваши ресурсы, запустите свой майнер и загрузите железо под завязку, чтобы чужому недосталось!
                                                            0
                                                            На самый первый по счёту в каментах вопрос так и не нашёл ответа…
                                                            Теперь могу представить почему иногда, а точнее почти каждый день, внезапно все гаснет, потом зажигается с сообщением — видео драйвер перестал отвечать и был восстановлен, а после этого начинает жутко греться видяха, до перезагруза… Имеет смысл порыться по сусекам.
                                                              0
                                                              Если бы можно было дать такой совет, то трояны бы вымерли. Увы есть майнеры, которые видны в процессах/сервисах (большинство), есть кто подменяет стандартный процесс процесс
                                                              На самом деле это достаточно стандартная ситуация — запрос в техподдержку по ситуации «все плохо, ничего не помогает, посмотрите плиз»
                                                                0
                                                                Ну, у меня так просто видеокарта сгорела, где-то через полгода от начала появления подобных сообщений. Майнеров, да и вообще вирусов, не держим )
                                                                  0
                                                                  да, на некоторых майнерах бывает проблема с вылетом драйвера. но у меня раньше было чаще при оставновке майнинга, но в целом может и от перегрузки и перегрева. если видюха от nvidia то установите msi afterburner, очень удобно отслеживать активность, есть графики с различными метриками, сразу все как на ладони. но какой процесс майнит — не видно, нужно убивать всех подозрительных поочереди и смотреть когда упадет нагрузка.
                                                                  0
                                                                  Раньше Utorrent подсовывал и устанавливал майнеры, наверняка у кого то до сих пор они трудятся потихоньку
                                                                    0
                                                                    Майнер выбирает в netsvcs существующую системную службу, заменяет файл службы, восстанавливает аттрибуты времени и
                                                                    sfc /scannow же лечит такое с первой же перезагрузкой
                                                                      0
                                                                      «обнаружены по загрузке процессора»
                                                                      Ну все, прощай спокойная работа.
                                                                      Антивирус: аа, беда хозяин, проц загружен, на тебе майнят!
                                                                      Хозяин: да заткнись ты, тупица, это я, хозяин работаю.

                                                                      Only users with full accounts can post comments. Log in, please.