11.09.2017 08:53
teecat 81 22300 Источник
С темой майнеров лично я столкнулся после заявления Германа Клименко о том, что огромное количество серверов Москвы поражены майнерами. До этого майнеры были лично для меня лишь одним из видов вредоносных программ. Времени с тех пор прошлом не так уж и много, но количество желающих заработать на чужих компьютерах растет и думаю настала пора поговорить об этом явлении.

Кому интересно сколько майнеров создается в день, как они распространяются и (самое главное) как относятся к ним антивирусы — прошу под кат!

Начнем с последней заявленной темы — об отношении антивирусов и майнеров. Для ответа на этот вопрос нужно понимать, что есть вредоносная программа с точки зрения антивируса.

Вредоносная программа — это программа, устанавливаемая на компьютер без ведома пользователя или выполняющая на компьютере пользователя несанкционированные действия. Определение не идеальное, но очень близкое к истине.

Две цитаты из статьи:

Проблема для жертвы заключается в том, что ее компьютер, зараженный криптомайнером, работает значительно медленнее обычного…

… продвинутые зловреды прекращают работу во время запуска на ПК «тяжелых» приложений вроде игр...

Однозначно вредоносное поведение, делающие майнеров законной добычей антивирусов (и иных систем защиты, ибо не антивирусами едиными).

Но может ли антивирус поймать майнер?

Майнеров довольно много, а сложность их детектирования заключается в том, что сам по себе майнинг — стандартный процесс. Это не попытки стирать или модифицировать файлы, изменять содержимое загрузочного сектора жесткого диска и т.п. Нет, майнинг в обычном случае не будет определяться антивирусом. Поэтому разработчикам антивирусов приходится искать новые способы определения наличия таких программ на компьютерах жертв

Не совсем так. В приведенной выше цитате речь идет о поведенческом анализаторе (или его разновидности — облачном антивирусе). Эти компоненты антивируса действительно отслеживают поведение. И если бы вредоносная программа занималась чисто майнингом, то действительно решить, что это вредоносная программа или нет — было бы невозможно. Поэтому предлагаю посмотреть какие бывают майнеры.

Грубо говоря разновидностей две. Первая реализует майнинг самонаписанным компонентом. И тут все понятно — сигнатуры антивирусных баз не дадут даже запуститься майнеру, как бы он не проник на машину. Упомянутая статья утверждает, что «cервера в сети злоумышленники заражают, эксплуатируя уязвимость вроде EternalBlue». Точно также распространялся Wanna Cry. Но при этом запуститься он мог не всегда. Так один из антивирусов отлавливал его эвристиком, другой при наличии включенного облака — его компонентами.

Пример подобного майнера:
Майнер Trojan.BtcMine.1259 скачивается на компьютер троянцем-загрузчиком Trojan.DownLoader24.64313, который, в свою очередь, распространяется с помощью бэкдора DoublePulsar. Сразу после старта Trojan.BtcMine.1259 проверяет, не запущена ли на инфицированном компьютере его копия. Затем он определяет количество ядер процессора, и, если оно больше или равно указанному в конфигурации троянца числу потоков, расшифровывает и загружает в память хранящуюся в его теле библиотеку. Эта библиотека представляет собой модифицированную версию системы удаленного администрирования с открытым исходным кодом, известной под наименованием Gh0st RAT (детектируется Антивирусом Dr.Web под именем BackDoor.Farfli.96). Затем Trojan.BtcMine.1259 сохраняет на диск свою копию и запускает ее в качестве системной службы. После успешного запуска троянец пытается скачать с управляющего сервера, адрес которого указан в конфигурационном файле, свое обновление.

Второй вариант — использование обычного майнера.

Пример
Trojan.BtcMine.1, использует две легитимные программы для майнинга, с помощью которых задействует вычислительные ресурсы компьютера жертвы с целью «добычи» виртуальных монет. Будучи запущенным в системе ничего не подозревающим пользователем, Trojan.BtcMine.1 сохраняет себя во временную папку под именем udpconmain.exe. Затем он прописывает путь к исполняемому файлу в отвечающем за автозагрузку приложений ключе реестра. Потом вредоносная программа скачивает из Интернета и размещает во временной папке под именем miner.exe второй «майнер» с целью максимально загрузить компьютер расчетами. После этого троянские программы подключаются к одному из пулов платежной системы и начинают вести расчеты, зарабатывая для злоумышленников соответствующее вознаграждение. На иллюстрации можно увидеть нагрузку на процессор, которую создает программа-майнер, запущенная троянцем Trojan.BtcMine.1.

image
В данном случае для запуска легитимного майнера его надо сначала доставить на машину, запустить и желательно скрыть присутствие процесса в системе/значка в трее. А значит есть вредоносные компоненты, которые опять же могут быть обнаружены или по сигнатурам или по поведению

В общем — будет сигнатура — майнер не пройдет. Не будет сигнатуры, майнер обнаружат по выросшей загрузке машин и сигнатура появится.

