Майнер криптовалюты заражает Windows посредством EternalBlue и WMI

Новый вид вредоносных программ, известный под названием CoinMiner, доставляет пользователям и компаниям в сфере интернет-безопасности множество проблем. Главным образом потому, что обнаружить и остановить CoinMiner очень трудно из-за сочетания различных уникальных функций.  

Программа-майнер сначала использует эксплойт EternalBlue для инфицирования жертв, а затем – при помощи WMI (инструментарий управления Windows) – запускает на инфицированных системах команды. Помимо этого CoinMiner работает с памятью устройства (безфайловое вредоносное ПО) и использует широкие возможности C&C серверов для активации множества сценариев и компонентов, необходимых для заражения жертв.

CoinMiner использует WMI для загрузки сценариев и других компонентов, необходимых для обеспечения  бесперебойной работы вредоноса, а затем для загрузки и запуска бинарного кода майнера.

Таким образом, из всего этого формируется гремучая смесь из функций, особенно опасных для устаревших устройств и систем, использующих неактуальные версии антивирусного ПО.

Источник: http://www.securitylab.ru/