Proteggi ciò che crei

Le altre nostre risorse

Chiudi

La mia libreria
La mia libreria

+ Aggiungi alla libreria

Supporto
Supporto 24/7 | Regole per contattare

Richieste

Profile

Back to news

Trojan.BtcMine.218 svela il nome del suo autore

18 dicembre 2013

Doctor Web — azienda russa per la sicurezza informatica — comunica della comparsa del malware Trojan.BtcMine.218 studiato per il mining della cripto-moneta Bitcoin. Il trojan si propaga tramite il partner program Installmonster.ru. Questo è già il secondo trojan di questo tipo scoperto dagli specialisti di Doctor Web a dicembre 2013.

Un'analisi del partner program Installmonster.ru ha confermato che esso diffonde programmi malevoli. All'inizio di dicembre abbiamo scoperto che tra i file scaricabili da questo sito vi era il file SmallWeatherSetup.exe che sarebbe una toolbar meteo. Esiste un'applicazione dallo stesso nome che mostra previsioni del tempo, ma la variante offerta da Installmonster.ru include "un'addizione" nociva.

Il malware è un classico dropper scritto nel linguaggio di macro AutoIt. Il codice dello script è abbastanza semplice e chiaro, inoltre contiene due stringhe speciali:

FILEINSTALL("C:\Users\Antonio\Desktop\Glue\SmallWeatherSetup.exe", @TEMPDIR & "\Setup_1.exe")
FILEINSTALL("C:\Users\Antonio\Desktop\Glue\Install.exe", @TEMPDIR & "\Setup_2.exe")

Da queste stringhe si capisce che l'utente nascosto sotto il nickname Antonio ha montato sul desktop del suo computer un dropper che include due applicazioni: l'innocua toolbar meteo SmallWeatherSetup.exe e il programma nocivo Install.exe. L'Install.exe scarica il componente principale del trojan che installa sul computer infetto un'applicazione per il mining della cripto-moneta, utilizzando il file di configurazione in formato XML scaricato dal sito dei malintenzionati http://bitchat.org. Il file di configurazione contiene lo username "tonycraft", ovviamente è l'utente per conto del quale il malware sfrutta le risorse hardware del computer infetto.

L'applicazione per il mining della cripto-moneta è conosciuta come cpuminer (Tool.BtcMine.130), però sul computer infetto funziona sotto il nome %APPDATA%\Intel\explorer.exe. Per assicurare l'avvio automatico dell'applicazione, il trojan modifica il rispettivo ramo del registro di Windows:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Intel(R) Common User Interface"="%APPDATA%\Intel\Intel.exe"

A quanto pare, l'utente Antonio (Tony) non è esperto nella programmazione e per questo lavoro ha incaricato un'altra persona che ha scritto i moduli principali del trojan. Questo si sa dalle informazioni lasciate nei moduli del trojan, ad esempio: "c:\Users\Koshevoy Dmitry\Documents\Visual Studio 2012\Projects\Miner\Instal\obj\Debug\Instal.pdb".

Tramite una semplice ricerca in Internet, troviamo una pagina nel social network "VKontakte" sulla quale l'utente Tonycoin invita tutti al suo "sito di chat aggiornato bitchat.org":

screen

Su alcune altre pagine lo stesso utente pubblicizza l'applicazione SmallWeatherSetup.exe con il trojan dentro.

screen

screen

screen

Attualmente, l'autore del trojan – "Koshevoy Dmitry" – continua a modificare la sua "opera" per renderla capace di raggirare il rilevamento per firme antivirali, mentre "Tony" ha cominciato a diffondere l'applicazione "Web Radio" nel file ScreamerRadio.exe.

A proposito, di recente nel partner program InstallMonster è comparso un nuovo "inserzionista" che offre il programma RadioOnline.exe che è sempre il Trojan.BtcMine.218. Il software Dr.Web rileva ed elimina il Trojan.BtcMine.218 perciò l'applicazione malevola non è pericolosa per gli utenti dei nostri antivirus.

La tua opinione conta per noi

Per fare una domanda relativa alla notizia all'amministrazione del sito, inserire @admin all'inizio del commento. Se una domanda si fa all'autore di uno dei commenti — inserire @ prima del suo nome.


Altri commenti

Sviluppatore russo degli antivirus Dr.Web
Esperienza di sviluppo dal 1992
Dr.Web viene utilizzato in 200+ paesi del mondo
L'antivirus viene fornito come un servizio dal 2007
Supporto ventiquattro ore su ventiquattro

Dr.Web © Doctor Web
2003 — 2021

Doctor Web — sviluppatore russo dei software di protezione antivirus delle informazioni Dr.Web. I prodotti Dr.Web vengono sviluppati fin dal 1992.

125124, Russia, Mosca, la 3° via Yamskogo polya, 2, 12A