Сколько же создается майнеров? Берем случайную дату на updates.drweb.com
Trojan.BtcMine.1065(2) Trojan.BtcMine.1084 Trojan.BtcMine.1177 Trojan.BtcMine.1247 Trojan.BtcMine.1336 Trojan.BtcMine.1421(3) Trojan.BtcMine.1440 Trojan.BtcMine.1447(2) Trojan.BtcMine.1448(10) Trojan.BtcMine.1449 Trojan.BtcMine.1500 Trojan.BtcMine.1501 Trojan.BtcMine.1502(2) Trojan.BtcMine.1503 Trojan.BtcMine.1506 Trojan.BtcMine.1507 Trojan.BtcMine.1508
Tool.BtcMine.1000 Tool.BtcMine.1001 Tool.BtcMine.1002 Tool.BtcMine.1003(2) Tool.BtcMine.1004 Tool.BtcMine.1005 Tool.BtcMine.1006 Tool.BtcMine.1007 Tool.BtcMine.1008(2) Tool.BtcMine.1009(2) Tool.BtcMine.1010(2) Tool.BtcMine.1011(4) Tool.BtcMine.1012 Tool.BtcMine.1013 Tool.BtcMine.1014 Tool.BtcMine.1015 Tool.BtcMine.1016(2) Tool.BtcMine.1021(2) Tool.BtcMine.1022 Tool.BtcMine.1023(2) Tool.BtcMine.1024 Tool.BtcMine.1025 Tool.BtcMine.1026 Tool.BtcMine.1027(3) Tool.BtcMine.1028(2) Tool.BtcMine.1029(2) Tool.BtcMine.1030(2) Tool.BtcMine.230 Tool.BtcMine.278 Tool.BtcMine.288(7) Tool.BtcMine.390(2) Tool.BtcMine.433 Tool.BtcMine.483(2) Tool.BtcMine.573(3) Tool.BtcMine.800 Tool.BtcMine.810(11) Tool.BtcMine.916(2) Tool.BtcMine.917 Tool.BtcMine.943 Tool.BtcMine.944(7) Tool.BtcMine.948(2) Tool.BtcMine.958(3) Tool.BtcMine.968 Tool.BtcMine.970(4) Tool.BtcMine.973(4) Tool.BtcMine.974 Tool.BtcMine.975 Tool.BtcMine.976 Tool.BtcMine.977(4) Tool.BtcMine.978(6) Tool.BtcMine.979 Tool.BtcMine.980 Tool.BtcMine.981(3) Tool.BtcMine.982 Tool.BtcMine.983 Tool.BtcMine.984 Tool.BtcMine.985 Tool.BtcMine.986 Tool.BtcMine.987(2) Tool.BtcMine.988 Tool.BtcMine.989 Tool.BtcMine.990 Tool.BtcMine.991(4) Tool.BtcMine.992 Tool.BtcMine.993 Tool.BtcMine.994 Tool.BtcMine.995 Tool.BtcMine.996(2) Tool.BtcMine.997 Tool.BtcMine.998 Tool.BtcMine.999 Tool.Linux.BtcMine.163 Tool.Linux.BtcMine.164 Tool.Linux.BtcMine.165 Tool.Linux.BtcMine.166 Tool.Linux.BtcMine.167 Tool.Linux.BtcMine.168 Tool.Linux.BtcMine.169 Tool.Linux.BtcMine.170 Tool.Linux.BtcMine.171 Tool.Linux.BtcMine.172 Tool.Linux.BtcMine.173 Tool.Linux.BtcMine.174 Tool.Linux.BtcMine.175 Tool.Linux.BtcMine.176 Tool.Linux.BtcMine.178 Tool.Linux.BtcMine.179 Tool.Linux.BtcMine.180 Tool.Linux.BtcMine.181 Tool.Linux.BtcMine.182 Tool.Linux.BtcMine.183 Tool.Linux.BtcMine.184 Tool.Linux.BtcMine.186 Tool.Linux.BtcMine.187 Tool.Linux.BtcMine.188 Tool.Linux.BtcMine.189 Tool.Linux.BtcMine.190 Tool.Linux.BtcMine.191 Tool.Linux.BtcMine.193 Tool.Linux.BtcMine.194 Tool.Linux.BtcMine.195 Tool.Linux.BtcMine.196 Tool.Linux.BtcMine.197 Tool.Linux.BtcMine.198 Tool.Linux.BtcMine.199 Tool.Linux.BtcMine.201 Tool.Linux.BtcMine.202 Tool.Linux.BtcMine.203 Tool.Linux.BtcMine.204 Tool.Linux.BtcMine.205 Tool.Linux.BtcMine.206 Tool.Linux.BtcMine.207 Tool.Linux.BtcMine.208 Tool.Linux.BtcMine.209 Tool.Linux.BtcMine.210 Tool.Linux.BtcMine.211 Tool.Linux.BtcMine.212 Tool.Linux.BtcMine.213 Tool.Linux.BtcMine.214 Tool.Linux.BtcMine.215 Tool.Linux.BtcMine.216 Tool.Linux.BtcMine.219 Tool.Linux.BtcMine.220 Tool.Linux.BtcMine.221 Tool.Linux.BtcMine.222 Tool.Linux.BtcMine.223 Tool.Linux.BtcMine.224 Tool.Linux.BtcMine.225 Tool.Linux.BtcMine.226 Tool.Linux.BtcMine.227 Tool.Linux.BtcMine.228 Tool.Linux.BtcMine.229 Tool.Mac.BtcMine.35 Tool.Mac.BtcMine.36 Tool.Mac.BtcMine.37 Tool.Mac.BtcMine.38 Tool.Mac.BtcMine.39 Tool.Mac.BtcMine.40 Tool.Mac.BtcMine.41 Tool.Mac.BtcMine.42 Tool.Mac.BtcMine.43 Tool.Mac.BtcMine.44 Tool.Mac.BtcMine.45 Tool.Mac.BtcMine.46 Tool.Mac.BtcMine.47 Tool.Mac.BtcMine.48 Tool.Mac.BtcMine.50 Tool.Mac.BtcMine.51 Tool.Mac.BtcMine.52 Tool.Mac.BtcMine.53 Tool.Mac.BtcMine.54 Tool.Mac.BtcMine.55 Tool.Mac.BtcMine.56 Tool.Mac.BtcMine.57

