«Доктор Веб» сообщает о распространении новой вредоносной программы, предназначенной для добычи криптовалюты — майнинга.
Зловред получил обозначение Trojan.BtcMine.1259. Он атакует компьютеры под управлением операционных систем Windows.
Основное предназначение трояна — использование вычислительных ресурсов инфицированного устройства для добычи криптовалюты Monero (XMR). Кроме того, вредоносная программа устанавливает в систему компонент Gh0st RAT с функциональностью бэкдора.
Сразу после старта троян проверяет, не запущена ли на инфицированном компьютере его копия. Затем он определяет количество ядер процессора, и, если оно больше или равно указанному в конфигурации числу потоков, расшифровывает и загружает в память хранящуюся в его теле библиотеку. Эта библиотека представляет собой модифицированную версию системы удалённого администрирования с открытым исходным кодом, известной под наименованием Gh0st RAT.
Основной модуль, предназначенный для добычи криптовалюты Monero, также реализован в виде библиотеки. Причём вредоносная программа может задействовать как 32-разрядную, так и 64-разрядную версию модуля для добычи криптовалюты.
Зловред способен использовать определённое количество ядер и вычислительных ресурсов. При этом троян отслеживает работающие на заражённом компьютере процессы и при попытке запустить диспетчер задач завершает свою работу.