Die gefährliche Entwicklung neue Wege zur Schaffung von Client-Computern zu infizieren, hat zur Entwicklung von WaterMiner führt - eine ausweichende Malware Monero Bergmann. Eine detaillierte Sicherheit zeigt, wie diese bösartige Software Vorteil der schwachen Sicherheit nimmt und nutzt auf Tausende von Computern Online-Einkommen in der Monero digitale Währung zu erzeugen.
Der WaterMiner Monero Miner Revealed
Sicherheitsforscher entdeckten eine neue Bergmann Malware die weltweit aktiv im Internet verbreitet wird. Sein Name wird als WaterMiner Monero Miner bezeichnet, aus seinem Namen können Computer verwendet vermuten, dass es bezeichnet wird “Bergwerk” die Monero Kryptowährung der verfügbaren Ressourcen der kompromittierten Maschinen mit. Berichte zeigen, dass diese Art von Computer-Bedrohungen sind immer sehr beliebt und sehr gut in eine eigene Kategorie drehen kann, sobald sie sich weiterentwickeln.
Die Malware wurde in bösartiger Kampagne entdeckt, die das Virus unter Verwendung von modifizierten Spiel verteilt “Modifikationen” die häufig von Computerspielen Spiele zu betrügen oder ihre Charaktere mit ungewöhnlichen Statistiken ändern. Die Opfer-Website, die die WaterMiner Infektionen gestartet. Der Beginn der mit der Gefahr verbunden sind Angriffe war aufgrund einer Mod für die beliebtesten Grand Theft Auto Videospiele auf einem russisch-sprachigen Forum ausgestellt geschrieben genannt “Wassermelone” die übersetzt “Wassermelone” auf Russisch.
Der Hacker verteilte es über verschiedene Profile, die es unmöglich macht, die erste Quelle zu entdecken. Einer der wichtigsten Gründe, warum der WaterMiner Monero Bergmann so erfolgreich ist, weil die Virus-Dateien von einem Virus Total Scan sauber gemeldet wurden. Es ist möglich, dass die Kriminellen die Scans, die Ziele in infizieren sich zu verwirren spoofed. Der bösartige mod, der die WaterMiner Monero Bergmann beherbergt auf Yandex.Disk gehostet, einer der beliebtesten russischen File-Sharing-Dienste in einem RAR-Archivdatei.
Fähigkeiten des WaterMiner Monero Miner
Sobald die Opfer der WaterMiner Monero miner Software in seinem archivierten Formular herunterladen, wenn die RAR-Datei entpackt mehrere Dateien ist enthüllt. Unter ihnen ist eine ausführbare Datei mit dem Namen “pawncc.exe” das ist ein Skript, das auf die WaterMiner Monero Infektion führt. Wenn es eine Folge von Befehlen ausgeführt wird, werden ausgeführt, den Download die Malware von einem Remote-Server. Die Forscher beachten Sie, dass die folgende Reihenfolge folgt:
- Initial System Check -Wenn die Opfer führen Sie die Anwendung zum ersten Mal überprüft es, ob die Maschine nicht bereits mit der WaterMiner Software infiziert ist. Wenn es nicht auf eine Infektion Marker wird in der Windows-Registrierung erstellt gefunden “HKLM Software IntelPlatform” mit einem Wert von “Ld566xsMp01a” einstellen “Nichts”.
- Erstinfektion - Die Malware wird von einer Remote-Hacker-gesteuerte Website heruntergeladen, die die Virus-Datei hostet. Die identifizierten Dateien werden auf einem gemeinsam genutzten Google Drive Profil gehostet. Wenn die Datei heruntergeladen wird, wird die Infektion Marker umbenannt “beladen” und der Bergmann auf dem angegriffenen Computer läuft.
- WaterMiner Execution - Der bösartige Prozess wird unter dem Namen laufen “Intel (R) Sicherheit Assistent.exe”, aber nicht gehen, wenn der Marktsatz nicht angegeben wird als “beladen”. Das bedeutet, dass ein einfaches Killswitch erstellt werden kann, die den Windows-Registrierung Änderung Mechanismus deaktiviert.
