Вы используете устаревший браузер!

Страница может отображаться некорректно.

Из первых рук

Из первых рук

Другие выпуски этой рубрики (5)
  • добавить в избранное
    Добавить в закладки

Майнинг неуничтожимый

Прочитали: 21801 Комментариев: 103 Рейтинг: 123

10 апреля 2018

Если компьютер тормозит, не исключено, что на нем работает майнер. Вот история одной загадочной неполадки:

Имеем ноутбук с Ubuntu, жалобу на то, что «он тормозит», и, в общем-то, больше ничего.

Попытка отследить ресурсы (CPU, RAM, etc) не привела ни к чему – все тихо. Были проверены различные браузеры, проведен поиск каких-либо подозрительных программ, расширений, очищен кэш браузера… Все работает исправно.

https://habrahabr.ru/company/neobit/blog/350046

Если мы не отбрасываем версию майнинга, то остается предположить, что майнер, некоторое время поработав, самоудалился. Но вряд ли такое могло произойти.

Через некоторое время пользователь снова жалуется на то же самое! Самое интересное в том, что как только ноутбук попал ко мне в руки, все «симптомы» плохой работы исчезали, и объяснения этому не было, а владельцу ноутбука оставалось лишь удивленно развести руками.

В данной фразе упущена одна ключевая деталь: пользуясь ноутбуком, его владелец выходил в Интернет из другого места – не оттуда, где его обследовали специалисты.

В какой-то момент появилась необходимость зайти с личного ноутбука в Интернет с той же Wi-Fi сети, в которой и использовался «тормозящий» компьютер. И тут было замечено, что браузер Safari на личном ноутбуке начинал нещадно «сжирать» ресурсы CPU!

Но какая связь между точкой доступа и скоростью работы программ? «Кривой» браузер или автоматически стартующая служба?

#drweb

На скриншоте видно, что некий сайт включает много раз скрипт с непонятным именем, а также есть несколько сторонних скриптов от двух расширений браузера.

Внимание! Современные вредоносные программы, как правило, взаимодействуют с командными центрами злоумышленников. Вполне возможно, что в службе технической поддержки, в которую вы принесете компьютер, работает продвинутая система защиты, и троянец просто не сможет выйти в Интернет. И затаится. Если вы подозреваете, что на вашем компьютере завелся троянец, не мешкая соберите необходимую для анализа информацию.

Для этого, щелкнув кнопкой мыши по значку #drweb в системном трее, выберите пункт Инструменты и в появившемся окне Инструменты выберите Поддержка → Отчет для технической поддержки.

#drweb

В появившемся окне нажмите на кнопку Создать отчет.

Вернемся к расследованию. В тексте не упомянуто, что именно тормозило: все сайты, конкретный ресурс или что-то другое. Статья, которую мы комментируем, наглядно показывает, как много времени тратится, если сразу не собрать всю необходимую для анализа информацию, а вместо этого пытаться решить проблему без нужных данных. Это – типичная ситуация: сотрудники технической поддержки зачастую тратят время на вытягивание информации из пострадавших.

Были отключены, а затем удалены все расширения браузера, но проблема не исчезала, в любом случае, на сайте присутствовал скрипт. Дальнейшее исследование в отладчике показало – это был майнер криптовалюты Monero на алгоритме CryptoNight. Казалось бы, ну уж точно майнер на сайте.

Мы уже почти были готовы отправить владельцам сайта письмо о том, какие они нехорошие, но решили на всякий случай все перепроверить.

Затем было замечено, что тот же самый скрипт появляется и на других сайтах! Были использованы другие браузеры без всяких расширений и плагинов. Результат тот же — на некоторых сайтах появляется один и тот же скрипт со встроенным майнером.

Так как поиски были уж очень утомительными, а проблема требовала незамедлительного решения еще вчера, было решено переустановить систему.

При чем тут переустановка, если имеется майнер на сайте, явно пропадающий при закрытии страницы? Результат предсказуем:

Переустановка MacOS не решила абсолютно ничего.

Не будем пересказывать дальнейшие метания авторов статьи. Итог, думаем, нашим читателям уже очевиден.

На роутере установлено вредоносное программное обеспечение, которое выполняет HTTP+TCP MITM и вставляет вредоносный код майнера в каждую страничку сайта, не использующего HTTPS. Отсюда и нестабильное поведение – если открыта вкладка с HTTP сайтом, значит, ваш процессор уже майнит Monero для вирусописателей!

Проблема окончательно была решена срочной перепрошивкой роутера.

В общем оказалось, что был заражен роутер. Вредоносное ПО перехватывало трафик и внедряло на сайт скрипт майнинга.

Но как был заражен роутер? Есть три варианта: пароли, уязвимости и неверные настройки (в том числе доступные снаружи сервисы).

Приведем пример заражения уязвимого сервиса. Не роутера, но речь опять о криптовалютах.

Злоумышленники сканируют интернет для поиска компьютеров, использующих rTorrent и основанные на нем приложения, а затем эксплуатируют уязвимость для установки программного обеспечения, которое майнит Monero.

https://geektimes.ru/post/298701

Пользователь устанавливает себе легальный майнер и начинает подсчитывать будущие барыши. Но деньги любят не только счет, но и защиту. Мы неоднократно рассказывали о необходимости дополнительной защиты бухгалтерских компьютеров, так вот: в случае майнинга она должна быть не слабее! В итоге злоумышленник, пользуясь тем, что ПО на компьютере не обновлено, внедряет свой код, и деньги «были ваши – стали наши».

Стоит помнить, что разработчик rTorrent не рекомендует пользователям использовать RPC-функциональность клиента для портов TCP. Насколько можно понять, интерфейс XML-RPC не включен по умолчанию, поэтому пользователи делают это самостоятельно, находя его достаточно удобным.

То есть пользователи сами открыли дверь злоумышленникам.

Интереснейший пассаж:

Зловред, который загружается при помощи rTorrent, не только загружает майнер (это ПО, кажущееся безвредным, потребляет ресурсы компьютера пользователя). Оно еще и сканирует систему на наличие «конкурентов». Если они находятся, приложение пытается их удалить, чтобы все ресурсы достались этой программе.

Как вы думаете, кто эти «конкуренты»? Майнеры? Держитесь крепче:

На данный момент ПО обнаруживает лишь 3 антивируса из 59 более-менее распространенных. Вероятно, в скором времени их число увеличится.

#настройки_Dr.Web #майнинг #вредоносное_ПО

Антивирусная правДА! рекомендует

Обновляйтесь! А если вы используете компьютер для доступа к своим деньгам или другим активам (в любой их форме) – обновляйтесь постоянно. Устанавливайте надежные пароли. Отключайте все ненужные сервисы. И если ваш роутер входит в список поддерживаемых, проверяйте его сканером Dr.Web.

Оцените выпуск

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей

Комментарии к другим выпускам | Мои комментарии

 
На страницу: