W32.Rarogminer Monero Miner Worm (lsass.exe) - hvordan du fjerner det
TRUSSEL FJERNELSE

W32.Rarogminer Monero Miner Worm (lsass.exe) - hvordan du fjerner det

1 Star2 Stars3 Stars4 Stars5 Stars (Ingen stemmer endnu)
Loading ...

Denne artikel er blevet oprettet for at hjælpe dig med at fjerne W32.Rarogminer helt fra computeren og stoppe det fra minedrift Monero på din computer.

Den W32.Rarogminer Monero minearbejder er den type orm, som du ikke ønsker at have på din computer. Det primære formål er at udvinde for cryptocurrency Monero på bekostning af ressourcerne i din pc. Dette kan umiddelbart resultere i din computer betydeligt langsommere med hensyn til ydeevne og bliver ikke længere reagerer på tidspunkter. Hvis du ser W32.Rarogminer opdagelser eller en falsk lsass.exe proces at misbruge CPU på din computer, Vi anbefaler, at du læse følgende artikel og lære at fjerne denne orm infektion fra din pc.

Trussel Summary

NavnW32.Rarogminer
TypeWorm og Miner
Kort beskrivelseOndsindet orm, der inficerer brugere fra computer til computer for at bruge ressourcerne i de systemer, der er inficeret med det til mine for cryptocurrency Monero.
SymptomerDen virus kører en kompromitteret version af lsass.exe proces, der kan bruge de fleste af din CPU magt til minen for cryptocurrency Monero.
DistributionsmetodeOpretter kopier af sig selv til flytbare drev, ved at bruge .inf og .exe-filer.
Værktøj Detection Se Hvis dit system er blevet påvirket af W32.Rarogminer

Hent

Værktøj til fjernelse af malware

BrugererfaringTilmeld dig vores forum at diskutere W32.Rarogminer.

W32.Rarogminer - Hvordan virker det Spred

De vigtigste metoder, der anvendes til at udbrede den W32.Rarogminer på computere af ofre er selvreplikerende, hvilket betyder, at malware er spredt fra en inficeret computer til en anden inficeret computer via flytbare drev.

Proceduren via hvilken dette sker, er, når ormen allerede har inficeret en computer, det begynder at falde kopier af sig selv på flash-drev. Kopierne har følgende navne:

  • autorun.inf
  • Autorun.exe

Og ormen ikke udføre denne handling, når, men regelmæssigt hver gang du indsætter et flashdrev, ekstern harddisk eller en anden ekstern hukommelse bærer. Når den inficerede flytbare drev er forbundet til en ren indretning, ormen begynder det infektion aktivitet.

W32. Rarogminer Worm (lsass.exe) - Teknisk Analyse

Når W32.Rarogminer ormen inficerer en given computer, malwaren kan begynde at falde, det er nyttelast. Det kan være faldet på ofrets computer som et resultat af at skabe filer med konfigurationer baseret på scripts, der udvinder dem eller som et resultat af at downloade disse filer ved at tilslutte til de cyber-kriminelle fordeling websted. Enten måde, som Symantec forskere rapporterer, den Rarogminer ormen falder følgende filer i vigtige Windows Directories:

→ MicrosoftCorporation Windows Hjælpere SecurityHeaIthService.exe
MicrosoftCorporation Windows Hjælpere SystemldleProcess.exe
MicrosoftCorporation Windows Hjælpere winIogon.exe
MicrosoftCorporation Windows System32 Isass.exe
\WindowsAppCertification WindowHelperStorageHostSystemThread.ps1
WindowsAppCertification cert.cmd
WindowsAppCertification checker.vbs
{tilfældig}\driver.dat
%System% Opgaver Windows_Antimalware_Host
%System% Opgaver Windows_Antimalware_Host_Systm
%SystemDrive% ProgramData MicrosoftCorporation Windows Hjælpere SecurityHeaIthService.exe
%SystemDrive% ProgramData MicrosoftCorporation Windows Hjælpere SystemldleProcess.exe
%SystemDrive% ProgramData MicrosoftCorporation Windows Hjælpere winIogon.exe
%SystemDrive% ProgramData MicrosoftCorporation Windows System32 Isass.exe
%SystemDrive% ProgramData WindowsAppCertification WindowHelperStorageHostSystemThread.ps1
%SystemDrive% ProgramData WindowsAppCertification cert.cmd
%SystemDrive% ProgramData WindowsAppCertification checker.vbs
%SystemDrive% ProgramData {tilfældig}\driver.dat
%USERPROFILE% AppData Roaming Microsoft Windows Start Menu Programs Startup Isass.lnk