На выбранную дату обойденным вниманием вирусописателей оказался Android, возьмем пример из новостей
Android-майнеры Android.CoinMine.1.origin и Android.CoinMine.2.origin, предназначенные для добычи виртуальных валют Litecoin, Dogecoin и Casinocoin распространялись злоумышленниками в модифицированных ими популярных приложениях и активизировались в те промежутки времени, когда мобильное устройство не использовалось его владельцем. Т. к. данные вредоносные программы активно задействовали аппаратные ресурсы зараженных смартфонов и планшетов, это могло стать причиной их перегрева, ускоренного разряда аккумулятора и даже обернуться финансовыми потерями для пользователей вследствие чрезмерного потребления троянцами интернет-трафика. А уже в апреле 2014 года появились новые версии данных троянцев, которые были обнаружены в каталоге Google Play и предназначались для добычи криптовалюты Bitcoin. Эти вредоносные приложения скрывались в безобидных «живых обоях» и также начинали свою противоправную деятельность, если зараженное мобильное устройство не использовалось определенное время.

image image

Пример майнера для Линукс можно посмотреть здесь.

Как распространяются майнеры?

Всеми путями распространения вредоносных программ. Пара примеров

Через взломанный сайт
Злоумышленники разместили на сервере ВЦИОМ веб-страницы, с которых посетителям предлагалось скачать вредоносную программу под видом различных «полезных» файлов.
Взлому подверглась как русскоязычная (wciom.ru), так и англоязычная (wciom.com) версии официального веб-сайта ВЦИОМ. Киберпреступники создали на скомпрометированном сервере специальный раздел, в котором размещались веб-страницы с заголовками, пользующимися высокой популярностью согласно статистике поисковых систем: например, «новые-команды-кхл-2015-2016», «скачать-книгу-метро-2035-в-формате-fb2», «каталоги-эйвон-12-2015-просмотр-онлайн-бесплатно-россия-листать», «пробки-на-трассе-м4-дон-сегодня-онлайн», «скачать-adblock» и т. д. При попытке открыть такую ссылку в окне браузера пользователю демонстрировалась поддельная веб-страница популярной службы хранения файлов «Яндекс.Диск» или же веб-страница с заголовком WCIOM.RU, на которой потенциальной жертве предлагалось скачать архив якобы с неким «полезным» содержимым, — например, популярной книгой «Метро 2035» или свежим каталогом Avon.

Сканированием сети:

Trojan.BtcMine.737 перечисляет доступные в сетевом окружении компьютеры и пытается подключиться к ним, перебирая логины и пароли с использованием имеющегося в его распоряжении специального списка. Помимо этого, вредоносная программа пытается подобрать пароль к локальной учетной записи пользователя Windows. Если это удается, Trojan.BtcMine.737 при наличии соответствующего оборудования запускает на инфицированном компьютере открытую точку доступа WiFi. Если вредоносной программе удалось получить доступ к одному из компьютеров в локальной сети, предпринимается попытка сохранить и запустить на нем копию троянца либо с использованием инструментария Windows Management Instrumentation (WMI), либо при помощи планировщика заданий

Насколько широко распространены майнеры?
image

Суммарно майнеры составят порядка 0.3 от всех пойманных за месяц. Не каждый месяц, но периодически майнеры попадают в топ самых распространенных вредоносных программ.

Итого:

  1. Майнеры — законная цель антивирусов и при наличии сигнатур и правил они могут удаляться и удаляются
  2. Любые вредоносные программы находятся и удаляются антивирусом только при наличии правил/сигнатур. Поскольку майнеры любят создавать ботнеты, то в руки аналитиков они попадают гарантированно
  3. Антивирус — не панацея и не золотая пуля. Поэтому не стоит пренебрегать иными методами защиты, тем же ограничением прав

Надеюсь было интересно, если есть вопросы — постараюсь ответить.

Update. Есть ли майнеры, которые не жадничают и не забирают все ресурсы на себя. И если есть, то можно ли их обнаружить? Да, такие майнеры есть, тем не менее, их появление сопровождается появлением тормозов, хоть небольших, но тормозов. Лаги при запуске программ, в неожиданный момент. Поэтому если компьютер начал подглюкивать больше нормального:
  1. Обновите антивирус и проверьте систему. Смешно кажется, но у огромного количества народа базы устаревшие
  2. Если базы свежие — скачайте иной антивирус и проверьтесь им
  3. Проверьте наличие неизвестных процессов им системных служб. Как правило майнер не затрудняет себя маскировкой и службы/процессы видны. Пример

И рекомендую следить, что у вас пытается выйти в Интернет

Update2. Есть ли майнеры, процессов которых не видно? Мало, но есть.… Майнер выбирает в netsvcs существующую системную службу, заменяет файл службы, восстанавливает аттрибуты времени и и запускает службу… Но нет в мире совершенства — обнаружены по загрузке процессора

Тут кроме поведенческого анализатора изменений мер защиты вряд-ли придумаешь. Плюс конечно контроль всего, что запускается нового

Комментарии (81)


  1. 4knowledge
    11.09.2017 13:16
    #10305417

    Как обнаружить таких зловредов и как их обезвредить? Спасибо!


    1. teecat Автор
      11.09.2017 13:29
      #10305471
      +1

      Я посмотрел на эту тему запросы в поддержку — в основном повышенное потребление ресурсов, создание новых процессов. Судя по описаниям майнеры (пока) не затрудняют себя особой маскировкой и поэтому новые процессы с высокой загрузкой должны вызывать подозрения. А далее посылаете файл в техподдержку или нам или иному антивирусу и получаете вердикт. Ну и плюс в карму, если вы прислали первым


      1. Tufed
        11.09.2017 14:00
        #10305571
        +1

        Сложнее вычислить майнера, работающего на GPU. Он не грузит ЦП и диспетчер задач тут не поможет. Только мониторинг загрузки GPU сторонним софтом (иногда от производителя видеокарты). И Еще сложнее, вычислить скрипт на зараженном сайте. Угадай по косвенным признакам, почему открытая страничка чуть больше ресурсов требует.


