15 giugno 2017

I trojan miner – programmi malevoli che impiegano le risorse di calcolo di un dispositivo infetto per estrarre le criptovalute (cioè per il mining). Gli analisti dei virus Doctor Web hanno studiato un trojan di questo genere che è in grado di infettare computer con Microsoft Windows.

Questo programma malevolo, progettato per l'estrazione della criptovaluta Monero (XMR) e per l'installazione del backdoor Gh0st RAT, è stato denominato Trojan.BtcMine.1259. Il miner viene scaricato sul computer dal trojan downloader Trojan.DownLoader24.64313 che a sua volta viene distribuito dal backdoor DoublePulsar.

Subito dopo l'avvio Trojan.BtcMine.1259 controlla se sul computer infetto è in esecuzione una sua copia. Quindi determina il numero di nuclei della CPU e se è maggiore o uguale al numero di thread specificato nella configurazione del trojan, decifra e carica in memoria una libreria conservata nel suo corpo. Questa libreria è una versione modificata del sistema di amministrazione remota a codice aperto, conosciuto sotto il nome di Gh0st RAT (viene rilevato da Antivirus Dr.Web come BackDoor.Farfli.96). Quindi Trojan.BtcMine.1259 salva su disco una sua copia e la lancia come un servizio di sistema. Dopo un avvio di successo il trojan cerca di scaricare un suo aggiornamento da un server di controllo, il cui indirizzo è specificato nel file di configurazione.

Il modulo principale progettato per l'estrazione della criptovaluta Monero anche è realizzato nella forma di una libreria, e il trojan contiene sia una versione del miner a 32 bit che una a 64 bit. La versione del trojan corrispondente viene utilizzata sul computer infetto a seconda del numero di bit del sistema operativo. Nella configurazione di questo modulo è indicato quanti nuclei e quante risorse di calcolo della CPU saranno utilizzate per l'estrazione della criptovaluta, con quale intervallo il miner si riavvierà automaticamente e anche altri parametri. Il trojan monitora i processi in esecuzione sul computer infetto e si chiude quando c'è un tentativo di avvio del Task manager.

Nonostante il fatto che i primi trojan miner vennero scoperti più di 6 anni fa (il record Trojan.BtcMine.1 venne aggiunto ai database di virus Dr.Web nel 2011), i malintenzionati continuano a distribuire i programmi malevoli che sfruttano le risorse di calcolo di un computer all'insaputa dell'utente. Un sintomo di infezione da tale programma può essere il rallentamento delle prestazioni del sistema o una CPU più riscaldata del normale. Trojan.BtcMine.1259 e tutti i suoi componenti vengono rimossi con successo da Antivirus Dr.Web perciò il trojan non rappresenta alcun rischio per i nostri utenti.

Informazioni sul trojan