Исследователи обнаружили первый майнер криптовалют, содержащий функцию “kill list”, “убивающую” процессы других майнеров в попытке захватить все мощности компьютера. Об этом пишет
Bleeping Computer.
Зловредное ПО было обнаружено исследователем Ксавье Мертенсом из компании ICS Sans. Помимо любопытной функции оно ничем не отличается от множества существующих майнеров, получивших распространение в этом году, когда злоумышленники переключились с программ-вымогателей на новый вид атак.
В отличие от конкурентов, автор майнера осознал, что на этом рынке становится довольно тесно, а заразить устройство, на котором ещё не присутствует несколько аналогичных вирусов, становится всё сложнее, из-за чего им приходится бороться за мощности CPU и GPU.
Чтобы решить эту проблему, автор проанализировал, какими майнерами чаще всего заражаются устройства, и составил список системных процессов, под видом которых действуют вирусы.
- Silence
- Carbon
- xmrig32
- nscpucnminer64
- mrservicehost
- servisce
- svchosts3
- svhosts
- system64
- systemiissec
- taskhost
- vrmserver
- vshell
- winlogan
- winlogo
- logon
- win1nit
- wininits
- winlnlts
- taskngr
- tasksvr
- mscl
- cpuminer
- sql31
- taskhots
- svchostx
- xmr86
- xmrig
- xmr
- win1ogin
- win1ogins
- ccsvchst
- nscpucnminer64
- update_windows
Когда такой троян попадает на компьютер, он проверяет работающие процессы и, в случае обнаружения названий из списка, останавливает их.
По мнению Мертенса, эксперты в области кибербезопасности могут использовать проделанную автором вируса работу для обнаружения инфицированных компьютеров.
Стоит заметить, что это не первый троян, содержащий функцию “kill list”, однако ни один них не был предназначен для майнинга криптовалют.
Ранее
стало известно, что российские киберпреступники предпочитают Litecoin, в то время как их зарубежные коллеги – Monero.