BTC
$83,954.29
+
0.42%
ETH
$1,583.65
-
0.25%
USDT
$0.9999
+
0.01%
XRP
$2.0743
-
0.55%
BNB
$582.05
-
0.15%
SOL
$130.04
+
3.22%
USDC
$0.9999
-
0.00%
TRX
$0.2448
-
3.04%
DOGE
$0.1552
+
0.02%
ADA
$0.6124
+
0.34%
LEO
$9.4430
+
0.86%
LINK
$12.37
+
0.45%
AVAX
$18.98
+
0.74%
TON
$2.9173
+
1.04%
XLM
$0.2360
-
0.12%
SHIB
$0.0₄1186
+
1.13%
SUI
$2.0712
-
1.06%
HBAR
$0.1566
-
0.72%
BCH
$326.43
+
1.95%
LTC
$74.06
-
2.48%
Зарегистрироваться
Выберите язык
Русский ruУкраїнська ukEnglish enItaliano itFrançais frEspañol esFilipino filPortuguês pt-br
Logo
Рынки
Поделиться этой статьей

Новый вредоносный майнер скрытно прячется, когда открыт диспетчер задач

Знакомьтесь с «Norman» — новым вариантом вредоносного ПО для майнинга Monero, которое использует хитрые уловки, чтобы его не обнаружили.

Автор Daniel Palmer
Обновлено 13 сент. 2021 г., 11:20 a.m. Опубликовано 15 авг. 2019 г., 1:30 p.m. Переведено ИИ

Знакомьтесь с «Norman» — новым вариантом вредоносного ПО для майнинга Monero, которое использует хитрые уловки, чтобы его не обнаружили.

Вредоносный код былидентифицировано Исследователи из компании Varonis, занимающейся безопасностью данных, расследуют заражение криптомайнерами «компании среднего размера».

Продолжение Читайте Ниже
Не пропустите другую историю.Подпишитесь на рассылку Crypto for Advisors сегодня. Просмотреть все рассылки
Подписавшись, вы будете получать электронные письма о продуктах CoinDesk и соглашаетесь с нашим правила пользования и политика конфиденциальности.

«Почти каждый сервер и рабочая станция были заражены вредоносным ПО. Большинство из них представляли собой универсальные версии криптомайнеров. Некоторые из них представляли собой инструменты для сброса паролей, некоторые — скрытые PHP-оболочки, а некоторые присутствовали в течение нескольких лет», — заявила фирма.

Однако ONE шахтер выделялся среди остальных — Норман, как его окрестила команда.

Полезная нагрузка Нормана имеет две основные функции: запуск криптомайнера на базе XMRig и избежание обнаружения.

После внедрения он перезаписывает свою запись в explorer.exe, чтобы скрыть доказательства своего присутствия. Он также останавливает работу майнера, когда пользователь ПК открывает диспетчер задач (см. изображение ниже). Повторное внедрение себя, когда диспетчер задач не запущен.

нормандский

Майнерский элемент вредоносной программы основан на общедоступном коде XMRig.размещено на GitHibОднако Varonis обнаружил, что его адрес Monero (XMR) заблокирован майнинговым пулом, с которым он связан, и, следовательно, фактически отключен.

Исследователи также обнаружили PHP-оболочку, возможно, связанную с Норманом, которая «постоянно подключается к командно-контрольному серверу (C&C)».Веб-оболочкимогут разрешить удаленный доступ к системе, на которой они установлены.

Однако команда обнаружила, что при запуске кода он вошел в цикл ожидания команд, и на момент написания статьи ни одна не была получена.

В отчете также отмечается, что Норман мог быть создан во Франции или франкоговорящей стране. «Файл SFX имел комментарии на французском языке, которые указывают на то, что автор использовал французскую версию WinRAR для создания файла», — сказал Варонис.

Совет:ТЯО

Кот в коробкеизображение через Shutterstock; анимация gif через Варонис

SecurityMalwareMiningNewsMonero
Daniel Palmer

Ранее ONE из самых долгосрочных Авторы CoinDesk, а теперь ONE из наших редакторов новостей, Дэниел написал более 750 историй для сайта. Когда он не пишет и не редактирует, он любит делать керамику.

Дэниел владеет небольшими суммами BTC и ETH (см.: Редакционная Политика).

Picture of CoinDesk author Daniel Palmer