Proteggi ciò che crei

Le altre nostre risorse

Chiudi

La mia libreria
La mia libreria

+ Aggiungi alla libreria

Supporto
Supporto 24/7 | Regole per contattare

Richieste

Profile

Back to news

Doctor Web avverte della diffusione di un trojan miner

15 giugno 2017

I trojan miner – programmi malevoli che impiegano le risorse di calcolo di un dispositivo infetto per estrarre le criptovalute (cioè per il mining). Gli analisti dei virus Doctor Web hanno studiato un trojan di questo genere che è in grado di infettare computer con Microsoft Windows.

Questo programma malevolo, progettato per l'estrazione della criptovaluta Monero (XMR) e per l'installazione del backdoor Gh0st RAT, è stato denominato Trojan.BtcMine.1259. Il miner viene scaricato sul computer dal trojan downloader Trojan.DownLoader24.64313 che a sua volta viene distribuito dal backdoor DoublePulsar.

Subito dopo l'avvio Trojan.BtcMine.1259 controlla se sul computer infetto è in esecuzione una sua copia. Quindi determina il numero di nuclei della CPU e se è maggiore o uguale al numero di thread specificato nella configurazione del trojan, decifra e carica in memoria una libreria conservata nel suo corpo. Questa libreria è una versione modificata del sistema di amministrazione remota a codice aperto, conosciuto sotto il nome di Gh0st RAT (viene rilevato da Antivirus Dr.Web come BackDoor.Farfli.96). Quindi Trojan.BtcMine.1259 salva su disco una sua copia e la lancia come un servizio di sistema. Dopo un avvio di successo il trojan cerca di scaricare un suo aggiornamento da un server di controllo, il cui indirizzo è specificato nel file di configurazione.

Il modulo principale progettato per l'estrazione della criptovaluta Monero anche è realizzato nella forma di una libreria, e il trojan contiene sia una versione del miner a 32 bit che una a 64 bit. La versione del trojan corrispondente viene utilizzata sul computer infetto a seconda del numero di bit del sistema operativo. Nella configurazione di questo modulo è indicato quanti nuclei e quante risorse di calcolo della CPU saranno utilizzate per l'estrazione della criptovaluta, con quale intervallo il miner si riavvierà automaticamente e anche altri parametri. Il trojan monitora i processi in esecuzione sul computer infetto e si chiude quando c'è un tentativo di avvio del Task manager.

Nonostante il fatto che i primi trojan miner vennero scoperti più di 6 anni fa (il record Trojan.BtcMine.1 venne aggiunto ai database di virus Dr.Web nel 2011), i malintenzionati continuano a distribuire i programmi malevoli che sfruttano le risorse di calcolo di un computer all'insaputa dell'utente. Un sintomo di infezione da tale programma può essere il rallentamento delle prestazioni del sistema o una CPU più riscaldata del normale. Trojan.BtcMine.1259 e tutti i suoi componenti vengono rimossi con successo da Antivirus Dr.Web perciò il trojan non rappresenta alcun rischio per i nostri utenti.

Informazioni sul trojan

La tua opinione conta per noi

Per ogni commento viene accreditato 1 punto Dr.Web. Per fare una domanda relativa alla notizia all'amministrazione del sito, inserire @admin all'inizio del commento. Se una domanda si fa all'autore di uno dei commenti — inserire @ prima del suo nome.


Altri commenti

Sviluppatore russo degli antivirus Dr.Web
Esperienza di sviluppo dal 1992
Dr.Web viene utilizzato in 200+ paesi del mondo
L'antivirus viene fornito come un servizio dal 2007
Supporto ventiquattro ore su ventiquattro

Dr.Web © Doctor Web
2003 — 2020

Doctor Web — sviluppatore russo dei software di protezione antivirus delle informazioni Dr.Web. I prodotti Dr.Web vengono sviluppati fin dal 1992.

125124, Russia, Mosca, la 3° via Yamskogo polya, 2, 12A