Bài liên quan
Mới đây các nhà phân tích phát hiện một số mẫu Trojan Bitcoin kèm theo các bản game repark được chia sẽ trên internet. Những malware này được đính kèm theo các bản cài đặt game, sau khi máy nạn nhân bị nhiễm. Nó sẽ biến máy tính của người dung thành các “thợ mỏ” để đào các Bitcoin cho chúng.
Hai loại Trojan đã được phát hiện là Trojan:Win32/Maener.A và TrojanDropper:Win32/Maener.A được tìm thấy trong một số bản game chia sẻ trên internet:
- Tom Clancy's Ghost Recon.Future Soldier.Deluxe Edition.v 1.7 + 3 DLC.(Новый Диск).(2012).Repack
- Don't Starve.(2013) [Decepticon] RePack
- Kings Bounty Dark Side by xatab
- Sniper_Elite_III_8_DLC_RePack_MAXAGENT
- TROPICO_5
- Ghost_Recon_Future_Soldier_v1.8_Repack
- Trials.Fusion.RePack.R.G.Freedom
- King's Bounty Dark Side.(2014) [Decepticon] RePack
- Watch Dogs.(2014) [Decepticon] RePack
Khi người dung chạy file setup.exe, Trojan:Win32/Maener.A cũng khởi chạy ở chế độ nền và tải về thành phần dung để đào Bitcoin từ xa
Trojan:Win32/Maener.A có thể được tìm thấy trong tập tin ActivateDesktop.exe. Khi chạy nó tải về các thành phần đào bitcoin và cài đặt vào máy tính có tên là Connost.exe và chạy trên chế độ dòng lệnh
- Connost.exe -a m7 -o stratum+tcp://<removed>:port -u <user> -p <password>.
Ngoài ra nó còn sử dụng các tên khác như minerd.exe, svchost.exe, winhost.exe. Kế tiếp nó tạo ra một khóa giá trị trong Registry để có thể tự khởi chạy khi máy tính khởi động
- HKCU\Software\Microsoft\CurrentVersion\Run
GoogleUpdate_CF4A51A46014ACCDC56E3A64BAC64B76 = c:\Trash-100\ActivateDesktop.exe
Biểu hiện dễ thấy nhất cho thấy bạn đã bị nhiễm loại malware này là CPU luôn luôn hoạt động 100% dù bạn chỉ đang lướt web hay những công viêc nhẹ.
Cuôi cùng, dù bài viết trên chưa có một két luận nào cho thấy Việt Nam cũng nằm trong danh sách các quốc gia ảnh hưởng đén loại malware này nhưng trước đây cũng đã có nhiều trường hợp đính kèm các loại malware bitcoin tương tự. Cách phòng chống hữu hiệu nhất là nên update antivirus thường xuyên và trang bị kiến thức để có thể chủ động trong việc phát hiện.
Theo TestBlog
Post a Comment