Давеча поймали девчата на работе вирусняк забавный, ну как забавный, его запустили, а он сам себя разослал всем контактам. Сам же файл представзяет собой архив с названием типа video_*случайный набор цифт*, а в архиве exe'шник с ютубовской иконкой (да-да, не ругайте девочек, нам видео часто присылают вот они и кликнули). И да, вирустотал зеленый.
Виновника торжества я конечно же себе закупорил в пробирку виртуалку, для дальнейших опытов, а тем временем почитал новости, где инфа о вирусе уже активно форсилась (Украина).
Самое забавное что в некоторых заголовка фигурировало что-то в стиле «Как удалить вирус в Facebook» и описывалось что мол нужно поменять пароль и включить двухэтапную аутентификацию (ага, вроде это поможет). Но самых мотивов вируса никто не описывал, ну разослался по друзьям, а кто-то запустил и оно дальше пошло и т.д. и т.п.
Короче хватит мусолить, ближе к делу. Жажда познаний и здравого любопытства всегда меня преследовала, как мозговой червь присосавшийся к макушке.
В общем на виртуалку (win 7) был установлен Process Monitor и собственно запущен сам вирусняк. После запуска мне выдало что IE не может запустить js скрипт (ха-ха), но зловред не растерялся и запустил хром, попытавшись открыть вкладку с фейсбуком.
В Process Monitor было обнаружено создание новой папки, лежащей весьма на видном месте Users/IEUser/AppData/Roamin/ с какими-то уж больно трендовым названием exe'шника:
О, так у нас там еще и JSON есть, заглянем-ка:
И так, что мы имеем? Майнер для Monero(криптовалюта), само название майнера XMRig (исходники в открытом доступе на гитхабе).
Собственно если поискать того, на кого это майнится, то можно выйти на гитхаб профиль где видно что юзер не так давно форкал этот майнер, а так же парочку интересных репозиториев, в стиле «ua-parser-js», что определенно складывает кусочки пазла и наводит на определенные мысли.
Подставное ли это лицо или нет, кто знает.
У меня все.
Автор: pretorian007