Как я поймал и обнаружил скрытый майнер
Всем привет. Вот и я решил зарегаться дабы поведать Вам одну историю которая произошла со мной на днях. Давеча сидел я вечером в одной своей любимой игре, играл и тут заметил, что игра довольно сильно местами лагает. Да ладно, видно опять не прогрузились текстуры полностью подумал я. Доиграл и уже было собирался спать, вышел из игры и через 5 минут заметил, что куллер на процессоре не сбавляет обороты. Странно, комп в простое, никаких прог использующих проц у меня нет. Как и любой другой пользователь открыл я диспетчер задач и увидел лишь нагрузку в пару процентов, но мой внутренний голос говорил мне, что-то здесь не то. Открываю аиду и вижу нагрузку на два ядра в 100%, открываю диспетчер задач, нагрузки нет, а в аиде она падает до нуля. Тут я понимаю, что словил скрытый майнер. Откуда я это понял? Когда-то интересовался этой темой, конечно не обошлось без разных форумов где видел продаванов предлагающих свои приватные сборки среди функций которых были и такие как скрытие от диспетчера задач, восстановления майнера после удаления. То есть при запуске диспетчера задач процесс майнера закрывался, а пользователь увидев, что нет никакой нагрузки, закрывал диспетчер и даже не подозревал, что после этого майнер снова начинал свою работу. И так нужно было остановить майнер и временно локализировать его пока я не вывел заразу с компа. А для этого его надо найти. Обычный диспетчер не помогает увидеть процесс майнера, процесс хакер тоже поскольку это диспетчер номер один после стандартного. Обычно создатель майнера задает ему завершение работы только при запуске стандартного диспетчера и парочки сторонних популярных. Я использую еще один диспетчер, System Explorer, отличная шутка. Запустив его я сразу глянул в аиду, нагрузка не упала, значит этот диспетчер майнер не палит. Просмотрев процессы я увидел, что комп мой грузит процесс helper.exe, бегло посмотрев в инете, что это файл винды на запуск доверенных программ, я открыл подпроцессы этого процесса и обнаружил еще один с абракадаброй в названии и расширением .tmp, то есть временный файл, немного удивил тот факт, что именно он грузил проц когда я открыл всю ветку. После его убийства я не удивился, что создался и запустился другой tmp-шник и тут же дал нагрузку на проц. Открыв папку с файлом helper я увидел пустоту, быстро сообразив, что раз скрытые папки и файлы включены, а файла я не вижу, значит у него атрибут системного. Быстренько создав батник и прописав в нем attrib -s -h до пути файла я его наконец увидел, затем убил процесс и тут же удалил, куллер потихоньку начал снижать обороты, нагрузка упала, далее пришлось возиться со скриптами в AVZ и на всякий случай просканить комп одноразовым сканировщиком. Удаляя этот файл я мельком увидел, что дата его изменения две недели назад, а винда стоит давно, вероятно он был подставлен вместо оригинально хелпера винды или просто так назывался дабы не вызвать подозрений. Надеюсь я снес все, но с тех пор веду круглосуточный мониторинг и все тихо. Кто-то скажет "надо вовремя обновлять базы данных антивируса", но не забывайте, что многие антивирусы не распознают простенький майнер как вирус, так как он не вредит компьютеру, а лишь заимствует его ресурсы для своих нужд. А если это еще и грамотно сделанный майнер и хорошо закриптованный, то антивирусы не спалят его вообще в ближайшие 2-3 недели начиная с момента сборки. Видеокарту майнер не задел, видно майнил только на проце. На этом все, берегите свое железо от недобросовестных майнеров.