Den vigtigste af disse ondsindede filer er blevet rapporteret til at være lsass.exe som er ansvarlig for mineaktiviteter ud for W32.Rarogminer. Virussen opretter en post i registreringsdatabasen for skadelig fil, så den starter automatisk sammen med Windows:

→ HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Run ”Windows_Antimalware_Host_Syst” =% ProgramData% MicrosoftCorporation Windows System32 Isass.exe

Ormen derefter begynder at kontrollere, om de nedenfor nævnte processer der kører på kompromitteret computer:

→ cryptonight
dwarfpool
minearbejder port
monerohash
Nanopool
Nichehs
stratum
Suprnova
xmrpool

Hvis disse processer der kører, ormen sletter sig selv. Og ormen kan også stoppe sig selv til at starte igen i den tid de følgende processer ikke kører:

→ AnVir
KillProcess
Netmonitor
proces Hacke
proces Killer
System Explorer
taskmgr.exe

Hvis opdages, ormen midlertidigt lukker indtil næste gang det er løb på Windows boot.

Hovedformålet med den W32.Rarogminer ormen er at udføre minedrift på computeren af ​​offeret. Men, ormen er en af ​​de mere sofistikerede trusler, hvilket betyder, at den kan udføre en række aktiviteter på den inficerede maskine, Herunder:

  • Hent filer og starte dem.
  • Åbne web links på din browser.
  • Udfør DDoS-angreb til målrettede netværk eller PC'er.
  • Opret kopier af sig selv.
  • Luk sig ned og slette sig selv.
  • Start selv når den er lukket ned.
  • Udfør selv-opdatering operationer for at holde det ondsindede filer skjult.

At gennemføre minedriften, ormen bruger en fil, kaldet xmrig32.exe. Denne fil er hentet ved at forbinde til følgende fjerne vært:

→ 107.181.160.63/xmrig32.exe

Ormen downloader filen i et tilfældigt navngivet mappe i% Programdata%.

Derefter, ormen infektion kan forbinde til en masse af API (adgangspunkt grænseflade) type værter, der er sandsynlige minedrift pools for cryptocurrencies eller relateret til krypto. de websites, rapporteret af forskerne er som følger:

