На днях Microsoft заметила стремительное распространения варианта трояна Dofoil, который сопровождался кодом для удаленного майнинга криптовалют на компьютере жертвы. Софтверный гигант утверждает, что 73% обнаруженных троянов приходились на Россию, 18% на Турцию и 4% на Украину. 6 марта Microsoft заблокировала 80 000 попыток внедрения, а на протяжении следующих 12 часов обнаружили еще 400 000 попыток.
В современных реалиях вирус Dofoil особенно неприятный из-за всеобщего помешательства на добычи криптовалюты. Кампания по распространению этого ПО, обнаруженного Защитником Windows, использовала схему внедрения вредоносного кода в стандартный системный процесс explorer.exe. Зараженный процесс запускает другой, который в свою очередь исполняет код для запуска процесса майнинга криптовалюты Electroneum. В обычных условиях пользователю весьма непросто обнаружить подделку, поскольку вирус работает внутри подлинного процесса, который исполняется с другого места. Это позволяет злоумышленникам эксплуатировать железо жертвы максимально долгое время.
Чтобы оставаться незамеченным, Dofoil изменяет реестр системы. Зараженный процесс explorer.exe создает копию оригинального вредоносного ПО в папке Roaming AppData и затем переименовывает ее в ditereah.exe. Затем создается ключ в реестре или модифицируется существующий для направления созданной копии вируса. В примере, который мы проанализировали, вирус модифицировал ключ OneDrive Run.
Зараженный explorer.exe создает и запускает файл D1C6.tmp.exe (SHA256: 5f3efdc65551edb0122ab2c40738c48b677b1058f7dfcdb86b05af42a2d8299c) в папке Temp. D1C6.tmp.exe в свою очередь создает и запускает копию самого себя под названием lyk.exe. После запуска lyk.exe подключается к IP-адресам, которые работают как DNS прокси-сервера для сети Namecoin. Он затем пытается подключиться к C&C серверу vinik.bit внутри инфраструктуры NameCoin. Сервер C&C указывает вирусу подключиться или отключиться к IP-адресу, скачать, исполнить или удалить определенный файл или же оставаться пассивным на протяжении определенного периода времени.
Пользователи продуктов DrWeb могу быть спокойны, и Loader и Miner ловим.
Интересный момент Loader подгружает Miner так скажем не первой "свежести" - (Майнер мной был отправлен в вирлаб 25.10.2018 и добавлен 26.10.2017 - drweb.com #7900182).