Utenti Home       Utenti Aziendali       Chi Siamo       Contratto EULA.

Dettaglio news

MIRUS: un nuovo virus per il mining di criptovaluta
- MARTEDÌ 27 FEBBRAIO 2018


Nell'ultimo periodo le criptovalute godono di una straordinaria popolarità e, come spesso succede, non tutta questa attenzione si è rivelata essere una buona pubblicità. Da numerose ricerche è emerso infatti che stanno aumentando le attività di mining, tanto che numerose piattaforme hanno iniziato ad offrirlo come un vero e proprio servizio ai propri utenti. E' questo il caso di CoinHive che fornisce miner di criptovaluta in JavaScript. 

CoinHive è un servizio browser-based che consente ai proprietari di siti Web di utilizzare la CPU dei visitatori del loro sito Web per estrarre criptovaluta (Monero). I virus file-infector responsabili delle infezioni hanno la capacità di propagarsi allegando ai file "puliti" codici dannosi. Questa volta, gli autori del malware hanno usato uno script per il mining come payload del virus.

I Quick Heal Security Labs hanno poi individuato un malware che sta sia infettando i file che operando il mining rilasciando il JavaScript di CoinHive all'interno dei files HTML. Questa nuova operazione rappresenta senza dubbio la prossima sfida da vincere per i nostri ricercatori. 

Nella figura sottostante mostriamo il numero di server giornalmente colpiti dal malware CoinHive nei primi 10 giorni di Febbraio 2018. 


L'analisi dei Quick Heal Security Labs
Questo malware è un file infector che ha come estensioni *.exe, *.com, *.scr, *.pif, etc. Il codice dannoso viene anteposto al file pulito e il file originale viene mantenuto nei dati allegati. Il malware ricerca i file con estensione *.HTML o *.htm  e allegherà a quest'ultimi il JavaScript di CoinHive. Quindi lascia una copia di se stesso, con attributi nascosti, nella location in foto sotto, quindi viene eseguito. 


Le voci di registro mostrare nella figura sotto vengono aggiunte per abilitare l'esecuzione automatica ad ogni riavvio del sistema.


Nel tentativo di bloccare l'accesso ai server web e update dei vendor di Antivirus, il malware modifica il file HOSTS di Windows.  Di conseguenza, i siti web di svariati vendor di antivirus diverranno inaccessibili e alcuni software antivirus potrebbero non essere più in grado di eseguire alcun update. Nella foto sotto il contenuto aggiunto nel file HOSTS.


Altre voci di registro vengono aggiunte per disabilitare le opzioni delle cartelle, il controllo account utenti e anche per cancellare le voci di registro indicate sotto per disabilitare la Modalità Provvisoria. 


La figura sotto mostra invece lo script di CoinHive aggiunto al file HTML. 


Quando l'utente esegue il file HTML infetto, lo script di CoinHive viene eseguito e invia una richiesta al sito di CoiHive per la connessione. Ottenuta la risposta, nella forma di codice Javascript min.js, inizia il mining. Il sito di CoinHive invierà ulteriori risposte finalizzate alla velocizzazione delle operazioni di mining. 


Quando lo script è in funzione, l'uso della CPU salirà al massimo: quando la pagina verrà chiusa si interromperà il mining. In questa particolare famiglia di malware, il mining inizierà quando il file HTML dannoso viene eseguito dall'utente e si interromperà quando il file verrà chiuso. 


Gli autori di malware usano i servizi di mining come strada piuttosto facile per guadagni aggiuntivi. Consigliamo agli utenti di evitare siti sospetti e di mantenere sempre aggiornato il proprio antivirus.

Quick Heal blocca lo script di CoinHive per proteggere i propri clienti da mining non autorizzato e da sovrautilizzi della CPU. Quick Heal inoltre individua e ripara con successo i file infetti.

Individuazione da parte di Quick Heal:
1. il file dannoso è individuato come “W32.CoinMiner.A4”
2. Il file HTML dannoso è individuato come “HTML.Miner.A”
3. Il Javascript di CoinHive è individuato come "JS.Cryptmine.3373".

Articolo tradotto dal testo in inglese di Preksha Saxena, Rumana Siddiqui
| Quick Heal Security Labs



Leggi tutte le news     |     Leggi tutti gli update
Ultime news

GIOVEDÌ 14 OTTOBRE 2021
Quick Heal: report 2° trimestre 2021 sulle minacce informatiche. Le minacce per Android
Il report trimestrale fornisce una panoramica dei rischi informatici più pericolosi e diffusi nel 1° trimestre 2021. Si divide in due sezioni, una per Windows e una per A...

leggi tutte le news

Premi e Certificazioni

La qualità dei prodotti Quick Heal vanta innumerevoli premi e certificazioni a testimonianza della sempre crescente importanza del marchi a livello mondiale nel settore Antivirus e sicurezza informatica

Continua a leggere »

Chi siamo
Panoramica
La nostra storia
Leadership
Premi & Certificazioni
Scheda riepilogativa
Clienti
Trova un rivenditore
Manuali e schede tecniche
Chiedi aiuto
Contatti
Update
Rivenditori
Diventa rivenditore
Strumenti di supporto
Link rapidi
Rinnova ora
File di installazione
Supporto
Contratto EULA.

S-MART è un marchio di proprietà netWork Sas
P.IVA: 05345670482
Telefono: 055430352

© 2021 nwk - Privacy Policy - Cookie Policy - Login