        1. asmrnv777
          11.09.2017 14:23
          #10305621
          +2

          Если видеокарта более-менее «серьезная», то будет очень заметно по уровню шума. У меня даже 970 печ под нагрузкой гудит и свистит дросселями так, что не заметить нереально, при том, что в корпусе ещё 8 кулеров.


        1. Lamaster
          11.09.2017 15:11
          #10305745
          +1

          Сложнее вычислить майнера, который маскируется под браузер.


        1. Theodor
          11.09.2017 15:26
          #10305767

          В диспетчере задач Win10 скоро будет отображение загрузки видеокарты. Ну а про Process Explorer вообще молчу.


          1. fgmatrix
            11.09.2017 16:41
            #10305953

            Диспетчер не реагирует на Майнер эфира. Всплеск на 100% при старте а потом тишина.


            1. Theodor
              11.09.2017 16:57
              #10305993

              Ну так это не «не реагирует», а видимо защита, которая при запуске диспетчера снижает/отключает нагрузку.


              1. fgmatrix
                11.09.2017 17:10
                #10306025

                Не вирус- Майнер. Обычный.


            1. Alexeyslav
              13.09.2017 08:37
              #10309333

              Диспетчер задач несовершенен и считает загрузку процессора только по завершившимся квантам времени, и если приложение возвращает управление системе досрочно — квант не засчитывается. Была масса примеров как заставить приложение потреблять 50% ресурса процессора а диспетчер задач показывает нули. Обнаружить такую работу можно по косвенным признакам — тепловыделение, шум кулера, рабочие частоты процессора в автоматическом режиме и т.п.


        1. u010602
          12.09.2017 00:54
          #10306739

          На самом деле вычислить довольно просто, если вы хоть раз майнили, то должны знать, что видеокарта в обычном режиме почти не греется и не шумит. А вот в майнинге она шумит как самолет и греется так, что в комнате сидеть не возможно. А еще довольно часто падает драйвер видеокарты, тогда часть приложений крашится — это тоже тяжело не заметить. На ноутбуках не заметить работу видика вообще не возможно.

          Единственное где можно прозевать — это сервера, но там часто нет видиков годных для майнинга. Еще можно не заметить в очень шумных и горячих офисах на несколько десятков человек, но там обычно так-же норм видики не ставят.


        1. thealfest
          12.09.2017 10:06
          #10307109

          На всех моих компах при гпу-майнинге заметно тормозит графический интерфейс и онлайн-видео не воспроизводится.


      1. EvgeniyNuAfanasievich
        11.09.2017 14:40
        #10305657

        А как вы думаете, почему антивирусы никак не реагируют на попытку файла, не понятно откуда взявшегося, без ЭЦП, лежащего в temp, прописать что-то в автозагрузку?


        1. teecat Автор
          11.09.2017 14:45
          #10305663

          Смотря какой поведенческий анализатор у данного антивируса (и есть ли он). Тестить надо.
          Тут проблема, что у очень многих пользователей версии антивируса без поведенческих анализаторов стоят. Типа ненужный компонент


          1. EvgeniyNuAfanasievich
            11.09.2017 16:03
            #10305843

            Ну вот возьмем к примеру KES. где у него сия фича?


            1. teecat Автор
              11.09.2017 16:13
              #10305879

              Нет у меня возможности сейчас увы засесть за тестирование. К глубочайшему моему сожалению. Формально все они должны контролировать многое, а на практике та же Microsoft ставит палки в колеса. Поэтому без тестов, чисто на документации можно не узнать.


            1. Kobalt_x
              12.09.2017 06:11
              #10306885

              Если ппр настройки ручками то Application startup control и Application activity control, если про неручками то SystemWatcher


    1. Djeux
      11.09.2017 15:06
      #10305723

      :> htop
      По крайней мере я так у себя на сервере нарыл. А там уже по названию очевидно


    1. Cheater
      11.09.2017 16:56
      #10305991

      > Как обнаружить таких зловредов и как их обезвредить?

      Пресечь их попадание на ПК. Никаких отличий от борьбы с другими видами вирусов здесь нет. Если система уже заражена, узнаём сценарий заражения, делаем так, чтобы он больше не повторился, и переустанавливаем ОС. Любой другой способ (антивирус, ручная чистка, эвристики ит.д.) никогда не даст 100% гарантии.


      1. teecat Автор
        11.09.2017 17:09
        #10306021

        Есть такое дело. В саппорте встречаются случаи с майнерами (как и с другими типами троянов и вирусов) по типу «антивирус прибивает и прибивает, а он откуда-то лезет»

        Проблем много. Уязвимость например, не все компоненты попали на анализ… Последнее очень часто с downloader'ами. Поставил все, логи почистил и удалился. А уязвимость осталась и как он проник — непонятно


  1. Ghost_nsk
    11.09.2017 13:20
    #10305439

    речь идет о поведенческом анализаторе (или его разновидности — облачном антивирусе).

    облачный антивирус? Сдается мне анализ модификации файлов появился ещё во времена перехвата int 13h, если не раньше.