Während der Untersuchung entdeckten die Forscher mehrere einzigartige Indikatoren in der Art und Weise das Virus erstellt. Es erlaubt ihnen, den Quellcode einer früheren Version auf einem Pastebin Instanz geschrieben zu verfolgen. Der Autor Kommentare dort gefunden zeigen, dass die WaterMiner Malware absichtlich Zielsysteme gemacht zu infizieren und ihre Ressourcen nutzen, um die Monero Kryptowährung Mine und Einkommen für die Betreiber erzeugen.
Weitere Untersuchung der WaterMiner Monero Miner
Der entdeckte Quellcode hat zu einer detaillierten Analyse der beabsichtigten Ergebnissen geführt. Die Kommentare werden in russischer Sprache geschrieben und (Glücklicherweise) sie führte zu einigen interessanten Erkenntnissen auf dem Weg der WaterMiner ausgeführt wird.
Wenn die Instanz ausgeführt und begann auf den Client-Computern insgesamt 11 Mine-Dateien geladen in einen temporären Ordner. Eine persistente Installation wird dann erreicht, eine Kombination von verschiedenen System-Einstellungen Modifikationen. Damit wird an die manuelle Entfernung nicht möglich, da die Malware ständig in der Lage, die Aktionen der Benutzer oder Anti-Viren-Programme zu verfolgen. Zum Entfernen solcher Infektionen sollten die Opfer eine hochwertige Anti-Spyware-Lösung nutzen. Der WaterMiner Monero Bergmann soll nur einmal heruntergeladen werden selbst Anerkennung von Musteranalyse zu verbergen und andere Sicherheitsmaßnahmen.
Darüber hinaus waren die Sicherheitsexperten in der Lage, den Code zu dem TO-DO Abschnitt zu folgen, die Zukunft möglich Aktualisierungen der Core Engine listet. Der Hacker hinter dem Monero miner beabsichtigt, ein Backup-Modul in die Malware zu bündeln. Dies ermöglicht das Programm automatisch selbst gegen eine teilweise Entfernung zu sichern, unberechtigten Zugriff oder Modifikation. Eine weitere Zukunft Update kann einen verbesserten Persistenzmechanismus bringen, indem Sie den Taskplaner.
Das präsentierte Beispiel ist eine vorherige Instanz der WaterMiner Monero Malware, die eine ähnliche Infektion Taktik auf die zeitgenössische Version verfügt über, und zwar in der Weise, dass der Prozess in einer temporären Datei gespeichert wird aufgerufen “Intel(R) Sicherheit Assistent.exe”. Es wird als eine persistierende Infektion über einen Satz Registrierungswert installiert als einen verschleierten “Oracle Corporation” Anwendung.
WaterMiner Monero Miner Operationen
Der WaterMiner Monero Bergmann verbindet sich mit einem vordefinierten Pool durch spezifische Anweisungen in der Konfigurationsdatei mit. Ein Bergbau Pool ist ein zentralisierter Knoten, der eine Monero blockchain Block übernimmt und verteilt es an die angeschlossenen Peers für die Verarbeitung. Wenn eine festgelegte Anzahl von Aktien am Pool eine Belohnung in Form von Monero Kryptowährung wird verdrahtet an die angegebenen Adresse Portemonnaie zurückgegeben werden und überprüft. Im Fall des Schad Beispiel hierfür ist die Adresse, die von den Kriminellen betrieben.
Die erfassten Stämme wurden gefunden Minergate zu verbinden, die eine der beliebtesten Optionen ist, die Benutzer betrachten. In früheren Berichten, dass dies einer der Pools ist, die von Botnets sind weit verbreitet und gehackte Computer. Die eigentliche WaterMiner Monero miner Software ist eine modifizierte verson der weit verbreiteten Open-Source-Software XMRig.
An sich ist dies jedoch kein Malware seine Installation ohne Einwilligung des Nutzers als großes Sicherheitsrisiko identifiziert. Ältere Versionen des WaterMiner Virus gefunden wurde, Nizza Hash genannt einen weiteren Bergmann verwenden. Die Umstellung auf XMRig ist wahrscheinlich, weil die ältere Software ein Dutzend verschiedener Dateien erfordert richtig auf den kompromittierten Rechnern laufen.
