На волне майнинга. Новый вирус распространяемый через Facebook

в 12:15, , рубрики: антивирусная защита, вирусный анализ, вирусы, майнинг, фейсбук

Давеча поймали девчата на работе вирусняк забавный, ну как забавный, его запустили, а он сам себя разослал всем контактам. Сам же файл представзяет собой архив с названием типа video_*случайный набор цифт*, а в архиве exe'шник с ютубовской иконкой (да-да, не ругайте девочек, нам видео часто присылают вот они и кликнули). И да, вирустотал зеленый.

image

Виновника торжества я конечно же себе закупорил в пробирку виртуалку, для дальнейших опытов, а тем временем почитал новости, где инфа о вирусе уже активно форсилась (Украина).

Самое забавное что в некоторых заголовка фигурировало что-то в стиле «Как удалить вирус в Facebook» и описывалось что мол нужно поменять пароль и включить двухэтапную аутентификацию (ага, вроде это поможет). Но самых мотивов вируса никто не описывал, ну разослался по друзьям, а кто-то запустил и оно дальше пошло и т.д. и т.п.

Короче хватит мусолить, ближе к делу. Жажда познаний и здравого любопытства всегда меня преследовала, как мозговой червь присосавшийся к макушке.

В общем на виртуалку (win 7) был установлен Process Monitor и собственно запущен сам вирусняк. После запуска мне выдало что IE не может запустить js скрипт (ха-ха), но зловред не растерялся и запустил хром, попытавшись открыть вкладку с фейсбуком.

В Process Monitor было обнаружено создание новой папки, лежащей весьма на видном месте Users/IEUser/AppData/Roamin/ с какими-то уж больно трендовым названием exe'шника:

image

О, так у нас там еще и JSON есть, заглянем-ка:

image

И так, что мы имеем? Майнер для Monero(криптовалюта), само название майнера XMRig (исходники в открытом доступе на гитхабе).

Собственно если поискать того, на кого это майнится, то можно выйти на гитхаб профиль где видно что юзер не так давно форкал этот майнер, а так же парочку интересных репозиториев, в стиле «ua-parser-js», что определенно складывает кусочки пазла и наводит на определенные мысли.

Подставное ли это лицо или нет, кто знает.

У меня все.

Автор: pretorian007

Источник


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js