    1. teecat Автор
      11.09.2017 13:32
      #10305491

      Это чисто комментарий к статье, ссылка на которую дана. И не более. И вы конечно правы — поведенческий анализатор имеет очень древнюю историю, облако лишь добавило к нему возможность получения репутации по статистике


  1. alan008
    11.09.2017 13:59
    #10305567

    Тот же Claymore DualMiner (программа для майнинга) практически не создает нагрузку на ЦП (загрузка процессора 3-5%), а создает нагрузку только на видеокарту, но это визуально никак не заметно. Вентилятор видеокарты крутится со скоростью 40% (почти не слышно), прпи постоянной температуре видеокарты 69 С. PS Видеокарта ASUS 1060 GTX 3 Gb


    1. teecat Автор
      11.09.2017 14:05
      #10305581

      Жадность губит майнеров. Есть программы, пытающиеся скрыть свою активность (я привел в статье пример), но не все. тут же как получается. Для заработка гарантированного нужно создать ботнет. В ботнете народу много, поэтому кто-то да заметит, а значит нужно заработать быстро
      А вообще говорят, что самые выгодные программы для заработка — адварь


    1. Hidon
      11.09.2017 14:47
      #10305677
      +1

      а мониторить видеокарту — это так сложно? у меня вот на экранчике logitech g15 gaming постоянно отображается частота gpu. в простое она(у моей видеокарты) 135МГц, а если больше — значит что-то не так.
      я конечно понимаю, что далеко не у всех есть такие продвинутые вещи, но тут уж кто как себя любит.


      1. teecat Автор
        11.09.2017 14:54
        #10305689

        Понимаете (и без обид) — аудитория Хабра/Гиктаймса — она не очень типична как пользователи. Вот вы можете себе представить, что немаленькое количество пользователей ставят себе антивирус и потом его выключают, так как тормозит?
        Постараюсь на ту неделю сделать еще одну статью со статистикой про вирусы


        1. Hidon
          11.09.2017 19:04
          #10306269

          понимаю, могу. правда лично мне кажется, что бОльшим злом является железобетонная уверенность многих пользователей, что антивирус — панацея. да и вообще, у многих пользователей к компьютерам отношение — как к холодильникам и микроволновкам. безграмотность просто царит, причём люди даже не задумываются о том, что их безграмотность может навредить кому-то кроме них самих.


          1. teecat Автор
            12.09.2017 09:56
            #10307081

            Хуже этого только уверенность в том, антивирусная защита = антивирус у регуляторов


  1. MinGW
    11.09.2017 14:07
    #10305589

    Сами по себе «Майнеры» совсем никак не являются вирусами/зловредами. Они просто «Майнят».

    Другое дело если хозяин компьютера не в курсе что на последний была установлена эта программа (или искажены настройки существующей).
    Антивирусы по-хорошему должны просто отлавливать установку «Майнеров» и запрашивать у пользователя подтверждения что он это делает сам и сознательно.


    1. Alexeyslav
      13.09.2017 09:42
      #10309413

      Вообще-то ещё как зловред! У вас практически НАПРЯМУЮ воруют деньги!
      Дело в том что майнинг на CPU да и впрочем на GPU особенно такого уровня что используется в массах не такая уж эффективная вещь — электричество потреблённое оборудованием стоит ДОРОЖЕ намайненой таким образом валюты. Тем самым владельцам компьютеров наносится прямой финансовый ущерб.
      Или у вас электричество для компьютера бесплатное?


      1. MinGW
        14.09.2017 18:10
        #10312785

        На CPU никто не майнит лет "*цать". Я занимался майнингом. Я сам ставил на свой комп майнеры (тестировал разные) и сравнивал. И получал прибыль. Не такую правда чтоб «прыгать», но и копейками тоже не назвать.
        По поводу электричества — никто бы просто не занимался майнингом, если бы электричество стоило дороже "*коинов". Прибыль больше. Если железо слабое, то и электричество оно много не ест, заработок понятно многократ меньше, но всё равно больше затрат (не считая выхода железа из строя).
        Проблема лишь в том что вирусы-установщики направляют прибыль не владельцу компа, а себе. А сам «инструмент для майнинга» зловредом не является.


        1. sumanai
          14.09.2017 22:44
          #10313099

          По поводу электричества — никто бы просто не занимался майнингом, если бы электричество стоило дороже "*коинов". Прибыль больше.

          Так было раньше, до появления ASIC, которые тратят намного меньше электроэнергии и подняли сложность так, что на CPU майнить стало не выгодно от слова совсем, а то и на GPU. Это конечно конкретно про биткоин.


  1. teecat Автор
    11.09.2017 14:10
    #10305597
    +1

    Все, что ставится без разрешения — считается вредоносным. Если майнеры ставятся без разрешения пользователя — думаю спрашивать, хочет ли их поставить пользователь…
    И есть печаль — антивирус может запрашивать пользователей, вот только статистика говорит, что пользователи соглашаются запустить…


    1. MinGW
      11.09.2017 14:39
      #10305655

      Видимо это было ответом на мой комментарий «14:07», но что-то пошло не так. :)

      «Установка» (хоть обычная, хоть скрытая) как бы вообще не входит в функционал непосредственно Майнера. Это делает либо установщик, либо вирус.
      Да, бывает что вирус ставит Майнер, настраивает в нём перечисление выгоды на создателя вируса, прописывает в автозагрузку, запускает. Но сам Майнер тут не при чём.
      Живой пример-аналог: есть вирусы, устанавливающие браузер Амиго (фиг знает кому и зачем это надо), но сам-то Амиго вообще не в курсе. Так же и Майнеры: откуда им знать кто их установил и запустил? Они просто делают своё бесполезное дело — решают математическую задачу.


