6 agosto 2015

Con il passare del tempo è aumentato notevolmente il volume di risorse di calcolo necessarie per ricavare le monete elettroniche simili a Bitcoin, e di conseguenza è diminuito in proporzione l'interesse da parte dei malintenzionati verso questa sfera. Ciononostante, il laboratorio dei virus Doctor Web continua a ricevere nuovi campioni dei trojan-miner, uno dei quali è stato denominato il Trojan.BtcMine.737.

L'architettura interna del Trojan.BtcMine.737 assomiglia a una bambola "matrioska" composta da tre installer nidificati, creati dai malfattori con utilizzo della tecnologia Nullsoft Scriptable Install System (NSIS). Il primo strato di questo "sandwich" è un dropper abbastanza semplice: cerca di terminare processi di Trojan.BtcMine.737 se sono già in esecuzione nel sistema e quindi estrae dal proprio corpo e salva nella cartella temporanea il file eseguibile di un altro installer, lo esegue ed elimina il file originale.

Il secondo installer possiede le funzioni più ampie, simili a quelle di un worm di rete. In primo luogo, salva in una cartella sul disco del computer attaccato e avvia il file eseguibile CNminer.exe, che è inoltre un installer NSIS, e quindi crea le proprie copie nella cartella di download, nella cartella Documenti dell'utente di Windows e nella directory appena creata sul disco per cui apre automaticamente l'accesso dalla rete locale. Nelle cartelle target queste copie del malware si visualizzano come un file con il nome Key con l'icona di un archivio WinRAR.

Quindi il trojan si copia nelle cartelle radice di tutti i dischi della macchina infettata (e ripete questa operazione con una determinata periodicità), enumera i computer disponibili nell'ambiente di rete e cerca di connettersi ad essi selezionando login e password da un apposito elenco. Inoltre, il programma malevolo cerca di indovinare la password dell'account locale dell'utente di Windows. Se ci è riuscito, il Trojan.BtcMine.737, se è disponibile l'apparecchiatura corrispondente, avvia sul computer infetto un punto d'accesso WiFi pubblico. Se il programma malevolo ha potuto accedere a un computer della rete locale, cerca di salvare ed eseguire su di esso una propria copia tramite Windows Management Instrumentation (WMI) o scheduler di task.

Il sopracitato programma CNminer.exe, che il Trojan.BtcMine.737 salva su disco nella seconda fase della sua installazione, è proprio un installer di un'utility studiata per l'estrazione (mining) della moneta crittografica. Dopo aversi avviato sul computer infetto, l'applicazione CNminer.exe salva nella cartella corrente i file eseguibili del miner per le architetture a 32 e a 64 bit, nonché un file di testo con le configurazioni necessarie per il suo funzionamento. Il trojan trascrive un collegamento al file eseguibile nel ramo del registro di sistema di Windows responsabile dell'esecuzione automatica di applicazioni, e inoltre salva una relativa icona nella cartella standard di esecuzione automatica. Dopo l'avvio dell'installer, uno script incluso in esso termina processi di miner in esecuzione (se disponibili), quindi si connette al suo server di gestione che restituisce in un file HTML le informazioni di configurazione supplementari con i parametri di pool e i numeri di portafogli elettronici, che cambiano di volta in volta. Va notato che i malintenzionati utilizzano come miner un'utility di terzi che viene rilevata dall'Antivirus Dr.Web come un programma della famiglia Tool.BtcMine. Il creatore dell'utility la distribuisce dietro pagamento di una ricompensa del 2,5% del totale monete crittografiche ricavate, perciò i malintenzionati gli mandano automaticamente una parte dei loro guadagni illeciti.

Dato che il Trojan.BtcMine.737 ha la capacità di diffondersi in modo autonomo sulla rete locale, esso può rappresentare una minaccia ai computer non protetti attraverso programmi antivirus. L'Antivirus Dr.Web rileva e rimuove il trojan con successo, perciò gli utenti dei prodotti Doctor Web sono protetti in modo sicuro dalle azioni di questo miner.