Sie verwenden einen veralteten Browser!

Die Seite kann inkorrekt angezeigt werden.

Defend what you create

Mehr

Schließen

Meine Bibliothek
Meine Bibliothek

+ Zur Bibliothek hinzufügen

Support
Support 24/7

Schreiben Sie uns

Telefon

+7 (495) 789-45-86

Forum

Ihre Anfragen

  • Alle:
  • Offen:
  • Letzte Anfrage: -

Rufen Sie uns an

+7 (495) 789-45-86

Profil

Zurück zur Übersicht

Doctor Web warnt vor Mining-Trojaner

Frankfurt, 15. Juni 2017

Mining-Trojaner sind Schädlinge, die CPU-Ressourcen von infizierten Geräten zur Gewinnung von Kryptowährung ausnutzen. Die Virenanalysten von Doctor Web haben einen solchen Trojaner, der Rechner unter Microsoft Windows infiziert, unter die Lupe genommen und liefern erste Ergebnisse der Analyse.

Dieser Schädling wurde zum Mining der Kryptowährung Monero (XMR) und zur Installation der Backdoor Gh0st RAT entwickelt und heißt laut Klassifikation von Dr.Web Trojan.BtcMine.1259. Der Mining-Trojaner wird auf den infizierten PC mit Hilfe von Trojan.DownLoader24.64313 heruntergeladen. Der Letzte verbreitet sich über die Backdoor DoublePulsar.

Trojan.BtcMine.1259 prüft nach seinem Start, ob auf dem infizierten PC seine Kopie läuft. Anschließend bestimmt er, wie viele Kerne der Prozessor besitzt. Wenn die Anzahl der Kerne seinen Parametern entspricht, wird seine Bibliothek entschlüsselt und in den Hauptspeicher hochgeladen. Diese Bibliothek ist eine abgeänderte Version des Remote-Verwaltungssystems mit offenem Quellcode (auch als Gh0st RAT oder BackDoor.Farfli.96 bekannt). Danach speichert Trojan.BtcMine.1259 auf der Festplatte seine Kopie und startet diese als Systemdienst. Nach einem erfolgreichen Start versucht der Trojaner, sein Update unter der in der Konfigurationsdatei angegebenen Adresse herunterzuladen.

Das Hauptmodul, das zum Mining von Monero dient, ist auch als Bibliothek realisiert. Der Schädling enthält sowohl eine 32- als auch 64-Bit-Version des Mining-Trojaners. Die entsprechende Version des Schädlings wird je nach Typ des Betriebssystems verwendet. Die Konfigurationsdatei dieses Moduls enthält Parameter für Kerne und CPU-Ressourcen zum Mining und bestimmt unter anderem, in welchem Zeitraum der Schädling automatisch neu gestartet werden soll. Der Trojaner verfolgt laufende Prozesse auf dem infizierten Rechner. Wenn ein Task-Manager gestartet wurde, bricht er ab.

Mining-Trojaner gibt es seit gut sechs Jahren. Hier und da gibt es Infizierungsfälle. So haben beispielsweise die Virenanalysten von Doctor Web im Jahr 2011 den Mining-Trojaner Trojan.BtcMine.1 erfasst. Immerhin wird die Malware, die CPU-Ressourcen des Rechners anzapft, von Cyber-Kriminellen weiter verbreitet. Ein Merkmal der Infizierung kann die verlangsamte Arbeit des Betriebssystems oder ein überhitzter Prozessor sein. Trojan.BtcMine.1259 sowie alle seine Komponenten werden von Dr.Web Antivirus erfolgreich entfernt, deshalb stellt der Schädling für unsere Nutzer keine Bedrohung dar.

Mehr zum Trojaner

Ihre Meinung ist wichtig für uns!

Für jeden Kommentar bekommen Sie 1 Dr.Web Punkt gutgeschrieben. Um dem Administrator der Webseite eine Frage zu stellen, geben Sie in Ihrem Post zunächst @admin ein. Wenn Ihre Frage an den Autor eines Kommentars adressiert ist, schreiben Sie @ und den Namen des Autors im Anschluß.


Andere Kommentare

Führender russischer Hersteller von Dr.Web Virenschutzsoftware

Entwickelt seit 1992

Dr.Web wird in mehr als 200 Ländern genutzt

Antivirus im SaaS-Modell seit 2007

Technischer Support rund um die Uhr

© Doctor Web
2003 — 2017

Doctor Web ist ein russischer Entwickler von IT-Sicherheitslösungen unter dem Markennamen Dr.Web. Dr.Web Produkte werden seit 1992 entwickelt.

Doctor Web Deutschland GmbH. Platz der Einheit 1. 60327 Frankfurt