Η εξόρυξη ψηφιακών νομισμάτων είναι η νέα τάση στον χώρο του κυβερνοεγκλήματος, και το WinstarNssmMiner είναι ένα ακόμη παράδειγμα coinminer που στοχεύει συστήματα με Windows, σε μια προσπάθεια εξόρυξης Monero.
To κακόβουλο λογισμικό εντοπίστηκε πρόσφατα από την εταιρεία ασφαλείας 360 Total Security, και όπως επισημαίνουν οι ερευνητές, απαριθμεί περισσότερα από 500.000 θύματα μέσα σε διάστημα τριών μόλις ημερών.
Το άκρως επιθετικό coinminer διαδίδεται μέσω ειδικά σχεδιασμένων εκστρατειών και χρησιμοποιεί όλους τους πόρους των Windows συστημάτων για την εξόρυξη Monero. Χρησιμοποιεί μάλιστα αρκετές τεχνικές προστασίας για να παρακάμπτει τις λύσεις antivirus και για να διασφαλίζει ότι δεν παρεμποδίζονται τα processes που εκκινεί.
Πιο συγκεκριμένα, μόλις εισχωρήσει σε ένα σύστημα, το WinstarNssmMiner ελέγχει τη δραστηριότητα των εγκαταστημένων αντιικών λογισμικών προστασίας, και σε περίπτωση που εκτελείται σάρωση για ιούς αναστέλλει προσωρινά την κακόβουλη δράση του.
Όταν κρίνει ότι είναι ασφαλές, το κακόβουλο λογισμικό δημιουργεί δύο διαφορετικές διεργασίες συστήματος με την ονομασία svchost.exe ( το svchost.exe ή Service Host είναι μια τυπική διεργασία των Windows), σε μια προσπάθεια να μην γίνει αντιληπτό. Το ένα process ξεκινά διαδικασίες εξόρυξης κρυπτονομισμάτων, ενώ το άλλο παρακολουθεί τις λύσεις antivirus διακόπτοντας κάθε δραστηριότητα όταν εκτελείται κάποιο scan για ιούς.
Το WinstarNssmMiner επιφυλάσσει μια ακόμη έκπληξη για τους χρήστες των Windows, καθώς σε περίπτωση που ανακαλυφθεί η δράση του και επιχειρηθεί ο τερματισμός του svchost.exe, το malware κρασάρει τα Windows, οδηγώντας σε BSOD. Αυτό συμβαίνει γιατί το κακόβουλο πρόγραμμα ορίζει το svchost.exe ως CriticalProcess, με αποτέλεσμα τα Windows να τερματίζουν τον υπολογιστή κατά τον τερματισμό της κακόβουλης διεργασίας.
Σύμφωνα με τους ερευνητές, το κακόβουλο λογισμικό εξαπλώνεται πλέον σε περισσότερα συστήματα σε όλο τον κόσμο και ο ευκολότερος τρόπος για να διατηρηθεί η ασφάλειά σας είναι να χρησιμοποιείτε ενημερωμένες λύσεις προστασίας από ιούς αλλά και εξειδικευμένες εφαρμογές προστασίας από web mining.
___________________________
- AVCrypt το ransomware που πριν χτυπήσει διαγράφει τα antivirus
- RedDrop malware: Προσοχή φουσκώνει λογαριασμούς και κυκλοφορεί
- Log Files των Windows: ανεύρεση και ανάγνωση των αρχείων καταγραφής