Как спрятаться на видном месте
19 декабря 2017
Сегодня сижу за компом... Из старой
пластмассовой компьютерной колонки
вылез паук, посмотрел по сторонам и
обратно уполз в колонку... Первая
мысль - Доктор Веб... Обновления
проверял...))
Древняя история
Фразу «злоумышленники постоянно изобретают новые методы сокрытия» уже пора сократить до аббревиатуры – настолько часто мы ее употребляем. Но иногда речь идет не просто о новых, а об очень оригинальных методах!
Исследователи в области безопасности обнаружили новую технику, которая позволяет недобросовестным веб-сайтам добывать валюту, используя процессоры пользователей, даже после того, как пользователь закрыл окно такого сайта.
Вредоносный скрипт открывает невидимое всплывающее окно типа pop-under, которое скрывается за часами на панели задач Microsoftinfo-icon Windows.
Окно остается открытым неограниченное время, пока пользователь не предпримет специальные действия, чтобы закрыть его.
Координаты окна могут немного отличаться, в зависимости от разрешения экрана на компьютере жертвы, но в оно помещается за часами. Правда, есть один нюанс. Если в операционной установлена тема оформления с полупрозрачностью, то окошечко всё-таки слегка просматривается за панелью (см. скриншот в начале статьи).
«Обнаружить такой способ скрытого майнинга довольно трудно, так как он ловко маскируется. Закрытия браузера уже недостаточно, пользователи должны будут запустить диспетчер задач, чтобы убедиться, что не осталось процессов, использующих ресурсы их компьютеров», — пишет в блоге Malwarebytes ведущий аналитик Жером Сегура (Jérôme Segura).
Вредоносная цепочка имеет следующий вид — загружается страница, размещенная на elthamely[.]com, затем загружаются ресурсы из сети доставки контента Amazon cloudfront.net. После этого извлекается полезная нагрузка из hatevery[.]info.
Замести мусор в угол, где никто не ходит, – и дело в шляпе!
Дополнительно отметим, что новый майнер ведет себя осторожно и не использует ресурсы компьютера на 100%. Так пользователь может и не заметить, что компьютер слегка притормаживает.
Ну и в качестве вишенки на торте:
Специалисты по безопасности совершенно случайно наткнулись на этот трюк при посещении одного из порносайтов.
Что они там делали – не рассказывается.
#майнинг #троянец #безопасностьАнтивирусная правДА! рекомендует
В данном случае в роли антивируса выступает Родительский контроль Dr.Web: он позволяет заблокировать все ресурсы, к которым пытается обращаться майнер. Естественно, можно вносить домены, с которыми работает майнер, в черный список вручную, но толку от этого немного – новые варианты майнера будут использовать новые домены. Гораздо проще установить Dr.Web Security Space.
P. S. И еще одна вишенка на торт: как оказалось, об этом троянце не знает никто!
«Антивирусная правДА!» предполагает, что кто-то ошибся с индикаторами заражения.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Slava90
13:53:00 2020-06-01
Денисенко Павел Андреевич
23:33:29 2018-08-02
Неуёмный Обыватель
17:34:43 2018-06-16
vasvet
15:42:03 2018-04-04
regiser
16:19:35 2018-01-04
RussAtom
17:00:30 2017-12-27
Littlefish
19:04:59 2017-12-23
Любитель пляжного футбола
14:07:34 2017-12-20
udginvr
10:44:09 2017-12-20
ZorG
03:10:25 2017-12-20
Сегодня прочитав статью вспомнил про устройство. Велико же было мое удивление.
Улов ждал в скрытой папке флешкарты \Winset : install.vbs (VBS.BtcMine.16), move.vbs (VBS.BtcMine.15), help.vbs (Trojan.Siggen7.26874)
ИМХО Ставьте DrW SS!
Кстати утилита Dr.Web CureIt! на сегодняшний день детектирует и обезвреживает этих паразитов, но проблему, по словам знакомой, не устраняет.
Sasha50
02:41:36 2017-12-20
razgen
01:49:00 2017-12-20
razgen
01:38:21 2017-12-20
Спасибо за напоминание. Родительский контроль настроил в соответствии с рекомендациями предыдущих выпусков "Антивирусной правДЫ!". Но особенно поучительна в этом плане наглядная помощь 11-ти обучающих видеоуроков находящихся на сайте DrWeb.
razgen
01:16:41 2017-12-20
МЕДВЕДЬ
01:06:31 2017-12-20
razgen
00:38:51 2017-12-20
@Sasha50, вот никак не угадаю с какой стороны комментарии читать. Каждый раз читал от последних к самым первым (но иногда не совсем понятно, так как вначале читаешь ответ, а потом вопрос на этот ответ). Сегодня решил почитать с конца и не увидел, что на Ваш вопрос Вам уже ответили :-)
---
Если принципиально, то большой разницы с какой стороны читать нет. Просто надо внимательно всё прочитать до конца.
razgen
00:35:30 2017-12-20
@Sasha50, "Кстати, какой нынче выпуск по счету? И как узнавать в дальнейшем?"
Сейчас 463-й, узнавать можно по адресной строке, ?number=463
---
На этот вопрос уже было два ответа. А два ответа на один вопрос по той причине, что по чисто случайному совпадению ответы были отправлены одновременно в 09:26, 2017-12-19.
razgen
00:21:07 2017-12-20
Ruslan
23:50:24 2017-12-19
Littlefish
23:49:13 2017-12-19
Littlefish
23:32:53 2017-12-19
Littlefish
23:25:33 2017-12-19
Littlefish
23:21:56 2017-12-19
Антивирусным компаниям это будет не выгодно, в наше время репутация - это всё, если компанию "поймают" на подобных вещах, то львиная доля пользователей уйдёт к конкурентам, а сама компания может обанкротиться и перестать существовать.
Marsn77
23:21:35 2017-12-19
Littlefish
23:15:33 2017-12-19
О, новая аббревиатура начинает приживаться :-)
Andromeda
23:06:47 2017-12-19
Альфа
22:36:49 2017-12-19
Геральт
22:21:09 2017-12-19
В...а
22:20:29 2017-12-19
vla_va
22:08:44 2017-12-19
user
22:05:39 2017-12-19
Maat
21:58:12 2017-12-19
AxooxA
21:52:56 2017-12-19
AxooxA
21:49:28 2017-12-19
Littlefish
21:49:13 2017-12-19
Так я ж не переписывать предлагал, а дополнить :-)
Littlefish
21:45:46 2017-12-19
Весьма необычное сокращение, специфическое звучание.
НинаК
21:45:34 2017-12-19
ek
21:17:12 2017-12-19
Damir
21:07:01 2017-12-19
Lia00
20:48:19 2017-12-19
orw_mikle
20:34:45 2017-12-19
zsergey
20:33:38 2017-12-19
Mehatronik
20:31:40 2017-12-19
kva-kva
20:29:24 2017-12-19
Шалтай Александр Болтай
19:46:04 2017-12-19
mk.insta
19:37:31 2017-12-19
sapfira
18:38:10 2017-12-19
Марина
17:46:11 2017-12-19
Специалисты по безопасности совершенно случайно наткнулись на этот трюк при посещении одного из порносайтов.
Что они там делали – не рассказывается.>>
Не первый раз вижу в "АП" странный акцент на теме порно. Будто это что-то постыдное. От этой акцепции нафталином несёт за версту, если честно. "Специалисты по безопасности" на эту тему вообще не парятся, а авторов "АП" почему-то цепляет.
Кирилл
17:16:56 2017-12-19
Littlefish
16:54:03 2017-12-19
Сейчас 463-й, узнавать можно по адресной строке, ?number=463