Share this!

Соціальна активність:

суббота, 18 августа 2018 г.

На волне майнинга. Новый вирус распространяемый через Facebook

На волне майнинга. Новый вирус распространяемый через Facebook

Давеча поймали девчата на работе вирусняк забавный, ну как забавный, его запустили, а он сам себя разослал всем контактам. Сам же файл представляет собой архив, с названием типа video_*случайный набор цифterok*, а в архиве exe'шник с ютубовской иконкой (да-да, не ругайте девочек, нам видео часто присылают вот они и кликнули). И да, Vирустотал - зеленый.
Виновника торжества я конечно же себе закупорил в пробиркувиртуалку, для дальнейших опытов, а тем временем почитал новости, где инфа о вирусе уже активно форсилась (Украина).
Самое забавное, что в некоторых заголовках фигурировало что-то в стиле «Как удалить вирус в Facebook», и описывалось что мол нужно поменять пароль и включить двухэтапную аутентификацию (ага, вроде это поможет). Но самых мотивов вируса никто не описывал, ну разослался по друзьям, а кто-то запустил и оно дальше пошло и т.д. и т.п.
В общем на виртуалку (win 7) был установлен Process Monitor и собственно запущен сам вирусняк. После запуска мне выдало что IE не может запустить js скрипт (ха-ха), но зловред не растерялся и запустил хром, попытавшись открыть вкладку с фейсбуком.
В Process Monitor было обнаружено создание новой папки, лежащей на весьма видном месте Users/IEUser/AppData/Roamin/ с какими-то уж больно трендовым названием exe'шника:
О, так у нас там еще и JSON есть, заглянем-ка:
И так, что мы имеем? Майнер для Monero(криптовалюта), само название майнера XMRig (исходники в открытом доступе на гитхабе).
Собственно если поискать того, на кого это майнится, то можно выйти на гитхаб профиль где видно что юзер не так давно форкал этот майнер, а так же парочку интересных репозиториев, в стиле «ua-parser-js», что определенно складывает кусочки пазла и наводит на определенные мысли.
Подставное ли это лицо или нет, кто знает.
У меня все.









Комментариев нет: