Share this article
Новий майнер шкідливих програм непомітно ховається, коли відкритий диспетчер завдань
Зустрічайте «Norman» – новий варіант зловмисного ПЗ для майнінгу монет, який використовує хитрі трюки, щоб не бути поміченим.
Updated Sep 13, 2021, 11:20 a.m. Published Aug 15, 2019, 1:30 p.m.
Зробіть нас пріоритетним джерелом у Google
Зустрічайте «Norman» – новий варіант зловмисного ПЗ для майнінгу монет, який використовує хитрі трюки, щоб не бути поміченим.
Шкідливий код був визначені дослідники з фірми безпеки даних Varonis під час розслідування зараження криптомайнерів у «компанії середнього розміру».
Продовження Нижче
Don't miss another story.Subscribe to the Crypto Daybook Americas Newsletter today. See all newsletters
«Майже кожен сервер і робоча станція були заражені зловмисним програмним забезпеченням. Більшість з них були загальними варіантами криптомайнерів. Деякі були інструментами для скидання паролів, деякі були прихованими оболонками PHP, а деякі були присутні вже кілька років», — повідомили у фірмі.
Однак ONE шахтар виділявся – Норман, як його охрестила команда.
Корисне навантаження Norman виконує дві основні функції: запускати криптомайнер на основі XMRig і уникати виявлення.
Після введення він перезаписує свій запис у explorer.exe, щоб приховати докази своєї присутності. Він також припиняє роботу майнера, коли користувач ПК відкриває диспетчер завдань (див. зображення нижче). Повторне введення, коли диспетчер завдань не працює.
Елемент майнера зловмисного ПЗ заснований на відкрито доступному коді XMRig розміщений на GitHib. Однак Varonis виявив, що його адреса Monero заблокована майнінг-пулом, з яким вона пов’язана, і, отже, фактично вимкнена.
Крім того, дослідники виявили оболонку PHP, можливо пов’язану з Norman, яка «постійно підключається до командно-контрольного (C&C) сервера». Веб-оболонки можуть дозволити віддалений доступ до системи, на якій вони встановлені.
Однак команда виявила, що під час запуску коду він увійшов у цикл очікування команд, і на момент написання жодної не було отримано.
У звіті також зазначається, що Норман міг бути створений у Франції або у франкомовній нації. «У файлі SFX були коментарі французькою мовою, які вказують на те, що автор використовував французьку версію WinRAR для створення файлу», — сказав Вароніс.
Порада капелюха: TNW
Кішка в коробці зображення через Shutterstock; gif анімація через Вароніс
More For You
Pudgy Penguins is building a multi-vertical consumer IP platform — combining phygital products, games, NFTs and PENGU to monetize culture at scale.
What to know:
Pudgy Penguins is emerging as one of the strongest NFT-native brands of this cycle, shifting from speculative “digital luxury goods” into a multi-vertical consumer IP platform. Its strategy is to acquire users through mainstream channels first; toys, retail partnerships and viral media, then onboard them into Web3 through games, NFTs and the PENGU token.
The ecosystem now spans phygital products (> $13M retail sales and >1M units sold), games and experiences (Pudgy Party surpassed 500k downloads in two weeks), and a widely distributed token (airdropped to 6M+ wallets). While the market is currently pricing Pudgy at a premium relative to traditional IP peers, sustained success depends on execution across retail expansion, gaming adoption and deeper token utility.
More For You
Strive списує заборгованість перед Semler і купує більше біткоїна після продажу привілейованих акцій на $225 мільйонів
Пропозиція акцій SATA була перевищена за обсягом та збільшена порівняно з початковою метою в 150 мільйонів доларів.
What to know:
- Strive (ASST) залучила 225 мільйонів доларів США шляхом збільшеного та перевищеного за обсягом пропозиції привілейованих акцій SATA.
- Компанія погасила 110 мільйонів доларів із 120 мільйонів доларів заборгованості за старими зобов’язаннями нещодавно придбаної Semler Scientific (SMLR)
- Strive також збільшила свій біткоїн-резерв на 333,89 монет, довівши загальну кількість приблизно до 13 132 BTC, вартість яких перевищує 1,1 мільярда доларів США.
Головне
