Trojan btcmine что это
990x.top
Простой компьютерный блог для души)
Trojan.BtcMine — что это? (NsCpuCNMiner32.exe)
Приветствую. Цели современных вирусов уже давно не просто кража конфиденциальных данных, например пароли/логины. Но также использовать производительность ПК в собственных целях, например подбор пароля к аккаунтам, рассылка спама, организация DoS-атаки, добыча криптовалюты.
Trojan.BtcMine — что это такое?
Тип вируса — майнер, предназначенный для добычи криптовалюты на ПК за счет его ресурсов.
Майнер использует при установке установщик Nullsoft Scriptable Install System (NSIS). Данный установщик является альтернативной InstallShield, является легальным компонентом для установки многих программ.
Папка запуска майнера:
Работает под процессом NsCpuCNMiner32.exe.
Файлы майнера.
Trojan.BtcMine — функции
Майнер, в отличии от многих вирусов имеет специфические функции:
Trojan.BtcMine — как удалить?
Данный майнер обнаруживается в базе Доктора Веба. Дата обнаружения — 2015 год. Поэтому можно сделать вывод, что их утилита скорее всего сможет удалить Trojan.BtcMine.
Однако рекомендовано проверить ПК дополнительными утилитами против потенциально опасных модулей.
Используйте следующие утилиты:
При отсутствии качественного антивируса рекомендую установить KasperskySecurity Cloud Free.
Trojan.BtcMine.1259
Добавлен в вирусную базу Dr.Web: 2017-06-07
Описание добавлено: 2017-06-15
Троянец, заражающий компьютеры под управлением ОС Windows, предназначен для добычи (майнинга) криптовалюты Monero (XMR) и установки BackDoor.Farfli.96. Распространяется троянцем-загрузчиком Trojan.DownLoader24.64313. Расшифровывает и загружает в память хранящуюся в нем библиотеку.
Расшифрованные данные имеют следующую структуру:
Троянец ищет в библиотеке экспорт «MinerdDll» и передает на него управление. В качестве параметра передается строка и ее длина:
MinerdDll
Модуль проверяет переданную ему в качестве параметра длину строки и, если она составляет менее 10 символов, завершает свою работу. Расшифровывает данные конфцигурации. Пример конфигурации:
Сразу после старта Trojan.BtcMine.1259 проверяет, не запущена ли на инфицированном компьютере его копия и, если таковая обнаружена, завершает свою работу. Обращаясь к ключу системного реестра HKLM\\HARDWARE\\DESCRIPTION\\System\\CentralProcessor\\, троянец получает количество ядер процессора зараженной машины. Если оно больше или равно числу потоков, указанных в конфигурации, запускается отдельный поток, в котором расшифровывается хранящаяся в теле троянца библиотека. Эту библиотеку троянец загружает в память и вызывает экспорт «DllFuUpgradrs». Ему передается указатель на буфер, в который была скопирована библиотека, размер буфера, блок данных base64 из конфигурации и строка «DhlVipVersfs». Библиотека представляет собой модифицированную версию системы удаленного администрирования с открытым исходным кодом, известной под наименованием Gh0st RAT (детектируется Антивирусом Dr.Web под именем BackDoor.Farfli.96).
Обновление
Для установки собственного обновления троянец загружает в память данные, полученные с сайта, URL которого указан в конфигурации. Пример конфигурации:
По указанной ссылке троянец скачивает файл библиотеки, расшифровывает его, загружает в память и вызывает экспорты. В первую очередь вызывается экспорт «Versions», результат сравнивается с версией, указанной в конфигурации на обновление. Если версия у загруженной библиотеки больше или равна текущей, вызывается экспорт KillMinerd_Data, которому передается пустой буфер. В отдельном потоке с интервалом в 1 секунду троянец завершает процессы по имеющемуся у него списку. Список формируется подгруженной библиотекой в буфере, переданном в KillMinerd_Data.
Для завершения работы процессов троянец перебирает их с использованием функций Process32First/Process32Next и с помощью функции NtQueryInformationProcess/NtReadVirtualMemory читает из PEB аргументы, с которыми был запущен процесс. При обнаружении строки из списка в строке аргументов процесса этот процесс завершается, а исполняемый файл процесса удаляется. Далее троянец запускает экспорт Dll_Walcom2 подгруженной библиотеки.
Update.dll
Эта библиотека имеет три экспорта:
Versions
Возвращает строку с текущей версией троянца – в исследованном образце она включает значение «V9.2».
KillMinerd_Data
Заполняет полученный буфер строками:
Все строки дополняются нулями до длины 128 байт.
Dll_Walcom2
Экспорт принимает 4 аргумента:
Расшифрованная конфигурация имеет следующий вид:
Нашел cureit!’ом где то 40 вирусов Trojan.btcmine, trojan.equation. Каждый раз cureit! их лечит но на след день к вечеру те же самые вирусы появляются снова. Помогите пожалуйста их убрать а то я если честно уже задолбался из за того что компьютер работает крайне медленно и тупит.
