15 de junio de 2017

Los troyanos miners son los programas nocivos que usan los recursos de computación del dispositivo infectado para obtener (mining) criptomoneda. Los analistas de virus de la empresa Doctor Web investigaron un troyano de este tipo, capaz de infectar los equipos bajo la administración de Microsoft Windows.

Este programa nocivo, destinado para obtener la criptomoneda Monero (XMR) e instalar un backdoor Gh0st RAT, fue llamado Trojan.BtcMine.1259. El miner se descarga en el equipo por el troyano descargador Trojan.DownLoader24.64313 que, a su vez, se difunde usando el backdoor DoublePulsar.

Una vez iniciado, Trojan.BtcMine.1259 comprueba si hay su copia en el equipo infectado. Luego detecta el número de núcleos del procesador, y, si el mismo es superior o igual al número de flujos indicado en la configuración del troyano, descifra y carga a la memoria la biblioteca que se guarda en su cuerpo. Esta biblioteca es una versión modificada del sistema de administración remota con el código fuente abierto, conocido como Gh0st RAT (se detecta por el Antivirus Dr.Web bajo el nombre de BackDoor.Farfli.96). Luego Trojan.BtcMine.1259 guarda su propia copia en el disco y la inicia como servicio de sistema. Una vez iniciado correctamente, el troyano intenta descargar su actualización del servidor de control cuya dirección está indicada en el archivo de configuración.

El módulo básico, destinado para obtener la criptodivisa Monero, también está realizado como biblioteca, así mismo, el troyano contiene tanto la versión del miner 32 bits como la de 64 bits. La realización correspondiente del troyano se usa en el equipo infectado en función del número de bits del sistema operativo. En la configuración de este módulo está indicado cuántos núcleos y recursos de computación del procesador se usarán para obtener la criptodivisa, con qué intervalo se reiniciará el miner autmáticamente, así como otras opciones. El troyano supervisa los procesos que están funcionando en el equipo infectado y, al intentar iniciar el Administrador de tareas, finaliza.

Aunque los primeros troyanos miners fueron detectados ya hace más de 6 años (la entrada para el troyano Trojan.BtcMine.1 fue añadida a las bases de virus Dr.Web en el año 2011), los malintencionados siguen difundiendo los programas nocivos que usan los recursos de computación del equipo sin autorización del usuario. La infección por este programa puede acompañarse de ralentización de funcionamiento del sistema o el calentamiento del procesador superior a lo normal. Trojan.BtcMine.1259 y todos sus componentes se eliminan correctamente por el Antivirus Dr.Web, por lo tanto, el troyano no es de amenaza para nuestros usuarios.

Más información sobre el troyano