Összefoglaló
A SvcMiner.A trójai legfontosabb feladata, hogy a Bitcoin bányászathoz szerezzen minél több erőforrást a csalók számára. Ennek megfelelően a fertőzött számítógépeken olyan műveleteket végez, amelyek révén a PC-ket virtuális pénz előállításába vonhatja be. Mivel mindez észrevehető terhelést okoz az áldozatául eső rendszereken, ezért a trójai egyik ismertetőjele a számítógépek lelassulása.
A SvcMiner.A jól ismert Windows-os folyamatok nevét felhasználva fut a háttérben, hogy ezzel is megnehezítse a felfedezését. Eközben pedig rendszerinformációkat is kiszivárogtat, amelyek alapján a terjesztői pontos képet kaphatnak arról, hogy a fertőzött PC milyen grafikus teljesítménnyel rendelkezik, és milyen biztonsági szoftverek futnak rajta. Az SvcMiner további fontos jellemzője, hogy esetenként elosztott szolgáltatásmegtagadási támadásokban is szerepet vállal.
Leírás
1. Létrehozza a következő állományokat:
%SystemDrive%winddktmp-1.bin
%SystemDrive%winddkwinddk.exe
2. Megpróbál az alábbi folyamatok nevében futni:
svchost.exe
Win Defender.exe
wuauclt.exe
3. Létrehoz egy mutexet, hogy egyszerre csak egy példányban fusson.
4. Kapcsolódik egy távoli kiszolgálóhoz, amelyről konfigurációs adatokat tölt le.
5. A konfigurációs adatok alapján megkezdi a Bitcoin bányászatát.
6. Esetenként elosztott szolgáltatásmegtagadási támadásokhoz is csatlakozhat.
7. Rendszerinformációkat gyűjt össze:
– telepített biztonsági szoftverek
– biztonsági beállítások
– a grafikus kártya/chip paraméterei.
8. Az összegyűjtött adatokat kiszivárogtatja.
Támadás típusa
Deny of service (Szolgáltatás megtagadás)Information disclosure (Információ/adat szivárgás)
System access (Rendszer hozzáférés)
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: isbk.hu
Egyéb referencia: www.microsoft.com