Вот ссылка файлообменника с логами : http://dropmefiles.com/55pSc
1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,
2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,
— попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
— детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
— дождаться ответа аналитика или хелпера;
3. Если у Вас зашифрованы файлы,
Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена коммерческая лицензия Dr.Web Security Space не ниже версии 9.0, Антивирус Dr.Web для Windows не ниже версии 9.0 или Dr.Web Enterprise Security Suite не ниже версии 6.0. подробнее.
Что НЕ нужно делать:
— лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
— переустанавливать операционную систему;
— менять расширение у зашифрованных файлов;
— очищать папки с временными файлами, а также историю браузера;
— использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из «Аптечки сисадмина» Dr. Web;
— использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.
Для этого проделайте следующее:
Майнеры атакуют: как распознать и уничтожить вредителя
Майнеры – довольно старый по меркам информационной безопасности тип вредоносных программ, стремительно набравший популярность с началом бурного роста стоимости криптовалют. Специалисты антивирусной компании «Доктор Веб» проанализировали работу этих троянцев и готовы рассказать, как они попадают на ПК и как с этим бороться.
Майнинг (от англ. Mining — «добыча») — способ заработка современных цифровых валют, самой известной из которых является биткойн. Для добычи требуются серьезные вычислительные мощности — и, по мнению злоумышленников, их можно «позаимствовать» у простых пользователей. Слово «майнинг» точно передает действия злоумышленников: заработанные ими деньги — действительно добыча, которую они получают с зараженных компьютеров.
Не секрет, что современные домашние и офисные компьютеры — намного мощнее, чем того требует большинство повседневных задач. А для сервера наличие избыточной мощности — необходимость на случай пиковых нагрузок, которые в разы превышают обычные показатели.
С использованием этих мощностей на ПК может незаметно выполняться множество задач, о которых пользователь не знает, — и не узнает, если закравшаяся в систему программа не начнет «наглеть».
Что такое майнеры?
Майнеры — довольно старый по меркам ИБ тип вредоносных программ, стремительно набравший популярность с началом бурного роста стоимости криптовалют.
В общем случае это программы, которые тайно устанавливаются на компьютеры (да и на серверы тоже) и занимаются вычислениями, необходимыми для получения криптовалют. Во многих публикациях утверждается даже, что майнеры не относятся к вредоносным программам. Разумеется это не так. Даже не считая того, что запущенный майнер мешает пользователю работать на ПК, любой майнер обладает классическими признаками вредоносной программы. В первую очередь, скрытая установка на компьютер — вредоносная программа устанавливается, не оповещая пользователя совсем или сообщая о своем функционале лишь частично.
На данный момент майнеры — одни из самых распространенных вредоносных программ. Для наглядности можно открыть вирусную базу Dr.Web и выделить все записи, в которых есть слово mine.
Этот скриншот содержит лишь часть майнеров, попавших в вирусную базу в течение одного дня. На самом деле их раза в два-три больше. В СМИ попадает информация лишь о ничтожной доле вредоносных программ, рассказать обо всех — задача нереальная. Поэтому их просто ловят 🙂
Как распространяются майнеры?
Эти вредоносные программы называются «троянцы-майнеры». Не вирусы и не черви, а именно троянцы. Напомним, что троянцы — это тип вредоносных программ, самостоятельно распространяться не умеющих. Для проникновения на компьютер, а иногда и для запуска, им нужна помощь пользователя.
Криптовалюта Bitcoin была создана в 2009 году. Троянец, в название которого вошло слово «mine», появился через два года — в 2011.
Собственно, Trojan.BtcMine.1 майнером не являлся – для майнинга он использовал две легитимные программы. Забавно, что майнер этот был очень «жадным»: вторая программа майнинга загружалась им именно для того, чтобы максимально загрузить компьютер расчетами. На иллюстрации можно увидеть нагрузку на процессор, которую создает программа-майнер, запущенная троянцем Trojan.BtcMine.1.
Внимание! Самостоятельное удаление майнера может быть опасно, так как эти вредоносные программы способны этому противодействовать. Так, Trojan.BtcMine.1978, предназначенный для добычи криптовалют Monero (XMR) и Aeon запускается в качестве критически важного системного процесса, при попытке завершить который Windows аварийно прекращает работу и демонстрирует «синий экран смерти» (BSOD).
Использование легитимных программ в целях майнинга оказалось для киберпреступников невыгодно. Такие программы не скроешь от пользователя — их видно с списке запущенных приложений. И, соответственно, их легко обнаружить и удалить (или перенастроить).
Троянцы в шкуре безобидных приложений
На сегодняшний день наряду с майнерами, использующими легитимные программы, появились специально созданные троянцы, уже полностью учитывающие специфику преступного бизнеса. Они могут не отображаться в списке процессов и/или ограничивать потребление ресурсов.
Вот, скажем, достаточно старый Trojan.BtcMine.218 (для сравнения: майнер, попавший в вирусную базу Dr.Web в конце января 2018 года, имеет номер 2025). Данный майнер распространялся под видом «погодного тулбара». Он действительно устанавливал безобидный «погодный информатор» SmallWeatherSetup.exe, но вместе с ним — еще и вредоносную программу Tool.BtcMine.130.
Естественно, Trojan.BtcMine.218 – не единственная вредоносная программа, распространяющаяся под видом безобидной, получить троянца можно, скачав чит, трейнер кряк и т. п.
Этот майнер прославился тем, что его создатель забыл удалить собственное имя из вредоносной программы.
А вот Trojan.BtcMine.737 — уже плод сотрудничества нескольких злоумышленников. В качестве майнера преступники используют утилиту другого разработчика, которую Dr.Web детектирует как программу из семейства Tool.BtcMine. Создатель этой утилиты распространяет ее на условии оплаты комиссии в размере 2,5% от всей добытой с ее помощью криптовалюты.
Широкая востребованность майнеров привела к тому, что в Сети появилось множество предложений по разработке вредоносных программ подобного вида – образцов кода, на основе которого можно создать майнер, в Интернете достаточно много. В связи с этим напоминаем, что не только распространение вредоносных программ, но и их создание является уголовно наказуемым деянием.
Как вирус распространяется и скрывается
На данный момент заработать новую единицу криптовалюты достаточно сложно, тем более если майнер не забирает все ресурсы компьютера под себя. Поэтому майнеры работают в составе ботнетов — сетей зараженных ПК. Ну а поскольку число зараженных компьютеров для успешного майнинга должно быть велико, то зачастую обнаруживают майнер достаточно быстро.
Майнеры могут попасть на компьютер в результате заражения другими троянцами. СМИ в основном упоминают майнеров и шифровальщиков, в то время как, скажем, вариантов загрузчиков Trojan.DownLoader или Trojan.MulDrop в день создается в несколько раз больше, чем энкодеров.
Чем опасны такие троянцы? Особого вреда они не наносят, но зачастую бороться с ними тяжелее, чем с шифровальщиками. Установившись на компьютер первыми, они анализируют его состояние и загружают необходимые модули. В том числе может быть загружен и модуль майнинга.
Ну и, естественно, майнеры пытаются удалить антивирус. В качестве примера можно привести Trojan.BtcMine.1978, который пытается удалить службы антивирусов Dr.Web, Windows Live OneCare, «Антивируса Касперского», ESET Nod32, Emsisoft Anti-Malware, Avira, 360 Total Security и Windows Defender.
Иногда майнинг служит для злоумышленников лишь побочным заработком. Так, основное предназначение троянца Trojan.Mods.10 — подмена веб-страницам, а для Trojan.Tofsee — рассылка спама.
Для каких операционных систем существуют майнеры? Для всех используемых: Windows, macOS, Linux, Android …
Первые варианты Android.CoinMine относятся к 2014 году. Эти вредоносные программы распространяются в модифицированных версиях популярных приложений и активизируются в те моменты, когда зараженное мобильное устройство находится в режиме ожидания.
Внимание! Эти троянцы влияют не только на время работы аккумулятора и повышают температуру интенсивно работающих компонентов устройства. Сообщалось о взрывах перегретых аккумуляторов мобильных устройств.
Майнеры под видом плагинов для браузеров
Еще один вид майнеров — плагины для браузеров. В данном случае также используется известное приложение со встроенным вредоносным кодом. Иногда злоумышленники создают и раскручивают вредоносное приложение с именем, похожим на название популярной программы.
В качестве примера можно привести Tool.BtcMine.1046. Плагин SafeBrowse для браузера Google Chrome был предназначен для заработка широкого спектра криптовалют — Monero, Dashcoin, DarkNetCoin и т. д.
Или более древний Trojan.BtcMine.221, предназначенный для добычи криптовалюты Litecoin. Распространялся с нескольких принадлежащих злоумышленникам веб-сайтов под видом различных приложений — например, надстройки к браузеру, якобы помогающей в подборе товара при совершении покупок в интернет-магазинах.
Ну и, наконец, самый «модный» вариант — скрипты на сайте. Неоднократно отмечалось, что выгода от подобной технологии заработка крайне мала, но тем не менее все больше сайтов включается в гонку за криптовалютами. В качестве интересных примеров можно привести майнер, создававший невидимое всплывающее окошко, прятавшееся за треем на Рабочем столе, или вредоносные программы, подменявших содержимое неактивных закладок браузера.
Кто в опасности?
Все. По статистике, более 80% сайтов имеют уязвимости. Каждый может оказаться на взломанном сайте, занимающемся майнингом.
Что касается заражения обычной программой-майнером, то взглянем только на одну ботсеть: «По усредненным подсчетам в созданной злоумышленниками бот-сети наблюдается активность 203 406 ботов в сутки». Более 200 000 пользователей скачали себе не пойми какую программу для оптимизации покупок в Интернете!
Майнеры не могут заражать файлы, а вот процессы заразить могут. Причем могут заражаться все запущенные процессы, но использоваться для майнинга будет первый, в котором этот троянец начинает работу.
Подводим итог:
Криптовалюты сейчас торгуются на достаточно высоком уровне, поэтому в ближайшее время можно ожидать появления более совершенных образцов вредоносных программ. Увы, беспечность пользователей играет на руку злоумышленникам. Поэтому, не стоит пренебрегать регулярными обновлениями Windows, и обязательно используйте хороший антивирус. Для мобильных устройств также стоит внимательно изучать приложения и отзывы по ним, прежде, чем устанавливать на смартфон.
Пошаговая инструкция по удалению вируса “TROJAN.BTCMINE.1259”.
TROJAN.BTCMINE.1259 — это вирус криптомайнер, при заражении которым ваш компьютер начинает работать на злоумышленника, генерируя криптовалюту в его пользу в ущерб вам.
Вирусы, подобные TROJAN.BTCMINE.1259, как правило довольно опасны, и могут причинить значительный ущерб компьютеру жертвы.
Как происходит заражение вирусом TROJAN.BTCMINE.1259?
Вчера я понятия не имел, что за зверь такой — TROJAN.BTCMINE.1259. Пока поздно вечером меня не пригласил в гости друг, с просьбой починить его компьютер.
«У меня ужасно тормозит комп, и странные процессы постоянно грузят систему и не получается удалить их» — сказал мне приятель.
«Да без проблем, ща глянем.» — с этими словами я запустил его компьютер.
Так что это за зловред такой — TROJAN.BTCMINE.1259? Обычный криптомайнер, который использует вашу машину в качестве генератора криптовалюты в пользу злоумышленника.
Как избавиться от вируса TROJAN.BTCMINE.1259?
Вирусы наподобие TROJAN.BTCMINE.1259 сейчас очень популярны. Так что не стоит откладывать лечение, сразу же принимайтесь за дело. Разумеется, я не лечил его ручками, для этого у меня UnHackMe имеется.
Однако, если вы столкнулись с похожей проблемой, я набросал и инструкцию по ручному удалению вируса TROJAN.BTCMINE.1259. Но прежде, чем бросаться выполнять все по шагам, дочитайте текст до конца.
Инструкция по ручному удалению рекламного вируса TROJAN.BTCMINE.1259
Для того, чтобы самостоятельно избавиться от рекламы TROJAN.BTCMINE.1259, вам необходимо последовательно выполнить все шаги, которые я привожу ниже:
И все же автоматика лучше!
Если ручной метод — не для вас, и хочется более легкий путь, существует множество специализированного ПО, которое сделает всю работу за вас. Я рекомендую воспользоваться UnHackMe от Greatis Software, выполнив все по пошаговой инструкции.
Шаг 1. Установите UnHackMe. (1 минута)
Шаг 2. Запустите поиск вредоносных программ в UnHackMe. (1 минута)
Шаг 3. Удалите вредоносные программы. (3 минуты)
UnHackMe выполнит все указанные шаги, проверяя по своей базе, всего за одну минуту.
При этом UnHackMe скорее всего найдет и другие вредоносные программы, а не только редиректор на TROJAN.BTCMINE.1259.
При ручном удалении могут возникнуть проблемы с удалением открытых файлов. Закрываемые процессы могут немедленно запускаться вновь, либо могут сделать это после перезагрузки. Часто возникают ситуации, когда недостаточно прав для удалении ключа реестра или файла.
UnHackMe легко со всем справится и выполнит всю трудную работу во время перезагрузки.
И это еще не все. Если после удаления редиректа на TROJAN.BTCMINE.1259 какие то проблемы остались, то в UnHackMe есть ручной режим, в котором можно самостоятельно определять вредоносные программы в списке всех программ.
Итак, приступим:
Шаг 1. Установите UnHackMe (1 минута).
Шаг 2. Запустите поиск вредоносных программ в UnHackMe (1 минута).
Шаг 3. Удалите вредоносные программы (3 минуты).
Итак, как вы наверное заметили, автоматизированное лечение значительно быстрее и проще! Лично у меня избавление от перенаправителя на TROJAN.BTCMINE.1259 заняло 5 минут! Поэтому я настоятельно рекомендую использовать UnHackMe для лечения вашего компьютера от любых нежелательных программ!