На волне майнинга. Новый вирус распространяемый через Facebook

• habr.com
• Посмотреть оригинал

Давеча поймали девчата на работе вирусняк забавный, ну как забавный, его запустили, а он сам себя разослал всем контактам. Сам же файл представляет собой архив, с названием типа video_*случайный набор цифterok*, а в архиве exe'шник с ютубовской иконкой (да-да, не ругайте девочек, нам видео часто присылают вот они и кликнули). И да, Vирустотал - зеленый.

Виновника торжества я конечно же себе закупорил в пробиркувиртуалку, для дальнейших опытов, а тем временем почитал новости, где инфа о вирусе уже активно форсилась (Украина).

Самое забавное, что в некоторых заголовках фигурировало что-то в стиле «Как удалить вирус в Facebook», и описывалось что мол нужно поменять пароль и включить двухэтапную аутентификацию (ага, вроде это поможет). Но самых мотивов вируса никто не описывал, ну разослался по друзьям, а кто-то запустил и оно дальше пошло и т.д. и т.п.

В общем на виртуалку (win 7) был установлен Process Monitor и собственно запущен сам вирусняк. После запуска мне выдало что IE не может запустить js скрипт (ха-ха), но зловред не растерялся и запустил хром, попытавшись открыть вкладку с фейсбуком.

В Process Monitor было обнаружено создание новой папки, лежащей на весьма видном месте Users/IEUser/AppData/Roamin/ с какими-то уж больно трендовым названием exe'шника:

О, так у нас там еще и JSON есть, заглянем-ка:

И так, что мы имеем? Майнер для Monero(криптовалюта), само название майнера XMRig (исходники в открытом доступе на гитхабе).

Собственно если поискать того, на кого это майнится, то можно выйти на гитхаб профиль где видно что юзер не так давно форкал этот майнер, а так же парочку интересных репозиториев, в стиле «ua-parser-js», что определенно складывает кусочки пазла и наводит на определенные мысли.

Подставное ли это лицо или нет, кто знает.

У меня все.