Майнер криптовалют попадает на компьютеры через уязвимость EternalBlue

Виталий Стриж, 23 августа 2017 в 14:38. 150

Злоумышленники инфицируют компьютеры под управлением Windows при помощи вредоносных приложений без файлов, способных работать в оперативной памяти. Благодаря этому они заставляют компьютеры заниматься добычей криптовалют.

Две функциональные возможности делают вредоносное приложение под названием Coinminer особенно навязчивым и незаметным, сообщают специалисты компании Trend Micro. Для инфицирования используется уязвимость EternalBlue, которую прежде задействовали приложения-вымогатели WannaCry и NotPetya для своего распространения. Microsoft выпустила патч для закрытия уязвимости ещё в марте, но волна заражений в Азии в целом и в Японии в частности показывает, что многие системы до сих пор не были обновлены.

На уязвимых компьютерах вредоносная программа запускает бэкдор, через который устанавливается несколько скриптов Windows Management Instrumentation (WMI). Их работа в оперативной памяти затрудняет обнаружение.

Увеличить рисунок

Сетевые администраторы могут использовать WMI для запуска скриптов с целью автоматизации административных задач и установки приложений на удалённых компьютерах. В данном случае цели не такие невинные: после подключения к командному серверу происходит скачивание приложений для майнинга.

Вредоносные приложения на основе WMI не новы; например, их использовала программа Stuxnet. Компания Malwarebytes обнаруживала методы применения WMI для взлома браузеров Chrome и Firefox и перенаправления пользователей на атакуемый сайт.

В данном случае программа обладает таймером, который автоматически запускает вредоносный скрипт WMI каждые 3 часа. Администраторам рекомендуется отключить файлообменный протокол SMBv1 для предотвращения использования EternalBlue. Еще до появления вымогателей и информации о существовании EternalBlue Microsoft призвала прекратить работу с этим протоколом 30-летней давности. У компании есть инструмент для обнаружения активности WMI. Если эта технология пользователям не нужна, рекомендуется отключить её.

Источник

Публикации по теме
Еmail- рассылка: в чем преимущества и особенности способа продвижения бизнеса 07 февраля 2020, 10:32 Еmail- рассылка: в чем преимущества и особенности способа продвижения бизнеса

В наше время практически все люди активно используют различные гаджеты, благодаря которым можно всегда оставаться на связи, общаться, работать, развлекаться. Поэтому неудивительно, что представители различного бизнеса также используются возможности интернета для существенного улучшения своей...

Premium Analytics – Самые Последние Инструменты от Ведущих Разработчиков на Финансовом Рынке 14 января 2020, 12:52

Хотите владеть информацией, тогда портал Premium Analytics – это то, что вам нужно. Клиенты Admiral Markets получают безграничный и бесплатный доступ к его функциям.На нем собраны лучшие инструменты, которые позволят клиентам всегда оставаться в центре событий, грамотно управлять своими финансами,...

Premium Analytics – Самые Последние Инструменты от Ведущих Разработчиков на Финансовом Рынке
Обмен Биткоин на Яндекс деньги 27 декабря 2019, 23:23 Обмен Биткоин на Яндекс деньги

На сайте Курсоф можно найти обменники, в которых пользователь сможет выполнить обмен Биткоин на Яндекс.Деньги без особых проблем и по выгодному курсу. Портал предлагает выбрать подходящий курс обмена, а также предоставляет надежные пункты, в которых можно совершить сделку.Bitcoin – особая платежная...