SvcMiner.A trójai

CH azonosító

CH-12036

Angol cím

Trojan:SvcMiner.A

Felfedezés dátuma

2015.03.01.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Microsoft

Összefoglaló

A SvcMiner.A trójai legfontosabb feladata, hogy a Bitcoin bányászathoz szerezzen minél több erőforrást a csalók számára. Ennek megfelelően a fertőzött számítógépeken olyan műveleteket végez, amelyek révén a PC-ket virtuális pénz előállításába vonhatja be. Mivel mindez észrevehető terhelést okoz az áldozatául eső rendszereken, ezért a trójai egyik ismertetőjele a számítógépek lelassulása.
A SvcMiner.A jól ismert Windows-os folyamatok nevét felhasználva fut a háttérben, hogy ezzel is megnehezítse a felfedezését. Eközben pedig rendszerinformációkat is kiszivárogtat, amelyek alapján a terjesztői pontos képet kaphatnak arról, hogy a fertőzött PC milyen grafikus teljesítménnyel rendelkezik, és milyen biztonsági szoftverek futnak rajta. Az SvcMiner további fontos jellemzője, hogy esetenként elosztott szolgáltatásmegtagadási támadásokban is szerepet vállal.

Leírás

1. Létrehozza a következő állományokat:
%SystemDrive%winddktmp-1.bin
%SystemDrive%winddkwinddk.exe
2. Megpróbál az alábbi folyamatok nevében futni:
svchost.exe
Win Defender.exe
wuauclt.exe
3. Létrehoz egy mutexet, hogy egyszerre csak egy példányban fusson.
4. Kapcsolódik egy távoli kiszolgálóhoz, amelyről konfigurációs adatokat tölt le.
5. A konfigurációs adatok alapján megkezdi a Bitcoin bányászatát.
6. Esetenként elosztott szolgáltatásmegtagadási támadásokhoz is csatlakozhat.
7. Rendszerinformációkat gyűjt össze:
– telepített biztonsági szoftverek
– biztonsági beállítások
– a grafikus kártya/chip paraméterei.
8. Az összegyűjtött adatokat kiszivárogtatja.