aktualności

Malware "kopiący" bitcoiny atakuje użytkowników Skype'a

30
7 kwietnia 2013, 14:53 Marek Kowalski

W ostatnim tygodniu laboratoria firmy Kaspersky Lab wykryły nowego szkodnika o specyficznym działaniu. 

Złośliwy kod atakuje użytkowników Skype'a, a jego celem jest przede wszystkim wydajność zainfekowanych komputerów. Czemu wydajność? Szkodnik jest narzędziem umożliwiającym wykorzystywanie mocy obliczeniowej zaatakowanego komputera w celu wyliczania jednostek wirtualnej waluty Bitcoin.

Czym jest Bitcoin? W wielkim skrócie: cyfrową walutą, która w odróżnieniu od innych walut fiducjarnych uniemożliwia zcentralizowaną kontrolę nad emisją pieniądza. Jak zdobyć bitmonety? Jednostki te otrzymuje się poprzez wykonywanie złożonych zadań obliczeniowych. Nie będziemy tu jednak wyjaśniać natury tej waluty, zainteresowanych odsyłamy do źródeł internetowych (choćby Wikipedii), a Ci, którzy posiadają już jednostki tej waluty doskonale orientują się o co chodzi.

Niemniej to krótkie wprowadzenie było konieczne do tego, by zrozumieć naturę wykrytego szkodnika i przeprowadzanego przez niego ataku. Wartość jednostki monetarnej Bitcoin ostatnio wzrosła na tyle, że cyberprzestępcy uznali iz warto się tym zainteresować. W momencie opracowywania tej informacji, jedna bitmoneta miała wartość 462 zł.

Dmitry Bestuzhev, pracujący Ekwadorze ekspert firmy Kaspersky Lab, opublikował na blogu Securelist post szczegółowo wyjaśniający specyfikę zagrożenia. Zaczyna się niewinnie, użytkownik Skype'a otrzymuje od osoby znajomej link typu "To z twoich zdjęć lubię najbardziej". Któż by nie kliknął? ;-)

Według słów Bestuzheva, jednym z najciekawszych działań realizowanych przez nowy malware (bo trzeba wyraźnie zaznaczyć, że nie jest to jedyne szkodliwe działanie tego zagrożenia) jest przekształcenie zaatakowanego komputera w generator bitmonet. Obserwowalnym objawem jest drastyczny wzrost obciążenia CPU, oto przykład:

Widoczny na powyższej ilustracji proces, "zżerający" niemal pełną moc obliczeniową procesora zaatakowanego komputera wywoływany jest komendą: bitcoin-miner.exe -a 60 -l no -o //suppp.cantvenlinea.biz:1942/ -u XXXXXX0000001@gmail.com -p XXXXXXXX (dane wraźliwe zastąpiono znakami "X"). Tym samym zainfekowany komputer staje się maszyną wydobywającą bitcoiny dla cyberprzestępcy.

Kod inicjujący łańcuch ataku wykrywany jest już przez oprogramowanie ochronne. W nomenklaturze zagrożeń stosowanej przez firmę Kaspersky Lab nowy szkodnik ma nazwę: Trojan.Win32.Jorik.IRCbot.xkt

Ciekawostką jest, że atak ten zbiegł się w czasie z ważną zmianą wprowadzoną we władzach samorządowych Stanów Zjednoczonych. Internetowa sieć samorządowa E-Gov Link w USA przyjęła walutę Bitcoin jako jeden z obsługiwanych i akceptowanych systemów transakcyjnych. Tym samym Bitcoin został oficjalnie uznany jako jednostka monetarna stosowana przy rozliczeniach pomiędzy strukturami konkretnego państwa, w tym przypadku Stanów Zjednoczonych. Zbieg okoliczności? Warto jednak zaznaczyć, że zgodnie ze słowami Bestuzheva kod inicjujący łańcuch ataku pobierany jest z serwera zlokalizowanego na terenie Indii.

Źródło: Neowin, Kaspersky, Securelist
poprostujakubZobacz profil
Poziom ostrzeżenia: 0%
poprostujakub2013.04.07, 15:06
22#1
Każdy kto ma jakieś pojęcie o sprzęcie będzie wiedział, że jak chłodzenie szumi bez przerwy to coś jest nie tak.
MOROZAWZobacz profil
Poziom ostrzeżenia: 0%
MOROZAW2013.04.07, 15:12
15#2
No to się bitcoin teraz spopularyzuje w Polsce.
KwiatuZobacz profil
Poziom ostrzeżenia: 0%
Kwiatu2013.04.07, 15:18
Miałem ten problem jakieś 6 miesięcy temu z tym że obciążał mi układ GPU. Skanowałem wszystkim co się dało i nic. Po procesie doszedłem do lokalizacji tego minera i ręcznie się go pozbyłem ale po restarcie problem zaistniał ponownie.

Ciekawi mnie to czy ktoś ma na to lekarstwo tak na przyszłość bo wtedy musiałem postawić sys na nowo.
*Konto usunięte*2013.04.07, 15:22
16#4
Nie lepiej było zrobić żeby zabierał 50% zasobów albo normalnie 10% a jak wykryje, że komputer jest dłużej nie używany to 50%.
Pentium DZobacz profil
Poziom ostrzeżenia: 0%
Pentium D2013.04.07, 15:35
Ja ostatnio złapałem jakiegoś syfa przez Skype ale nie do kopania bitcoinów. Też podobna metoda tylko, że było napisane 'To Ty jesteś na tym zdjęciu?' i było wysłane od osoby z listy kontaktów. Kliknąłem i się zaczęły jaja. Później ten szkodnik sam wysłał podobną wiadomość przez skype do wszystkich z listy moim kontaktów, ale na szczęście to było w nocy i zdążyłem pousuwać i nikt się nie złapał.

Na szczęście obyło się bez formatowania bo forum pomogło http://forum.pclab.pl/topic/867548-Comodo-...;#entry11496188
HegenovZobacz profil
Poziom ostrzeżenia: 0%
Hegenov2013.04.07, 15:49
h141 @ 2013.04.07 15:22  Post: 648212
Nie lepiej było zrobić żeby zabierał 50% zasobów albo normalnie 10% a jak wykryje, że komputer jest dłużej nie używany to 50%.

Kwestia pazerności i niewiedzy użytkowników. Większość osób pewnie dłuugo się nie będzie domyślać ocb, a program w tym czasie dużo przemieli...
gambitingZobacz profil
Poziom ostrzeżenia: 0%
gambiting2013.04.07, 16:12
-2#7
Jak wyjdą układy ASIC(czyli prawie że już) to bitcoin mining za pomocą układów GPU odejdzie do lamusa, więc i robaki to wykorzystujące wymrą.
misczZobacz profil
Poziom ostrzeżenia: 0%
miscz2013.04.07, 16:49
Kopanie na CPU... Nie dość, że okrutnie powolne (nawet na i7, czy FX8xxx bez sensu), to odrazu alarmuje zainfekowanego użytkownika. A cena komputerów w botnecie jest zbyt wysoka, żeby to się opłacało, chyba że ktoś sam potrafi stworzyć botnet, ale wtedy już zdecydowanie bardziej sensowne kierunki zarobku istnieją.
*Konto usunięte*2013.04.07, 17:03
gambiting @ 2013.04.07 16:12  Post: 648215
Jak wyjdą układy ASIC(czyli prawie że już) to bitcoin mining za pomocą układów GPU odejdzie do lamusa, więc i robaki to wykorzystujące wymrą.

Pojedynczo tak, w tysiącach zainfekowanych już inaczej to wygląda.
chmielu1258Zobacz profil
Poziom ostrzeżenia: 0%
chmielu12582013.04.07, 17:11
Zaczyna się niewinnie, użytkownik Skype'a otrzymuje od osoby znajomej link typu 'To z twoich zdjęć lubię najbardziej'. Któż by nie kliknął? ;-)

Ja bo primo nie mam Skype a secundo nawet gdybym miał Skype to nie mam konta na żadnym portalu społecznościowym więc nie ma też moich zdjęć które ktoś mógłby lubić.
Zaloguj się, by móc komentować
1