Майнинг неуничтожимый
10 апреля 2018
Если компьютер тормозит, не исключено, что на нем работает майнер. Вот история одной загадочной неполадки:
Имеем ноутбук с Ubuntu, жалобу на то, что «он тормозит», и, в общем-то, больше ничего.
Попытка отследить ресурсы (CPU, RAM, etc) не привела ни к чему – все тихо. Были проверены различные браузеры, проведен поиск каких-либо подозрительных программ, расширений, очищен кэш браузера… Все работает исправно.
Если мы не отбрасываем версию майнинга, то остается предположить, что майнер, некоторое время поработав, самоудалился. Но вряд ли такое могло произойти.
Через некоторое время пользователь снова жалуется на то же самое! Самое интересное в том, что как только ноутбук попал ко мне в руки, все «симптомы» плохой работы исчезали, и объяснения этому не было, а владельцу ноутбука оставалось лишь удивленно развести руками.
В данной фразе упущена одна ключевая деталь: пользуясь ноутбуком, его владелец выходил в Интернет из другого места – не оттуда, где его обследовали специалисты.
В какой-то момент появилась необходимость зайти с личного ноутбука в Интернет с той же Wi-Fi сети, в которой и использовался «тормозящий» компьютер. И тут было замечено, что браузер Safari на личном ноутбуке начинал нещадно «сжирать» ресурсы CPU!
Но какая связь между точкой доступа и скоростью работы программ? «Кривой» браузер или автоматически стартующая служба?
На скриншоте видно, что некий сайт включает много раз скрипт с непонятным именем, а также есть несколько сторонних скриптов от двух расширений браузера.
Внимание! Современные вредоносные программы, как правило, взаимодействуют с командными центрами злоумышленников. Вполне возможно, что в службе технической поддержки, в которую вы принесете компьютер, работает продвинутая система защиты, и троянец просто не сможет выйти в Интернет. И затаится. Если вы подозреваете, что на вашем компьютере завелся троянец, не мешкая соберите необходимую для анализа информацию.
Для этого, щелкнув кнопкой мыши по значку в системном трее, выберите пункт Инструменты и в появившемся окне Инструменты выберите Поддержка → Отчет для технической поддержки.
В появившемся окне нажмите на кнопку Создать отчет.
Вернемся к расследованию. В тексте не упомянуто, что именно тормозило: все сайты, конкретный ресурс или что-то другое. Статья, которую мы комментируем, наглядно показывает, как много времени тратится, если сразу не собрать всю необходимую для анализа информацию, а вместо этого пытаться решить проблему без нужных данных. Это – типичная ситуация: сотрудники технической поддержки зачастую тратят время на вытягивание информации из пострадавших.
Были отключены, а затем удалены все расширения браузера, но проблема не исчезала, в любом случае, на сайте присутствовал скрипт. Дальнейшее исследование в отладчике показало – это был майнер криптовалюты Monero на алгоритме CryptoNight. Казалось бы, ну уж точно майнер на сайте.
Мы уже почти были готовы отправить владельцам сайта письмо о том, какие они нехорошие, но решили на всякий случай все перепроверить.
Затем было замечено, что тот же самый скрипт появляется и на других сайтах! Были использованы другие браузеры без всяких расширений и плагинов. Результат тот же — на некоторых сайтах появляется один и тот же скрипт со встроенным майнером.
Так как поиски были уж очень утомительными, а проблема требовала незамедлительного решения еще вчера, было решено переустановить систему.
При чем тут переустановка, если имеется майнер на сайте, явно пропадающий при закрытии страницы? Результат предсказуем:
Переустановка MacOS не решила абсолютно ничего.
Не будем пересказывать дальнейшие метания авторов статьи. Итог, думаем, нашим читателям уже очевиден.
На роутере установлено вредоносное программное обеспечение, которое выполняет HTTP+TCP MITM и вставляет вредоносный код майнера в каждую страничку сайта, не использующего HTTPS. Отсюда и нестабильное поведение – если открыта вкладка с HTTP сайтом, значит, ваш процессор уже майнит Monero для вирусописателей!
Проблема окончательно была решена срочной перепрошивкой роутера.
В общем оказалось, что был заражен роутер. Вредоносное ПО перехватывало трафик и внедряло на сайт скрипт майнинга.
Но как был заражен роутер? Есть три варианта: пароли, уязвимости и неверные настройки (в том числе доступные снаружи сервисы).
Приведем пример заражения уязвимого сервиса. Не роутера, но речь опять о криптовалютах.
Злоумышленники сканируют интернет для поиска компьютеров, использующих rTorrent и основанные на нем приложения, а затем эксплуатируют уязвимость для установки программного обеспечения, которое майнит Monero.
Пользователь устанавливает себе легальный майнер и начинает подсчитывать будущие барыши. Но деньги любят не только счет, но и защиту. Мы неоднократно рассказывали о необходимости дополнительной защиты бухгалтерских компьютеров, так вот: в случае майнинга она должна быть не слабее! В итоге злоумышленник, пользуясь тем, что ПО на компьютере не обновлено, внедряет свой код, и деньги «были ваши – стали наши».
