Майнер криптовалют попадает на компьютеры через уязвимость EternalBlue

Виталий Стриж, 23 августа 2017 в 14:38. 150

Злоумышленники инфицируют компьютеры под управлением Windows при помощи вредоносных приложений без файлов, способных работать в оперативной памяти. Благодаря этому они заставляют компьютеры заниматься добычей криптовалют.

Две функциональные возможности делают вредоносное приложение под названием Coinminer особенно навязчивым и незаметным, сообщают специалисты компании Trend Micro. Для инфицирования используется уязвимость EternalBlue, которую прежде задействовали приложения-вымогатели WannaCry и NotPetya для своего распространения. Microsoft выпустила патч для закрытия уязвимости ещё в марте, но волна заражений в Азии в целом и в Японии в частности показывает, что многие системы до сих пор не были обновлены.

На уязвимых компьютерах вредоносная программа запускает бэкдор, через который устанавливается несколько скриптов Windows Management Instrumentation (WMI). Их работа в оперативной памяти затрудняет обнаружение.

Увеличить рисунок

Сетевые администраторы могут использовать WMI для запуска скриптов с целью автоматизации административных задач и установки приложений на удалённых компьютерах. В данном случае цели не такие невинные: после подключения к командному серверу происходит скачивание приложений для майнинга.

Вредоносные приложения на основе WMI не новы; например, их использовала программа Stuxnet. Компания Malwarebytes обнаруживала методы применения WMI для взлома браузеров Chrome и Firefox и перенаправления пользователей на атакуемый сайт.

В данном случае программа обладает таймером, который автоматически запускает вредоносный скрипт WMI каждые 3 часа. Администраторам рекомендуется отключить файлообменный протокол SMBv1 для предотвращения использования EternalBlue. Еще до появления вымогателей и информации о существовании EternalBlue Microsoft призвала прекратить работу с этим протоколом 30-летней давности. У компании есть инструмент для обнаружения активности WMI. Если эта технология пользователям не нужна, рекомендуется отключить её.

Источник

Публикации по теме

Подключение торгового эквайринга на выгодных условиях 07 сентября 2021, 17:22

Подключение торгового эквайринга позволяет увеличить количество клиентов торговой точки. Теперь у вас смогут расплачиваться люди, которые не имеют при себе наличных. Оплаты товаров и услуг банковской картой набирают все большую Популярность. многие не хотят платить наличными. Оплата картой...

Покупка лекарств через сервис онлайн бронирования ЗдравСити 18 августа 2021, 18:52

Разнообразие современных медицинских препаратов позволяет эффективно бороться с большинством заболеваний. После похода к врачу каждый пациент получает определенный список лекарств, которые нужно быстро купить для скорейшего выздоровления.В аптеках представлено большинство самых...

Наш обзор интернет-магазина www.123.ru 18 августа 2021, 16:52

В этой статье мы расскажем, чем занимается и как работает один из крупнейших интернет-гипермаркетов Рунета, что можно найти на страницах его каталога, как оформить покупку с доставкой и т. д. Не обойдется, конечно, и без субъективных суждений в стиле «понравилось/не понравилось».Первое, что бросилось...

Главные новости

04 июля 2017, 20:55 Был представлен смартфон ASUS ZenFone 4 Max
30 июня 2017, 22:24 Facebook поможет пользователям в поиске Wi-Fi
24 июня 2017, 22:10 Samsung Galaxy Note 8 обойдется покупателям в тысячу евро
20 июня 2017, 22:35 В работе Skype произошел серьезный сбой
16 июня 2017, 23:06 Состоялся анонс YotaPhone 3
12 июня 2017, 22:26 Компания Microsoft представила игровую консоль Xbox One X
07 июня 2017, 11:56 Samsung представил новую линейку смартфонов Galaxy J
05 июня 2017, 22:14 Apple представила новинки на WWDC 2017
01 июня 2017, 21:40 Microsoft добавила в Skype аналог «Историй»
22 мая 2017, 20:40 Android Pay заработает в России 23 мая
20 сентября 2021, 20:51 Букмекерская контора ПариМатч

Присоединяйся