Компания «Доктор Веб» зафиксировала участившиеся случаи заражения компьютеров вирусами-майнерами, которые втайне от жертвы используют ПК с целью добычи криптовалюты для злоумышленников. Вредоносное ПО распространяется в разных популярных приложениях, доступных через Telegram и на некоторых сайтах.
Активность трояна-майнера Trojan.BtcMine.3767 и связанного с ним Trojan.BtcMine.2742 была замечена в декабре 2023 года. Первый написан на языке С++ и служит загрузчиком майнера, созданного на базе проекта SilentCryptoMiner с открытым кодом. Основными источниками распространения вируса стали Telegram-канал t.me/files_f, а также сайты itmen.software и soft.sibnet.ru. На них публикуются установочные файлы разного нелегального ПО. По подсчётам аналитиков «Доктор Веб», только одна из кампаний по распространению этого трояна за полтора месяца привела к заражению более 40 000 компьютеров. Реальные масштабы могут быть куда больше.
После запуска заражённого файла Trojan.BtcMine.3767 копирует себя в каталог ProgramFiles\google\chrome\ под именем updater.exe, а вместе с тем создаёт задачу планировщика для автозагрузки вместе с операционной системой. Для маскировки задачу назвали GoogleUpdateTaskMachineQC, чтобы неопытные пользователи не могли заметить ничего необычного. Немаловажно, что Trojan.BtcMine.3767 прописывает себя в исключения антивируса Windows Defender и блокирует выключение компьютера и переход в режим гибернации, чтобы устройство постоянно работало. Затем удалённо загружается Trojan.BtcMine.2742, который и выполняет скрытую добычу криптовалюты.
По словам экспертов, Trojan.BtcMine.3767 устанавливает на компьютер бесфайловый руткит r77, запрещающий установку обновлений Windows, а также блокирует доступ к сайтам, автоматически удаляет и восстанавливает свои исходные файлы. При запуске утилит для мониторинга состояния системы вирус останавливает процесс добычи криптовалюты.
Рекомендация только одна — не скачивать неизвестные файлы с непроверенных сайтов.