Стоит помнить, что разработчик rTorrent не рекомендует пользователям использовать RPC-функциональность клиента для портов TCP. Насколько можно понять, интерфейс XML-RPC не включен по умолчанию, поэтому пользователи делают это самостоятельно, находя его достаточно удобным.
То есть пользователи сами открыли дверь злоумышленникам.
Интереснейший пассаж:
Зловред, который загружается при помощи rTorrent, не только загружает майнер (это ПО, кажущееся безвредным, потребляет ресурсы компьютера пользователя). Оно еще и сканирует систему на наличие «конкурентов». Если они находятся, приложение пытается их удалить, чтобы все ресурсы достались этой программе.
Как вы думаете, кто эти «конкуренты»? Майнеры? Держитесь крепче:
На данный момент ПО обнаруживает лишь 3 антивируса из 59 более-менее распространенных. Вероятно, в скором времени их число увеличится.
Антивирусная правДА! рекомендует
Обновляйтесь! А если вы используете компьютер для доступа к своим деньгам или другим активам (в любой их форме) – обновляйтесь постоянно. Устанавливайте надежные пароли. Отключайте все ненужные сервисы. И если ваш роутер входит в список поддерживаемых, проверяйте его сканером Dr.Web.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Ilya
11:59:06 2022-04-16
jabra2016
13:35:06 2022-04-14
Viktor 1978
11:23:23 2022-04-13
Sashka
16:43:02 2019-05-04
zitkss
21:06:51 2019-03-15
Денисенко Павел Андреевич
21:13:07 2018-07-30
Неуёмный Обыватель
03:52:30 2018-06-12
Lightness
10:43:13 2018-04-18
Lightness
10:42:04 2018-04-18
Пaвeл
14:03:53 2018-04-15
CRAFTMAKER
23:30:09 2018-04-14
Запустил тест GPU, показывает стабильно 30 градусов. Пошёл пробывать игрушки. Всем спасибо и удачи;)
CRAFTMAKER
23:16:15 2018-04-14
А тут сюрпризы в виде фризов, да таких что просто висла игра и не дышала. Заметил что GPU греется при простое от 51-65 градусов. И даже в не игры, то браузер страницу не прогружает совсем, пока не ткнёшь на вкладку с десяток раз.
Чудом попал к вам на сайт, скачал Доктора Веба и сразу же запустил. Пока он чекал внутренности папок на харде, почитал статью, такое я впервые читал.Переключился вновь на Доктора и что я вижу. Две угрозы обнаружены, вот они собаки серые: MSASCui.exe - угроза Tool.BtcMine.971; вторая: mssecsvc.exe - угроза: Trojan.Encoder.11432
anatol
20:13:13 2018-04-14
Дядька116
11:22:35 2018-04-12
Вячeслaв
16:35:04 2018-04-11
Пaвeл
07:15:06 2018-04-11
10 лет назад это был отличный процессор. Да и сейчас он не плох, смотря для каких целях использовать.
Intel Core 2 Duo E6300 — шустрый «малыш», приятно удививший своим быстродействием.
https://www.ixbt.com/cpu/intel-core2-duo-e6300.shtml
nahimovec
03:08:08 2018-04-11
razgen
01:55:57 2018-04-11
В гостях: Вячеслав Медведев, Ведущий аналитик отдела развития компании "Доктор Веб.
Посмотреть и послушать можно здесь:
https://www.youtube.com/watch?v=StE5NS1oOX8&feature=youtu.be
razgen
01:40:19 2018-04-11
Lia00
01:32:52 2018-04-11
AxooxA
00:57:32 2018-04-11
stavkafon
23:52:49 2018-04-10
Любитель пляжного футбола
23:52:43 2018-04-10
razgen
23:26:30 2018-04-10
razgen
22:39:19 2018-04-10
Процессор ещё двухъядерный Core2Duo E6300 1.86Ghz.
Marsn77
22:20:04 2018-04-10
НинаК
22:12:49 2018-04-10
Пaвeл
22:08:08 2018-04-10
Пaвeл
22:06:56 2018-04-10
Если уж на телевизорах майнят, то на вашем ПК и подавно.
Любитель пляжного футбола
21:52:05 2018-04-10
Toma
21:47:22 2018-04-10
Любитель пляжного футбола
21:46:40 2018-04-10
ek
21:36:47 2018-04-10
razgen
21:33:12 2018-04-10
Icky_Sun
21:19:16 2018-04-10
kva-kva
21:10:10 2018-04-10
duduka
21:09:08 2018-04-10
razgen
20:59:58 2018-04-10
orw_mikle
20:56:08 2018-04-10
Dvakota
20:55:55 2018-04-10
Александр
20:35:28 2018-04-10
anatol
20:29:54 2018-04-10
Andromeda
20:29:29 2018-04-10
Альфа
20:07:04 2018-04-10
Damir
20:03:18 2018-04-10
Сергей
19:58:44 2018-04-10
zsergey
19:40:10 2018-04-10
Maat
19:21:22 2018-04-10
Геральт
19:21:04 2018-04-10
La folle
18:38:17 2018-04-10