18 dicembre 2013

Doctor Web — azienda russa per la sicurezza informatica — comunica della comparsa del malware Trojan.BtcMine.218 studiato per il mining della cripto-moneta Bitcoin. Il trojan si propaga tramite il partner program Installmonster.ru. Questo è già il secondo trojan di questo tipo scoperto dagli specialisti di Doctor Web a dicembre 2013.

Un'analisi del partner program Installmonster.ru ha confermato che esso diffonde programmi malevoli. All'inizio di dicembre abbiamo scoperto che tra i file scaricabili da questo sito vi era il file SmallWeatherSetup.exe che sarebbe una toolbar meteo. Esiste un'applicazione dallo stesso nome che mostra previsioni del tempo, ma la variante offerta da Installmonster.ru include "un'addizione" nociva.

Il malware è un classico dropper scritto nel linguaggio di macro AutoIt. Il codice dello script è abbastanza semplice e chiaro, inoltre contiene due stringhe speciali:

Da queste stringhe si capisce che l'utente nascosto sotto il nickname Antonio ha montato sul desktop del suo computer un dropper che include due applicazioni: l'innocua toolbar meteo SmallWeatherSetup.exe e il programma nocivo Install.exe. L'Install.exe scarica il componente principale del trojan che installa sul computer infetto un'applicazione per il mining della cripto-moneta, utilizzando il file di configurazione in formato XML scaricato dal sito dei malintenzionati http://bitchat.org. Il file di configurazione contiene lo username "tonycraft", ovviamente è l'utente per conto del quale il malware sfrutta le risorse hardware del computer infetto.

L'applicazione per il mining della cripto-moneta è conosciuta come cpuminer (Tool.BtcMine.130), però sul computer infetto funziona sotto il nome %APPDATA%\Intel\explorer.exe. Per assicurare l'avvio automatico dell'applicazione, il trojan modifica il rispettivo ramo del registro di Windows:

A quanto pare, l'utente Antonio (Tony) non è esperto nella programmazione e per questo lavoro ha incaricato un'altra persona che ha scritto i moduli principali del trojan. Questo si sa dalle informazioni lasciate nei moduli del trojan, ad esempio: "c:\Users\Koshevoy Dmitry\Documents\Visual Studio 2012\Projects\Miner\Instal\obj\Debug\Instal.pdb".

Tramite una semplice ricerca in Internet, troviamo una pagina nel social network "VKontakte" sulla quale l'utente Tonycoin invita tutti al suo "sito di chat aggiornato bitchat.org":

Su alcune altre pagine lo stesso utente pubblicizza l'applicazione SmallWeatherSetup.exe con il trojan dentro.

Attualmente, l'autore del trojan – "Koshevoy Dmitry" – continua a modificare la sua "opera" per renderla capace di raggirare il rilevamento per firme antivirali, mentre "Tony" ha cominciato a diffondere l'applicazione "Web Radio" nel file ScreamerRadio.exe.

A proposito, di recente nel partner program InstallMonster è comparso un nuovo "inserzionista" che offre il programma RadioOnline.exe che è sempre il Trojan.BtcMine.218. Il software Dr.Web rileva ed elimina il Trojan.BtcMine.218 perciò l'applicazione malevola non è pericolosa per gli utenti dei nostri antivirus.