Die Bergleute sich auf die verfügbaren Systemressourcen angewiesen, um komplexe Berechnungen mit Hilfe des Prozessors oder die Grafikkarten durchführen. Einer der offensichtlichen Anzeichen einer Infektion schwerwiegende Leistungseinbußen. Einige der erfassten Proben zu verteidigen gegen Untersuchung der möglichen Gründe, die das System kontinuierlich für ein offenes Fenster zu suchen, die nach einem der folgenden Namen benannt ist oder enthält eine ähnliche Zeichenfolge: Windows Task-Manager, Task-Manager, Anti-Virus, Process Hacker. Die integrierten Befehle zeigen, dass die Saiten in russischer und englischer Sprache eingegeben werden.
Wenn eine der oben genannten Anwendungen erkannt werden, werden sie entweder abgeschaltet oder der Abbauprozess angehalten wird,. Dies ist eine Stealth-Schutz-Funktion, die die Infektion Anwesenheit von den Opfern zu verschleiern versucht.
Wer verbirgt sich hinter dem WaterMiner Monero Miner
Einer der interessantesten Aspekte des Malware WaterMiiner Zusammenhang ist sein Schöpfer. Die Sicherheitsforscher versuchten, den Hacker oder kriminelles Kollektiv hinter dem Virus zu identifizieren. Die Untersuchung begann mit der Verfolgung der Beiträge und Aktivitäten der Forum-Profile, die das infizierten GTA Spiel Mods verteilt. Die Person (oder Menschen) hinter dem Konto mit dem Namen “Martin Opc0d3r” wurden mit anderen Internet-Boards mit Querverweisen. Die Berichte zeigen, dass die Verteilung zur Zeit auf dieser Seite finden, nur auf die Gaming-Community gebunden.
Einer der WaterMiner Proben enthalten hartcodierte Adressen, die Host der Virus-Instanzen auf fast identisch URLS auf russischen Web-Servern gehostet. Es ist möglich, dass sie automatisch durch ein Skript oder ein automatisiertes Programm erzeugt werden. Weitere Proben wurden auf mehreren Domains nach einem gemeinsamen Algorithmus gefunden.
Einige der Links von den Forschern identifiziert sind nicht mehr zugänglich. Bei den Untersuchungen beachten Sie die Experten, dass ähnliche Stämme gefunden worden. Es ist wahrscheinlich, dass sie angepasste Versionen des WaterMiner Monero Bergmann sind. Ein Pastebin Codeausschnitt mit dem Hacker-Profil zugeordnet legt nahe, dass einige der Archive, die den gleichen oder einen ähnlichen Namen sind tatsächlich Trojan-Instanzen und nicht die Malware Bergmann selbst tragen.
Da die Untersuchung weiter fortgesetzt, um das Verhalten durch die Analyse, Häufigkeit der Beiträge, Links und andere Aktivität des Profils mit den Angreifern zugeordnet, die Forscher beachten Sie, dass die Cyber-Kriminellen bei Verwendung von verschiedenen Standorten und Netzwerken erlebt. Jedoch eines der Profile auf dem russischen soziale Netzwerk VK eine andere Identität namens Anton wurde verwendet.
Während einer Diskussion mit einem anderen Benutzer des Mann unter dem Namen Anton gab den Mann hinter der bösartigen Identität zu sein. Wenn die Informationen wurden von den Ermittlern Querverweise konnten sie teilweise bestätigen, dass diese Person verantwortlich der Hacker für den Monero Bergmann ist.
Aktive Infektionen des WaterMiner Monero Bergmann kann mit einer Qualität Anti-Spyware-Lösung entfernt werden. Gefunden Instanzen effizient durch nur wenige Mausklicks entfernt werden.
Spy Hunter Scanner nur die Bedrohung erkennen. Wenn Sie wollen, dass die Bedrohung automatisch entfernt wird, Müssen sie die vollversion des anti-malware tools kaufen.Erfahren Sie mehr über SpyHunter Anti-Malware-Tool / Wie SpyHunter Deinstallieren
Martin Beltov
Martin hat einen Abschluss in Publishing von der Universität Sofia. er schreibt gerne über die neuesten Bedrohungen und Mechanismen des Eindringens Als Cyber-Security-Enthusiasten.
Folge mir: