Давненько небыло статей про майнеры и вот пишу о том, как удалось обнаружить майнер с валидной цифровой подписью.
Может возникнуть резонный вопрос: причём тут торрент-неторрент? Всё дело в том, что майнер как раз таки и был скачан непойми откуда, через неофициальный торрент клиент в msi пакете. Кому интересно, вот ссыль -
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
. Запускать строго на виртуалке. А мы идём дальше.Как тогда его удалось обнаружить?
Помог его обнаружить MinerSearch - эта та утилитка из другой статьи. Человек, который ко мне обратился, говорит мол вредоноса видит, но не удаляет совсем. Оказалось клон проводника грузит 30% процессора. Полез разбираться.
Что в майнере интересного? Да всё. Начиная с того, как он умудрился закрепиться в системе - имеет как миниумум 2 механизма закрепления:
1) Image File Execution Options - это раздел в реестре, который отвечает за назначение отладчиков для запускаемых программ. Вместо обновления браузера chrome ChromeUpdate.exe и MicrosoftEdgeUpdate.exe майнер повесил debugger, чтобы запускать себя самого, когда инициировано обновление бразера.
Но и это не всё, в этом же подразделе рядом с IFEO есть ещё подраздел SilentProcessExit - механизм, который заставляет запустить указанный процесс при завершении другого процесса. Тут майнер решил использовать svchost.exe и TrustedInstaller.exe, которые точно и наверняка будут завершать работу.
2) WMI - или Windows Management Instrumentation, в дословном переводе - инструментарий управления Windows. Вредонос решил не мелочиться и целых 4 записи, которые мониторят счетчики производительности и в зависимости от указанной задержки запускает вредонос.
Идём дальше. Думаю многие обратят внимание на странно названные каталоги AUX.. NUL.. Classic.{...} и другие. Это сделано для того, чтобы препятствовать удалению вредоноса. Просто так удалить не выйдет, так например каталоги Classic ссылаются на некоторые разделы панели управления.
Каталоги AUX и NUL вообще не поддаются никакому взаимодействию. Но винду никак не беспокоет их содержимое и без проблем запускает оттуда вредонос
Чтобы переименовать или удалить такой каталог следует воспользоваться сторонним архиватором, например WinRar или 7z. Узнаем что там. Примечательно то, все файлы имеют валидную подпись. Один из них часть AutoIT, другой пренадлежит утилите Uninstall Tool. Я понятия не имею как DLL может запускаться автономно. Если кто знает, поделитесь)
Из других примечаний то, что основной процесс майнера (клон explorer.exe) следит за открытием редактора реестра, утилитой Autoruns, и других защитных решений. MinerSearch уже был обновлен и успешно удаляет вредоноса.