セキュリティ研究者は、Crackonoshと呼ばれる新しいマルウェアの発見を報告しました. マルウェアは、RedditユーザーからAVプログラムがシステムにないという報告を受けた後、Avastの研究者によって発見されました.
Crackonoshマルウェアの詳細
アバストはレポートを調べて、いわゆるCrackonoshマルウェアを発見しました, 違法を使用する, 繁殖する人気のあるソフトウェアのひびの入ったコピー. このマルウェアは、アンチ検出およびアンチフォレンジック技術の一部としてAVプログラムを無効にします, 研究者 言った.
どうやら, 悪意のある脅威は、winrmsrv.exeとして識別される3つの主要なファイルをドロップします, winscomrssrv.dll, およびwinlogui.exe. AVプログラムを無効にすることに加えて, マルウェアは、検出防止機能の一部としてWindowsDefenderとWindowsUpdateも無効にします.
インストールに関して, マルウェアはこれらの手順に従います:
1.初め, 被害者は、クラックされたソフトウェアのインストーラーを実行します.
2.インストーラーはmaintenance.vbsを実行します
3.次に、Maintenance.vbsはserviceinstaller.msiを使用してインストールを開始します
4.Serviceinstaller.msiは、serviceinstaller.exeを登録して実行します, 主なマルウェア実行可能ファイル.
5.Serviceintaller.exeはStartupCheckLibrary.DLLを削除します.
6.StartupCheckLibrary.DLLは、wksprtcli.dllをダウンロードして実行します。.
7.Wksprtcli.dllは、新しいwinlogui.exeを抽出し、それに含まれるwinscomrssrv.dllとwinrmsrv.exeを削除します。, 復号化してフォルダに配置します.
Crackonoshの目的は何ですか? その悪意のある操作の最終目標は、 XMRing暗号通貨マイナー. 研究者は統計を含む1つの財布を発見することができました, の支払いを明らかにする 9000 合計でXMR. 今日の価格で, 合計は以上に等しい $2,000,000 米ドル.
手短に, Crackonoshは、重要なWindowsシステムファイルを置き換え、Windowsセーフモードを悪用してシステムの防御メカニズムに損害を与えることができます。. さらに身を守るために, セキュリティソフトウェアを無効にします, システムアップデート, さまざまな分析防止のトリックを使用して、検出を防ぎます. これらすべてのアプローチにより、Crackonoshの検出と削除が非常に困難になります.
ひびの入ったソフトウェアの常に存在する危険
この操作は、ひびの入った海賊版ソフトウェアをダウンロードすることがいかに危険であるかを示すもう1つの例です。. 「Crackonoshは少なくとも6月から流通しています。 2018 と譲歩しました $2,000,000 上からモネロの著者のための米ドル 222,000 世界中の感染したシステム,」アバストは指摘しました.
「これからの重要なポイントは、ソフトウェアを盗もうとすると、本当に何も得られないということです。, オッズは誰かがあなたから盗もうとしていることです,」研究者たちは結論を下した.
今年の初め, 悪意のあるキャンペーンについて報告しました MicrosoftOfficeとAdobePhotoshopのひびの入ったコピー. コピーはブラウザセッションCookieとMonero暗号通貨ウォレットを収集しました.