Специалисты компании Qihoo 360 Total Security предупредили о новой вредоносной кампании по распространению майнера WinstarNssmMiner, который только за три дня наблюдений заразил порядка 500 000 машин.
WinstarNssmMiner представляет собой обычную для наших дней майнинговую малварь, построенную на основе опенсорсного и легитимного майнера криптовалюты Monero XMRig. К сожалению, специалисты не пишут о том, как именно распространяется новая угроза, но говорят, что WinstarNssmMiner имеет ряд уникальных черт, отличающих его от другой подобной малвари.
Так, после заражения WinstarNssmMiner ищет ищет в системе процессы защитных решений Avast или «Лаборатории Касперского». Если таковые были обнаружены, майнер сворачивает активность и прекращает работу. Если же защитных решений нет, малварь запускает два процесса svchost.exe, один из которых является скрытым майнером. Второй svchost.exe продолжает «присматривать» за другими антивирусными процессами и может попытаться ликвидировать их, чтобы избежать обнаружения.
Кроме того, WinstarNssmMiner может преподнести неприятный сюрприз пользователю, который все же его обнаружит. Так, при попытке избавиться от вредоносного svchost.exe, малварь спровоцирует отказ в работе системы, вынудив жертву перезагрузить компьютер. Дело в том, что вредоносный процесс майнера получает в системе пометку CriticalProcess, поэтому Windows экстренно завершает работу, если данный процесс ликвидировать.
По данным исследователей, группировка, создавшая WinstarNssmMiner, в настоящее время заработала 133 Monero, что по текущему курсу равняется примерно 26 000 долларов США.