Trojan.BtcMine.218 раскрывая детали


Trojan.BtcMine.218 - вредоносная программа, распространяющаяся с помощью широко известной вредоносной партнерской программы installmonster.ru, и предназначенная для майнинга (добычи) электронной криптовалюты Bitcoin.

Мониторинг партнерской программы по монетизации файлового трафика Installmonster.ru опят подтвердил ее вредоносный характер. Так в начале декабря в раздаче данной партнерской программы был замечен файл SmallWeatherSetup.exe, якобы представляющий собой "погодный тулбар". На самом деле, предлагаемый партнерской программой Installmonster.ru тулбар, содержит совсем небезопасное "дополнение".

Данное вредоносное дополнение представляет собой классический троян-дроппер, написанный на макроязыке AutoIt. Код скрипта содержит две характерные строки:

  • FILEINSTALL("C:\Users\Antonio\Desktop\Glue\SmallWeatherSetup.exe", @TEMPDIR & "\Setup_1.exe")
  • FILEINSTALL("C:\Users\Antonio\Desktop\Glue\Install.exe", @TEMPDIR & "\Setup_2.exe")


Исходя из этих строк видно, что пользователь, скрывающийся под псевдонимом Antonio, собрал на Рабочем столе своего компьютера дроппер, включающий два приложения:

  • SmallWeatherSetup.exe - безобидный "погодный информатор";
  • вредоносную программу в файле Install.exe.


При этом приложение Install.exe представляет собой загрузчик основного троянского компонента, который, используя конфигурационный файл в формате XML, скачиваемый с сайта злоумышленников http://bitchat.org, устанавливает на инфицированный компьютер приложение для добычи (майнинга) криптовалюты. В конфигурационном файле вредоноса содержится логин пользователя, в чью пользу троян расходует аппаратные ресурсы компьютера жертвы, — tonycraft.

В качестве приложения для добычи криптовалюты используется программа cpuminer (распознается, как Tool.BtcMine.130), однако на зараженной системе она работает под именем

  • %APPDATA%\Intel\explorer.exe.


Чтобы обеспечить свою загрузку в автоматическом режиме каждый раз при запуске компьютера, троянская программа модифицирует соответствующую ветвь системного реестра Windows:

  • [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
  • "Intel(R) Common User Interface"="%APPDATA%\Intel\Intel.exe"


Символьная информация, составленная в модулях трояна, показала, что основные его модули написаны другим человеком:

  • c:\Users\Кошевой Дмитрий\Documents\Visual Studio 2012\Projects\Miner\Instal\obj\Debug\Instal.pdb


С помощью элементарного поиска без труда находится страница в социальной сети "ВКонтакте", на которой пользователь Tonycoin приглашает всех на свой "обновленный чат-сайт bitchat.org":

Priglashenie na site bitchatorg

Также отыскиваются страницы, где тот же пользователь рекламирует своего трояна под видом приложения SmallWeatherSetup.exe

Trojan pod vidom prilojeniya SmallWeatherSetupexe Trojan pod vidom prilojeniya SmallWeatherSetupexe 1 Trojan pod vidom prilojeniya SmallWeatherSetupexe 2

В настоящее время вирусописатель "Кошевой Дмитрий" продолжает модифицировать свою поделку для обхода сигнатурного детекта, а Tony - распространяет приложение "Интернет Радио" в виде файла с именем ScreamerRadio.exe.

Интересно, но у InstallMonster появился новый "рекламодатель", устанавливающий пользователям программу RadioOnline.exe, которая представляет собой все тот же Trojan.BtcMine.218.