Эксперт в сфере безопасности Ксавье Мертенс обнаружил необычный майнер. Помимо стандартной добычи виртуальных денег, майнер способен находить и отключать прочее вредоносное ПО для добычи криптовалюты.
Нестандартный скрипт Powershell удивил исследователя. Основной целью Powershell является загрузка и запуск майнера криптовалюты, но в коде также реализован механизм поиска и отключения других майнеров, инструментов безопасности и процессов, потребляющих значительную часть вычислительных мощностей процессора.
Перед тем, как инфицировать устройство, скрипт исследует параметры целевого процессора (является ли он 32-разрядным или 64-разрядным). После этого на систему загружаются вредоносные файлы hpdriver.exe или hpw64, которые маскируются под драйверы HP.
После установки вредонос формирует список запущенных процессов и отключает все, потребляющие большое количество мощностей процессора, в том числе майнеры:
Silence Carbon xmrig32 nscpucnminer64 cpuminer xmr86 xmrig xmr
Источник: securitylab.ru