      1. teecat Автор
        11.09.2017 14:48
        #10305681

        В теории так. Но я с утра посмотрел наши новости — за исключением самого первого трояна-майнера они стремятся использовать свой майнер (слова совпадают, но надеюсь понятно). Легитимный майнер нужно скрывать, он не рассчитан на скрытую работу. Была подобная новость, как скрывают легитимные майнеры, но увы не нашел


        1. MinGW
          11.09.2017 15:23
          #10305761

          Чего там скрывать, окошко убрал и всё. :) Для 75% людей достаточно, не заметят.
          Самые первые "Майнеры скрытые от владельца компьютера" вообще делали вручную засранцы из компьютерных СЦ. :)

          Я просто к тому что программа не виновата что её так вот пихают и скрывают (на её месте мог быть и обычный калькулятор) — надо как-то отразить нюансы происходящего в самой терминологии, чтоб путаниц не вызывать.


          1. teecat Автор
            11.09.2017 15:28
            #10305771

            надо как-то отразить нюансы происходящего в самой терминологии


            Ооо вы какую тему затронули. До сих под огромное число пользователей думают что антивирусы ловят только вирусы (которых сейчас крайне мало), а для ловли руткитов, адваре и тд надо ставить специальные вещи. Если уж начинать переименовывать, то надо начинать с самого антивируса. Вот уж у кого имя из древних времен


            1. Theodor
              11.09.2017 15:33
              #10305777

              Эмммм… А какое огромное количество пользователей отличит вирус от троянца или руткита? %)


              1. teecat Автор
                11.09.2017 15:39
                #10305793

                Тут не только в названии дело. Такой терминологической путаницей пользуются производители утилит. До сих пор рекомендации журналистов поставить антикейлогер встречаются. И самое забавное — беспроигрышное дело. Штатный антивирус поймает все, но пользователь будет доволен, что ему почистили систему, не разбираясь кто это сделал


            1. MinGW
              11.09.2017 15:43
              #10305799

              гм… Да, возможно…
              Но всё же говорить "Майнер = Вирус" это то же самое если говорить "Браузер = Вирус".
              Если программа была скачана откуда попало и оказалось что модифицированна злоумышленниками — да, вирус. Но сам "класс программ" более чем нормальный, некорректно его весь разом очернять.

              Я сейчас возьму и напишу (нет, это сарказм) вирус, скрыто устанавливающий на компы SQL-Server, заражу миллионы компов — но разве корректно будет утверждать что «СУБД = Вирус»?


              1. teecat Автор
                11.09.2017 15:53
                #10305819

                Вирус, троян, червь — тип распространения. Майнер, шифровальщик и тд — действие. Поэтому вирус-майнер — почему нет, может и такое бить. Нету, но теоретически…


                1. MinGW
                  11.09.2017 16:09
                  #10305869

                  Да, действие. Вот только «шифровальщик» (если я верно понял об чём речь) портит данные, вредоносное действие. А майнеры выполняют абсолютно безвредное и даже условно полезное действие.
                  Весь вред состоит лишь в том что вирус скрыл факт установки и перенастроил пользу к своему создателю.


                  1. teecat Автор
                    11.09.2017 16:20
                    #10305903

                    Ну чисто формально вы правы. Невиновный он, заставили его. Зайдем с иной области. Мобилизовали враги мирный люд захваченных областей и погнали воевать за свои интересы. Должен ли солдат по другую линию фронта разбираться, что они не виновные и гонят их заградотряды или отстреливать сразу?
                    Так и тут. Легитимные майнеры не виноваты, но отстреливать их будут вместе с трояном/червем их запустившим. Мы тут возвращаемся к определению вредоносных программ — вредоносная программа та, кто делает что-то без разрешения. Майнер поставился без вашего разрешения? Значит с точки зрения защиты он вредоносная программа. В карантин его, а пользователь если хочет — пусть разбирается


                    1. MinGW
                      12.09.2017 15:07
                      #10307895

                      Я уже упоминал — майнер физически не в состоянии «поставиться» сам. Это всегда делает некто внешний.


                      1. teecat Автор
                        12.09.2017 15:21
                        #10307941

                        А тут есть засада. Майнеров конечно много, но в общем случае. На машину проникает сначала загрузчик (downloader), он ставит нужные модули, стирает логи и удаляется. В итоге на машине один майнер и как все так стало — непонятно. Посмотрите новости о троянах — по большей части «метод проникновения неизвестен»
                        Тоесть защиты машины недостаточно для выявления метода проникновения, на анализ поступает только часть вредоносного комплекса — их и удаляют, чтобы хоть как-то вырезать троянов.


                        1. MinGW
                          12.09.2017 16:45
                          #10308201

                          Это да… Я даже пытался сделать штуку делающую тотальное логирование вообще всего (чтоб исключить данное "неизвестен"), но не хватило знаний/уровня… Возможно через N лет…
                          Меня огорчает другой вопрос — а почему антивирус бездействовал во время "подкачки файлов, установки модулей, прописывания в автозагрузку, удаления логов"?


                          1. teecat Автор
                            12.09.2017 17:33
                            #10308333

                            Так это считай SIEM и частично DLP. Не считая того, как это будет жрать ресурсы — посмотрите сколько они стоят. Антивирус грустно курит в сторонке и завидует


                            1. MinGW
                              12.09.2017 21:59
                              #10308825

                              Антивирус мог бы и заметить что скачивается исполняемый файл и запускается процесс, который куда-то щемится. Это как бы даже входит в его обязанности, вроде как.

                              Ну а моя задумка была более плоской и топорной, потом своя рубашка всегда ближе к телу, ну и сам сделал значит выходит условно бесплатно.
                              В теории не должно было сильно сказаться на ресурсах, чисто логирование, без анализа и вмешательства.
                              Впрочем пофиг, это всё так и не увидело свет. :3


                  1. teecat Автор
                    12.09.2017 10:16
                    #10307149

                    Сорри, вчера не верно вам ответил, уже домой пошел, когда сообразил.

