Share this article
Новий майнер шкідливих програм непомітно ховається, коли відкритий диспетчер завдань
Зустрічайте «Norman» – новий варіант зловмисного ПЗ для майнінгу монет, який використовує хитрі трюки, щоб не бути поміченим.
Updated Sep 13, 2021, 11:20 a.m. Published Aug 15, 2019, 1:30 p.m.
Зустрічайте «Norman» – новий варіант зловмисного ПЗ для майнінгу монет, який використовує хитрі трюки, щоб не бути поміченим.
Шкідливий код був визначені дослідники з фірми безпеки даних Varonis під час розслідування зараження криптомайнерів у «компанії середнього розміру».
Продовження Нижче
Don't miss another story.Subscribe to the Crypto Daybook Americas Newsletter today. See all newsletters
«Майже кожен сервер і робоча станція були заражені зловмисним програмним забезпеченням. Більшість з них були загальними варіантами криптомайнерів. Деякі були інструментами для скидання паролів, деякі були прихованими оболонками PHP, а деякі були присутні вже кілька років», — повідомили у фірмі.
Однак ONE шахтар виділявся – Норман, як його охрестила команда.
Корисне навантаження Norman виконує дві основні функції: запускати криптомайнер на основі XMRig і уникати виявлення.
Після введення він перезаписує свій запис у explorer.exe, щоб приховати докази своєї присутності. Він також припиняє роботу майнера, коли користувач ПК відкриває диспетчер завдань (див. зображення нижче). Повторне введення, коли диспетчер завдань не працює.
Елемент майнера зловмисного ПЗ заснований на відкрито доступному коді XMRig розміщений на GitHib. Однак Varonis виявив, що його адреса Monero заблокована майнінг-пулом, з яким вона пов’язана, і, отже, фактично вимкнена.
Крім того, дослідники виявили оболонку PHP, можливо пов’язану з Norman, яка «постійно підключається до командно-контрольного (C&C) сервера». Веб-оболонки можуть дозволити віддалений доступ до системи, на якій вони встановлені.
Однак команда виявила, що під час запуску коду він увійшов у цикл очікування команд, і на момент написання жодної не було отримано.
У звіті також зазначається, що Норман міг бути створений у Франції або у франкомовній нації. «У файлі SFX були коментарі французькою мовою, які вказують на те, що автор використовував французьку версію WinRAR для створення файлу», — сказав Вароніс.
Порада капелюха: TNW
Кішка в коробці зображення через Shutterstock; gif анімація через Вароніс
Di più per voi
Cosa sapere:
- As of October 2025, GoPlus has generated $4.7M in total revenue across its product lines. The GoPlus App is the primary revenue driver, contributing $2.5M (approx. 53%), followed by the SafeToken Protocol at $1.7M.
- GoPlus Intelligence's Token Security API averaged 717 million monthly calls year-to-date in 2025 , with a peak of nearly 1 billion calls in February 2025. Total blockchain-level requests, including transaction simulations, averaged an additional 350 million per month.
- Since its January 2025 launch , the $GPS token has registered over $5B in total spot volume and $10B in derivatives volume in 2025. Monthly spot volume peaked in March 2025 at over $1.1B , while derivatives volume peaked the same month at over $4B.
Di più per voi
Біткоїн відновлюється до $93 тис. після падіння після рішення ФРС, але альткоїни залишаються під тиском
Тиск на біткойн у бік зниження слабшає, ринок стабілізується, але ще не вийшов із кризи, зазначив один аналітик.
Cosa sapere:
- Біткоїн відновився після різкого ранкового розпродажу у четвер і торгувався вище за $93,000 одразу після закриття торгів на американських фондових ринках.
- Пізній приріст біткойна відбувся на тлі відновлення індексу Nasdaq після значних ранкових втрат; технологічний індекс закрився з падінням всього на 0,25%.
- Негативний тиск на біткойн слабшає, зазначив один аналітик, проте ринок ще не вийшов з критичної ситуації.
Головне
