Виновника торжества я конечно же себе закупорил в
Самое забавное, что в некоторых заголовках фигурировало что-то в стиле «Как удалить вирус в Facebook», и описывалось что мол нужно поменять пароль и включить двухэтапную аутентификацию (ага, вроде это поможет). Но самых мотивов вируса никто не описывал, ну разослался по друзьям, а кто-то запустил и оно дальше пошло и т.д. и т.п.
Короче хватит мусолить, ближе к делу. Жажда познаний и здравого любопытства всегда меня преследовала, как мозговой червь присосавшийся к макушке.
В общем на виртуалку (win 7) был установлен Process Monitor и собственно запущен сам вирусняк. После запуска мне выдало что IE не может запустить js скрипт (ха-ха), но зловред не растерялся и запустил хром, попытавшись открыть вкладку с фейсбуком.
В Process Monitor было обнаружено создание новой папки, лежащей на весьма видном месте Users/IEUser/AppData/Roamin/ с какими-то уж больно трендовым названием exe'шника:
О, так у нас там еще и JSON есть, заглянем-ка:
И так, что мы имеем? Майнер для Monero(криптовалюта), само название майнера XMRig (исходники в открытом доступе на гитхабе).
Собственно если поискать того, на кого это майнится, то можно выйти на гитхаб профиль где видно что юзер не так давно форкал этот майнер, а так же парочку интересных репозиториев, в стиле «ua-parser-js», что определенно складывает кусочки пазла и наводит на определенные мысли.
Подставное ли это лицо или нет, кто знает.
У меня все.
Комментарии (22)
Melonom
19.12.2017 17:00ох уж эта радость, когда ты антисоциальный и на мордакниге тебя нет.
VioletGiraffe
19.12.2017 22:59А ещё хорошо, когда бездомный, не нужно убирать в квартире и квартплаты тоже нет.
Arxitektor
19.12.2017 19:19Думаю почти все знают что не стоит запускать КУЛ видео.mp4.exe и с иконкой youtube.
Хоть бы иконку сделали как у видео открываемого по умолчанию плеером в винде.
Читал статью что можно сделать название файла например: (как собрать .exe в блокноте и консоли.mp4) И это на самом деле ехе файл там фокус с порядком чтения с лева направо и с права налево. Он запускает майнер и видосик).
Как эта технология называется?
g0rd1as
19.12.2017 20:23Если в json'е так открыто указаны логин и пароль к пулу, так что мешает залогиниться там и сменить пароль на что-то оооочень сложное, чтоб кулхацкеру хотя бы ненадолго испортить настроение?!
GreenBee
19.12.2017 23:53То, что это вовсе не пароль от аккаунта. Обычно это дополнительный идентификатор, который помогает отследить источник майнинга.
ilyaplot
20.12.2017 14:07safe: false — Ну мог бы и true поставить, threads: 1, max-cpu-usage: 50.
С таким набором параметров мало бы кто заметил майнер, т.к. процессор не будет загружен слишком сильно.
Параметр donate-level вообще интересный. В конфиге стоит 1%, что означает, что 1/100 нагрузки зараженных ПК работает на майнинг monero для автора xmrig.
Пул minergate, кстати, не самый удачный. Можно было бы взять какой-нибудь пулл, в котором не нужно указывать email :)
И да, касперский распознает xmrig как вирус из-за вот таких вот деятелей.
ivanius
20.12.2017 21:49Смотря какой касперский и включина ли эвристика.
Но суть статить и вируса мне кажется проверка сил разработчика и тестирование, он сейчас подучится на данной статье и на полезных комментариях, все это сделает и будет новый вирус — уже с котиками и плюшками :)
pretorian007 Автор
20.12.2017 21:52Ну судя по тому как все сделано, разработчик не очень умный, хотя намайнить «немного» он успел походу.
ivanius
21.12.2017 13:06Ну тут я с вами не соглашусь, опять же возможно он умный(предположение), но не оптный — вот опыта и хочет набратся, а может этот вирус был его дипломной работой и сдаст он ее видимо на хорошую оценку :)
pretorian007 Автор
21.12.2017 13:40Ну, возможно и так:)
Я написал разработчикам майнера, на всякий случай, хз могут ли они «прикрыть ему лавочку» или нет.ilyaplot
21.12.2017 17:47Разработчики майнера ничего не смогут сделать. Можно только на пуле прикрыть лавочку.
alexvoz
21.12.2017 10:43Так а как он рассылал себя? Запускал скрипт если в браузере залогинен фейсбук?
pretorian007 Автор
21.12.2017 13:38Просто открывал браузер и вкладку с фб потом рассылался всем контактам. Если не залогинен, то естественно ничего не делал.
g0rd1as
21.12.2017 21:01Больно палевный вариант. :) Круче было бы, если бы он все это делал без открытия вкладки.
Goodkat
21.12.2017 23:53Давеча поймали девчата на работе вирусняк забавный, ну как забавный, его запустили, а он сам себя разослал всем контактам. Сам же файл представляет собой архив, с названием типа video_*случайный набор цифт*, а в архиве exe'шник
По-моему, ещё в Windows 9x я себе на домашнем компе настраивал, чтобы запуск программ был разрешён только из папок Windows и Progra~1.
Почему этим никто не пользуется на рабочих компах, где потерять можно намного больше коллекции порно, пары игрушек и курсовой?
Я понимаю, когда вирусы лезут через дыру в сетевом протоколе и вредоносный код сразу выполняются с привилегиями драйверов, но от скачанного пользователем экзешника-то защититься проще простого!
да-да, не ругайте девочек, нам видео часто присылают вот они и кликнули)
Ругать не девочек надо, а начальника админов.
g0rd1as
22.12.2017 21:14Вот тут не об этом ли вирусе пишут подробнее: habrahabr.ru/company/cloud4y/blog/345342?
Xapu3ma-NN
Как-то странно сделали .exe… добавили бы какой-нибудь видео файл в архив, чтобы при запуске .exe запускался еще и видео файл, тогда девочки бы могли и не заметить совсем))