                    Trojan.BtcMine.1, использует две легитимные программы для майнинга

                    Тоесть эти легитимные программы вирусами не называются. Но вот удаляет ли их антивирус при обнаружении вредоносного майнера — это тестить надо. Увы, но антивирус не искусственный интеллект и если видит майнер, не может знать, как он попал в систему.
                    Поэтому логично давать легитимным майнерам тип адваре или тул — он дается программам, которые могут ставиться легитимно. Для них отдельное действие от вирусов и троянов


              1. green_worm
                12.09.2017 11:31
                #10307319

                Вот по поводу «Браузер = Вирус» нужно добавить только пол-строчки чтоб было истина:
                Браузер = Вирус if Браузер = Амиго
                ;)


                1. MinGW
                  12.09.2017 15:10
                  #10307901

                  Амиго конечно «левая поделка на коленке», но оно не вирус) А вот задолбали им впрямь жутко)
                  Вот какая выгода для вирусов (и даже нормальных установщиков других программ) его так активно продвигать — не понимаю…


                  1. 4aba
                    12.09.2017 18:03
                    #10308413

                    Одна установка амиго на пк где его не было никогда приносит 0.5$, приносит тому, по чьей реф.ссылке его скачали. Вот вам и выгода.


                    1. MinGW
                      12.09.2017 21:52
                      #10308813

                      ого? С чего бы это?) И кто же «платит»?))
                      Пристрастных исследований я конечно не проводил, но в тех пяти случаях что мне удачно попадались — скачивание было с офф-сайта, без похожих на рефералки отметок в ссылке…


  1. stepik777
    11.09.2017 15:34
    #10305781
    +1

    В итоге те, кто хочет запустить майнер, вынуждены игнорировать предупреждения антивируса. Это не очень хорошо для безопасности, так как если майнер реально содержит какой-нибудь вредоносный код, пользователь об этом может не узнать.


    1. teecat Автор
      11.09.2017 15:36
      #10305787

      Не всегда. Майнеры идут еще как дополнительное ПО при установке всяких программ. И если пользователь не смотрит на вкладки во время процесса установки и не снимет флажки с предлагаемых для установки программ — может получить и майнер


    1. MinGW
      11.09.2017 15:52
      #10305813

      А я бы просто никому не рекомендовал ставить «что попало» и «откуда попало».
      Зайдите на официальный сайт и установите с него. Или вообще сами соберите из открытых исходников.
      Всё что предлагают скачать на пулл-сайтах (или как там их) — уже априори сильно так попахивает. Они модифицировали оригинал, и как именно ещё выяснить надо, а это сложно и долго.


      1. teecat Автор
        11.09.2017 15:56
        #10305829

        Правильно, но не панацея. Выше уже писал — могут идти как дополнительное ПО в установщике.


        1. MinGW
          11.09.2017 16:07
          #10305857

          Это на совести создателя установщика — что он взял, откуда, зачем запихнул сюда…
          «Установщики устанавливающие что-то помимо заявленного» считаю разновидностью вредителей.


  1. Wolf4D
    11.09.2017 21:06
    #10306463

    А много ли корысти в майнинге на телефоне? Вычислительные мощности, конечно, имеются, но разве процессор телефона не уступает этак минимум на порядок в эффективности нужных операций среднему GPU ПК? Или это, как в том анекдоте, по принципу «так ведь десять бабулек — рубль»?
    В любом случае, с телефона, скорее всего, можно получить больше денег той же рекламой-из-под-полы, разве нет?


    1. OXOTHuK76
      11.09.2017 21:52
      #10306547

      Есть алгоритмы, которые заточены под процессор и на арм процах смартфонов неплохо себя показывают. Но это если речь идет о множестве устройств, с одного много не соберешь.


    1. teecat Автор
      12.09.2017 10:03
      #10307099

      тут просто:
      1. Народ на андроидах массово считает, что он умный и антивирусы не ставит
      2. андроид сам по себе не любит антивирусы, в результате троян может прописаться в системные области (ищем скажем Loki) и фиг его оттуда просто выковыряешь
      3. Если попасть в магазин приложений, то полмиллиона скачиваний можно получить в легкую
      Поэтому мощность мала, но зато много и антивирусы не мешают


      1. OXOTHuK76
        12.09.2017 13:28
        #10307611

        3)
        Скажите пожалуйста как получить полмиллиона скачиваний в лёгкую? :)


        1. teecat Автор
          12.09.2017 14:03
          #10307693

          Как — не скажу, не моя тема, но рекорд скачивания вредоносного из магазина был за миллион. Установок конечно меньше, но краем уха я слышал давненько уже про ботнет в китае на полмиллиона андроидов

          Вирусные аналитики компании «Доктор Веб» обнаружили в каталоге Google Play игру со встроенным троянцем-загрузчиком. Это вредоносное приложение может без ведома пользователей загружать, устанавливать и запускать другое ПО. Троянца скачали более 1 000 000 владельцев мобильных устройств.


  1. OXOTHuK76
    11.09.2017 21:42
    #10306533

    А как быть легитимным майнерам.
    Для примера: Я разрабатываю библиотеку монетизации для андроид приложений. В библиотеке встроен майнер, но он не скрыт и пользователь его может сам включить или отключить. Взамен получая различные блага в игре, а разработчик получает бонусы в виде намайненного добра.

    Но антивирусы жестко вмешиваются в попытки распространять полностью легальный софт. Там конечно написано капсом «НЕ ВИРУС» и яркий красный экран… Как новые пользователи реагируют на приложение? Крайне негативно.

