Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Trojan.BtcMine.3767

Добавлен в вирусную базу Dr.Web: 2024-01-06

Описание добавлено:

sha1:

  • 4ffae4669eba9938639662667f5430a806e56980
  • 7717e9c5d85e77653bf65e57ed20f89086c3e3ed

Description

A trojan for Windows OS written in C++. It is a miner loader based on the open source SilentCryptoMiner project. The code is obfuscated using a modified Obfuscate library. The loader arrives on infected computers attached to a distribution of pirated software. Unpacking the installation package revealed the paths where the trojan's source files were stored:

C:\bot_sibnet\Resources\softportal\exe\
C:\bot_sibnet\Resources\protect_build\miner\

According to the Dr.Web Cloud service, more than 3,000 infection attempts were detected in December.

Once launched, the loader copies itself to %ProgramFiles%\google\chrome\ under the name updater.exe and creates a scheduler task to ensure its loading at system startup. For stealth purposes, the task is named GoogleUpdateTaskMachineQC. The loader also runs Powershell to add itself to Windows Defender exceptions.

powershell.exe Add-MpPreference -ExclusionPath @($env:UserProfile, $env:ProgramFiles) -Force

Then it prevents the computer from shutting down or hibernating.

cmd.exe /c powercfg /x -hibernate-timeout-ac 0 & powercfg /x -hibernate-timeout-dc 0 & powercfg /x -standby-timeout-ac 0 &powercfg /x -standby-timeout-dc 0

The initial settings are embedded in the trojan’s body; then the settings are downloaded from a remote host. Once initialized, this loader injects Trojan.BtcMine.2742, the payload responsible for hidden cryptocurrency mining, into explorer.exe.

In addition, in terms of functionality, this loader can:

  • Install the r77 fileless rootkit on a compromised computer,
  • Disable Windows updates (by stopping the UsoSvc, WaaSMedicSvc, Wuauserv, BITS, and DoSvc services and renaming their corresponding registry branches),
  • Block access to websites (by modifying the hosts file),
  • Automatically delete and restore its files,
  • Suspend the cryptocurrency mining process and free the RAM and VRAM occupied by the miner when the user launches process monitors.

Рекомендации по лечению

  1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
  2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Скачать Dr.Web

По серийному номеру

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке