Protege lo creado

Otros recursos

  • free.drweb-av.es — utilidades gratuitas, complementos, informadores
  • av-desk.com — un servicio en Internet para los proveedores de servicios Dr.Web AV-Desk
  • curenet.drweb.com — utilidad de desinfección de red Dr.Web CureNet!
Cerrar

Mi biblioteca
Mi biblioteca

+ Añadir a la biblioteca

Soporte
Soporte 24 horas | Normas de contactar

Sus solicitudes

Perfil

Volver a las noticias

Doctor Web advierte sobre la difusión de un troyano miner

15 de junio de 2017

Los troyanos miners son los programas nocivos que usan los recursos de computación del dispositivo infectado para obtener (mining) criptomoneda. Los analistas de virus de la empresa Doctor Web investigaron un troyano de este tipo, capaz de infectar los equipos bajo la administración de Microsoft Windows.

Este programa nocivo, destinado para obtener la criptomoneda Monero (XMR) e instalar un backdoor Gh0st RAT, fue llamado Trojan.BtcMine.1259. El miner se descarga en el equipo por el troyano descargador Trojan.DownLoader24.64313 que, a su vez, se difunde usando el backdoor DoublePulsar.

Una vez iniciado, Trojan.BtcMine.1259 comprueba si hay su copia en el equipo infectado. Luego detecta el número de núcleos del procesador, y, si el mismo es superior o igual al número de flujos indicado en la configuración del troyano, descifra y carga a la memoria la biblioteca que se guarda en su cuerpo. Esta biblioteca es una versión modificada del sistema de administración remota con el código fuente abierto, conocido como Gh0st RAT (se detecta por el Antivirus Dr.Web bajo el nombre de BackDoor.Farfli.96). Luego Trojan.BtcMine.1259 guarda su propia copia en el disco y la inicia como servicio de sistema. Una vez iniciado correctamente, el troyano intenta descargar su actualización del servidor de control cuya dirección está indicada en el archivo de configuración.

El módulo básico, destinado para obtener la criptodivisa Monero, también está realizado como biblioteca, así mismo, el troyano contiene tanto la versión del miner 32 bits como la de 64 bits. La realización correspondiente del troyano se usa en el equipo infectado en función del número de bits del sistema operativo. En la configuración de este módulo está indicado cuántos núcleos y recursos de computación del procesador se usarán para obtener la criptodivisa, con qué intervalo se reiniciará el miner autmáticamente, así como otras opciones. El troyano supervisa los procesos que están funcionando en el equipo infectado y, al intentar iniciar el Administrador de tareas, finaliza.

Aunque los primeros troyanos miners fueron detectados ya hace más de 6 años (la entrada para el troyano Trojan.BtcMine.1 fue añadida a las bases de virus Dr.Web en el año 2011), los malintencionados siguen difundiendo los programas nocivos que usan los recursos de computación del equipo sin autorización del usuario. La infección por este programa puede acompañarse de ralentización de funcionamiento del sistema o el calentamiento del procesador superior a lo normal. Trojan.BtcMine.1259 y todos sus componentes se eliminan correctamente por el Antivirus Dr.Web, por lo tanto, el troyano no es de amenaza para nuestros usuarios.

Más información sobre el troyano

Nos importa su opinión

Por cada comentario se abona 1 punto Dr.Web. Para hacer una pregunta sobre la noticia para la administración del sitio web, indique al principio de su comentario @admin. Si su pregunta es para el autor de algún comentario - indique @ antes de escribir su nombre.


Otros comentarios

Desarrollador ruso de antivirus Dr.Web

Experiencia de desarrollo a partir del año 1992

Dr.Web se usa en más de 200 países del mundo

Entrega de antivirus como servicio a partir del año 2007

Soporte 24 horas

© Doctor Web
2003 — 2020

Doctor Web es un productor ruso de los medios antivirus de protección de la información bajo la marca Dr.Web. Los productos Dr. Web se desarrollan a partir del año 1992.

125040, Rusia, Moscú, c/3 Yamskogo Polya, 2, edif.12А