SHA1-хеш:
- 4ffae4669eba9938639662667f5430a806e56980
- 7717e9c5d85e77653bf65e57ed20f89086c3e3ed
Описание
Троянская программа для ОС Windows, написанная на языке С++. Представляет собой загрузчик майнера, созданный на базе проекта SilentCryptoMiner с открытым кодом. Строки в файле обфусцированы с помощью модифицированной библиотеки Obfuscate. На заражаемые компьютеры загрузчик попадает в составе дистрибутива с пиратским ПО. При распаковке инсталляционного пакета были обнаружены пути хранения исходных файлов трояна:
C:\bot_sibnet\Resources\softportal\exe\
C:\bot_sibnet\Resources\protect_build\miner\По данным облачного сервиса Dr.Web Cloud, за месяц было зафиксировано более 3000 попыток заражения.
После запуска загрузчик копирует себя в каталог %ProgramFiles%\google\chrome\ под именем updater.exe и создает задачу планировщика для обеспечения автозагрузки при запуске ОС. В целях маскировки задача имеет название GoogleUpdateTaskMachineQC. Также загрузчик запускает Powershell и прописывает себя в исключения антивируса Windows Defender.
powershell.exe Add-MpPreference -ExclusionPath @($env:UserProfile, $env:ProgramFiles) -Force
После чего запрещает компьютеру выключаться и уходить в режим гибернации.
cmd.exe /c powercfg /x -hibernate-timeout-ac 0 & powercfg /x -hibernate-timeout-dc 0 & powercfg /x -standby-timeout-ac 0 &powercfg /x -standby-timeout-dc 0
Начальные настройки зашиты в тело трояна, в дальнейшем получение настроек выполняется с удаленного хоста. После инициализации в процесс explorer.exe внедряется полезная нагрузка — Trojan.BtcMine.2742, троян, отвечающий за скрытую добычу криптовалюты.
Дополнительно данный загрузчик может выполнять следующие функции:
- устанавливать на скомпрометированный компьютер бесфайловый руткит r77,
- запрещать обновления ОС Windows (путем остановки служб UsoSvc, WaaSMedicSvc, Wuauserv, BITS и DoSvc и переименования соответствующих им веток реестра),
- блокировать доступ к сайтам (за счет модификации файла hosts),
- автоматически удалять и восстанавливать свои исходные файлы,
- приостанавливать процесс добычи криптовалюты и выгружать занимаемую майнером оперативную и видеопамять при запуске на зараженном компьютере программ для мониторинга процессов.