api.polotreck.xyz api.111orion.xyz api.1gq.ru api.4spirin.pw api.5max.xyz api.7bog.ru api.abibletit.ru api.bfvvsdfvjbvcdg.pw api.billionaireboys.pw api.bitcoin.lisx.ru api.bitoklg.ru api.bizmailcon.ru api.bjkdfhbvvr.pw api.bldimablog.xyz api.bnknw.pw api.bsdfbsadjfb.pw api.btc-db.com api.btchash777.ru api.dcr048dd.ru api.dedpanel.xyz api.def397.pw api.dfgsfdkj3jk4h5.ru api.digital-game.ru api.dismay.pw api.doomed.cf api.dratuti.info api.drujbanu.pw api.enable.pw api.enigma-top.bid api.f1eriya.pw api.fl-god.pw api.fox.sychost.com api.games-revi.ru api.getdownload4812.ru api.ghjdthrf.tk api.googleanalistics7431.ru api.gopanel.ru api.hsnqy2no.host api.ibsmoney.ru api.igogos.ga api.incor.xyz api.itemsbet.com api.itsmydomain.xyz api.jackblack.pw api.jisec.xyz api.kefirsports.xyz api.kevyank.ru api.kiras.kz api.kolokolchik.info api.kopilka.io api.kwam.gdn api.land-seo.ru api.lkasdjfklhngn.pw api.m234.xyz api.macadmin.xyz api.mainivent.xyz api.malmine.ru api.maxpinezzz.ru api.microtrend.xyz api.min2rarllsknfoeihe.ru api.minerarog.xyz api.minergood.ru api.minerhash.pw api.minetbot.online api.money-exchanger.info api.moy-mayner.ru api.mrgap.pw api.mybblog.xyz api.mynebo7.xyz api.mysuperprojectnumone.xyz api.nbvnfuyjft567uygvhgfc.pw api.nebuchadnezzar.xyz api.newmine.ru api.norfest1x.win api.o4kobati.xyz api.odmenarmi9z.site api.plastileen.pw api.poiwebm.ru api.rand0msh1tm1n3r.xyz api.rikimaru7.pw api.rrealstats.ru api.rublikzarabotok.com api.sadating.xyz api.sanya330.pro api.sdbfhjbsdfjh.pw api.shilo.ml api.soft-portal.kz api.spaceman07.ru api.spiridus.pw api.staglion.pro api.stingtek.com api.super.cryptongram.org api.system-analyse.win api.tapblackmoney.pw api.tiberious.xyz api.wilhost.com api.wolframalpha.pw api.wwqrwwwreewrqwer.xyz api.xgames.su api.xyw.space api.zerstoren.pro api.zloki.pw api1.bnknw.pw api2.checkingsite.site api2.drujbanu.pw api4.hlebb.pw api4.raznospower.ru

Derfra, malwaren kan begynde at udføre den såkaldte hashing operation, hvilket resulterer i cryptocurrency tokens fra Monero cryptocurrency der genereres. Da antallet af inficerede computere stiger, jo hurtigere bliver det at generere poletter. De tokens bliver derefter sendt til tegnebøger af cyber-kriminelle, hvilket gør dem rigere og rigere på bekostning af ofrets CPU og GPU ressourcer. Og ikke kun dette, men hvis det forbliver i længere tid på din computer, opbremsning af det resultat kan være din mindst vigtige problem. Den virus kan have et virkeligt evne til at nedbryde computerens komponenter som følge af overophedning dem.

Fjern W32.Rarogminer fra din computer

For at fjerne denne cryptocurrency minearbejder helt fra din pc, Vi anbefaler, at du følger fjernelse instruktioner nedenunder. De er specielt skabt til at hjælpe dig slippe af med denne virus enten manuelt eller automatisk. Hvis du mangler erfaring til manuelt at sørge for at dette virus er gået, eksperter anbefaler den mere sikker metode til fjernelse - downloade og scanne din pc med en avanceret anti-malware-software. En sådan vil effektivt sørge for, at din pc er sikret mod fremtidige infektioner og indgribende programmer samt.

Avatar

Ventsislav Krastev

Ventsislav har dækket de nyeste malware, software og nyeste tech udviklinger på SensorsTechForum for 3 år nu. Han startede som en netværksadministrator. Have uddannet Marketing samt, Ventsislav har også passion for opdagelsen af ​​nye skift og innovationer i cybersikkerhed, der bliver spillet skiftere. Efter at have studeret Value Chain Management og derefter Network Administration, han fandt sin passion inden cybersecrurity og er en stærk tilhænger af grunduddannelse for alle brugere mod online sikkerhed.

Flere indlæg - Websted

Følg mig:
Twitter

Efterlad en kommentar

Din e-mail-adresse vil ikke blive offentliggjort. Krævede felter er markeret *

Frist er opbrugt. Venligst genindlæse CAPTCHA.

Del på Facebook Del
Loading ...
Del på Twitter Tweet
Loading ...
Del på Google Plus Del
Loading ...
Del på Linkedin Del
Loading ...
Del på Digg Del
Del på Reddit Del
Loading ...
Del på Stumbleupon Del
Loading ...