Protege lo creado

Otros recursos

  • free.drweb-av.es — utilidades gratuitas, complementos, informadores
  • av-desk.com — un servicio en Internet para los proveedores de servicios Dr.Web AV-Desk
  • curenet.drweb.com — utilidad de desinfección de red Dr.Web CureNet!
Cerrar

Mi biblioteca
Mi biblioteca

+ Añadir a la biblioteca

Soporte
Soporte 24 horas | Normas de contactar

Sus solicitudes

Perfil

Volver a las noticias

Los creadores de virus difunden miners para Linux y Windows

2 de agosto de 2018

Los programas nocivos para obtener criptomoneda sin autorización del usuario son muy populares entre los ciberdelincuentes. La mayoría de los troyanos similares han sido creados para el sistema operativo Windows, y con menor frecuencia se encuentran los miners destinados para los dispositivos en SO de la familia Linux. Uno de estos programas nocivos hace poco fue detectado por los analistas de virus de Doctor Web.

Los programas nocivos y las utilidades para obtener criptomoneda de los cuales hablaremos en este artículo fueron descargados a uno de nuestros honeypots (de inglés honeypot, «un tarro de miel») — los servidores especiales usados por los expertos de Doctor Web como aliciente para los malintencionados. Los primeros ataques similares a los servidores que funcionan en Linux fueron registrados por los analistas de virus a principios de mayo de 2018. Los ciberdelincuentes se conectaban al servidor por protocolo SSH, averiguaban el nombre de usuario y la contraseña usando el diccionario (bruteforce) y, una vez autorizados correctamente en el servidor, desconectaban la utilidad iptables que administra el Firewall. Luego los malintencionados descargaban al servidor atacado la utilidad miner y el archivo de configuración para la misma. Para iniciar la utilidad, editaban el contenido del archivo /etc/rc.local, y luego finalizaban la conexión.

A principios de junio los ciberdelincuentes cambiaron este esquema y empezaron a usar el programa nocivo añadido a las bases de virus Dr.Web como Linux.BtcMine.82. Este troyano fue creado en Go y es un dropper en cuyo cuerpo se almacena el miner comprimido. El dorpper lo guarda en el disco y lo inicia, lo cual simplifica bastante el escenario del ataque. La dirección del monedero donde se transfiere la criptomoneda obtenida también está incrustada de forma fija en el cuerpo del programa nocivo.

screenshot Linux.BtcMine.82 #drweb

Los analistas de virus analizaron el servidor perteneciente a los malintencionados de donde se descargaba este troyano y detectaron allí varios miners para el SO Windows.

screenshot Linux.BtcMine.82 #drweb

La versión del miner para Windows fue realizada como un archivo RAR de autodescompresión que contiene un archivo de configuración, varios scripts VBS para iniciar el miner y la utilidad para obtener la criptomoneda. Una vez iniciado el archivo, la utilidad se descomprime en la carpeta %SYSTEMROOT%\addins y se registra como un servicio llamado SystemEsinesBreker.

screenshot Linux.BtcMine.82 #drweb

screenshot Linux.BtcMine.82 #drweb

Las versiones del miner para los SO Windows de 32 y 64 bits se detectan por el Antivirus Dr.Web como representantes de la familia Tool.BtcMine. Nuestros usuarios están completamente protegidos contra el funcionamiento de estos programas nocivos.

Más información sobre el troyano

#Honeypot #Linux #mining #troyano

Nos importa su opinión

Por cada comentario se abona 1 punto Dr.Web. Para hacer una pregunta sobre la noticia para la administración del sitio web, indique al principio de su comentario @admin. Si su pregunta es para el autor de algún comentario - indique @ antes de escribir su nombre.


Otros comentarios

Desarrollador ruso de antivirus Dr.Web
Experiencia de desarrollo a partir del año 1992
Dr.Web se usa en más de 200 países del mundo
Entrega de antivirus como servicio a partir del año 2007
Soporte 24 horas

Dr.Web © Doctor Web
2003 — 2020

Doctor Web es un productor ruso de los medios antivirus de protección de la información bajo la marca Dr.Web. Los productos Dr. Web se desarrollan a partir del año 1992.

125124, Rusia, Moscú, c/3 Yamskogo Polya, 2, edif.12А