Как стать автором
Поиск
Написать публикацию
Обновить

На волне майнинга. Новый вирус распространяемый через Facebook

Время на прочтение1 мин
Количество просмотров19K
Давеча поймали девчата на работе вирусняк забавный, ну как забавный, его запустили, а он сам себя разослал всем контактам. Сам же файл представляет собой архив, с названием типа video_*случайный набор цифт*, а в архиве exe'шник с ютубовской иконкой. И да, вирустотал зеленый.

image

Виновника торжества я конечно же себе закупорил в пробирку виртуалку, для дальнейших опытов, а тем временем почитал новости, где инфа о вирусе уже активно форсилась (Украина).

Самое забавное, что в некоторых заголовках фигурировало что-то в стиле «Как удалить вирус в Facebook», и описывалось что мол нужно поменять пароль и включить двухэтапную аутентификацию (ага, вроде это поможет). Но самых мотивов вируса никто не описывал, ну разослался по друзьям, а кто-то запустил и оно дальше пошло и т.д. и т.п.

В общем на виртуалку (win 7) был установлен Process Monitor и собственно запущен сам вирусняк. После запуска мне выдало что IE не может запустить js скрипт (ха-ха), но зловред не растерялся и запустил хром, попытавшись открыть вкладку с фейсбуком.

В Process Monitor было обнаружено создание новой папки, лежащей на весьма видном месте Users/IEUser/AppData/Roamin/ с какими-то уж больно трендовым названием exe'шника:

image

О, так у нас там еще и JSON есть, заглянем-ка:

image

И так, что мы имеем? Майнер для Monero(криптовалюта), само название майнера XMRig (исходники в открытом доступе на гитхабе).

Собственно если поискать того, на кого это майнится, то можно выйти на гитхаб профиль где видно что юзер не так давно форкал этот майнер, а так же парочку интересных репозиториев, в стиле «ua-parser-js», что определенно складывает кусочки пазла и наводит на определенные мысли.

Подставное ли это лицо или нет, кто знает.

У меня все.
Теги:
Хабы:
Всего голосов 25: ↑23 и ↓2+21
Комментарии24

Публикации

Ближайшие события