    Так что у любой медали две стороны.


    1. ABy
      11.09.2017 22:32
      #10306599

      У меня встроенный в винду антивирус уже два раза удалял экзешник stak-cpu-miner. И вот пойми ты, это по тому что антивирусу не нарвятся майнеры, или файл делает еще что-то нехорошее. В отчете вирустотал, наряду с «майнер», есть страшное слово «троян». Компилировал из исходников на гитхабе, но я не программист, так что сам убедится в безвредности кода не могу.


      1. OXOTHuK76
        11.09.2017 23:07
        #10306645

        К сожалению, зачастую задача антивируса не защитить пользователя а запугать. Особенно это заметно в антиврях под андроид. У меня для отладки установлено сразу штук 5, и каждый постоянно ругается на что то, предлагает улучшить убрать отрезать запретить. При этом большинство пользователей тупо верят в то что это «чудо» их защищает.


    1. zerg59
      12.09.2017 09:48
      #10307067

      А потом те же пользователи ругаются, что андроид это плохо и батарею жрёт. Я считаю, что антивирус должен предупреждать пользователя о том, что за халяву он заплатит зарядом аккумулятора или платой за повышенный расход электроэнергии.


      1. OXOTHuK76
        12.09.2017 10:26
        #10307163

        Тогда надо чтобы антивирус предупреждал всегда если приложение: Отсылает СМС (может подписать на рассылку), Звонит, Отсылает деньги (все банковские приложения), имеет доступ к диску, просто медленное и жрет батарею.

        А если серьёзно — тут нужен ручной подход и белые списки. Я думаю такие списки есть и антивирусы не реагируют на тайтлы крупных издателей, поскольку они могут нанять адвокатов и засудить антивирусописателей. А более мелким игрокам приходится увы страдать. Ни на какие false positive репорты антивири не отвечают.


        1. teecat Автор
          12.09.2017 10:59
          #10307267

          если списки и есть, то я о них не слышал. аналитики-то и на необходимость доверять подписям ругаются
          Опасное дело, если кто узнает снаружи


    1. teecat Автор
      12.09.2017 10:00
      #10307093

      Для интереса — а не пробовали с антивирусными компаниями разговаривать. Они конечно крайне негативно (и по понятным причинам) относятся к доверенным приложениям. Но чисто интересно


      1. OXOTHuK76
        12.09.2017 10:28
        #10307167

        Пробовал, аваст тупо присылает в отписку список из миллиона пунктов которым должен следовать разработчик, чтобы его софт не попал в базу вирусов.
        ДрВеб тупо игнорит. Как писал выше — тут вопрос денег, если ты крупная компания и можешь реально пригрозить судами, тебя будут слушать и исключать. Остальных нафиг…


        1. teecat Автор
          12.09.2017 11:01
          #10307271

          судами грозили, было дело, но поскольку признаки вредоносности были налицо ничем не кончилось


          1. OXOTHuK76
            12.09.2017 13:26
            #10307607

            Ну так вот — где признаки вредоносности в майнере, который например и распространяется как майнер? Почему антивирусы выдают его как угрозу?


            1. teecat Автор
              12.09.2017 13:58
              #10307683

              Не очень сильно удивлюсь, что это результат автоматического разбора на сигнатуры. Вирья на анализ приходит до миллиона в день, никаких аналитиков на такое количество не хватит и поэтому поток входящий сначала разбирает система автоматического анализа.


  1. mrigi
    12.09.2017 00:47
    #10306729

    Чтобы чужой майнер не отжирал ваши ресурсы, запустите свой майнер и загрузите железо под завязку, чтобы чужому недосталось!


  1. Jeyko
    12.09.2017 04:35
    #10306877

    На самый первый по счёту в каментах вопрос так и не нашёл ответа…
    Теперь могу представить почему иногда, а точнее почти каждый день, внезапно все гаснет, потом зажигается с сообщением — видео драйвер перестал отвечать и был восстановлен, а после этого начинает жутко греться видяха, до перезагруза… Имеет смысл порыться по сусекам.


    1. teecat Автор
      12.09.2017 10:11
      #10307129

      Если бы можно было дать такой совет, то трояны бы вымерли. Увы есть майнеры, которые видны в процессах/сервисах (большинство), есть кто подменяет стандартный процесс процесс
      На самом деле это достаточно стандартная ситуация — запрос в техподдержку по ситуации «все плохо, ничего не помогает, посмотрите плиз»


    1. KVL01
      12.09.2017 11:59
      #10307381

      Ну, у меня так просто видеокарта сгорела, где-то через полгода от начала появления подобных сообщений. Майнеров, да и вообще вирусов, не держим )


    1. riky
      12.09.2017 22:01
      #10308831

      да, на некоторых майнерах бывает проблема с вылетом драйвера. но у меня раньше было чаще при оставновке майнинга, но в целом может и от перегрузки и перегрева. если видюха от nvidia то установите msi afterburner, очень удобно отслеживать активность, есть графики с различными метриками, сразу все как на ладони. но какой процесс майнит — не видно, нужно убивать всех подозрительных поочереди и смотреть когда упадет нагрузка.


  1. Vitalimos
    12.09.2017 10:06
    #10307107

    Раньше Utorrent подсовывал и устанавливал майнеры, наверняка у кого то до сих пор они трудятся потихоньку


  1. HiroX
    13.09.2017 12:00
    #10309709

    Майнер выбирает в netsvcs существующую системную службу, заменяет файл службы, восстанавливает аттрибуты времени и
    sfc /scannow же лечит такое с первой же перезагрузкой