Появился майнер, отключающий другое вредоносное ПО

Эксперт в сфере безопасности Ксавье Мертенс обнаружил необычный майнер. Помимо стандартной добычи виртуальных денег, майнер способен находить и отключать прочее вредоносное ПО для добычи криптовалюты.

Нестандартный скрипт Powershell удивил исследователя. Основной целью Powershell является загрузка и запуск майнера криптовалюты, но в коде также реализован механизм поиска и отключения других майнеров, инструментов безопасности и процессов, потребляющих значительную часть вычислительных мощностей процессора.

Перед тем, как инфицировать устройство, скрипт исследует параметры целевого процессора (является ли он 32-разрядным или 64-разрядным). После этого на систему загружаются вредоносные файлы hpdriver.exe или hpw64, которые маскируются под драйверы HP.

После установки вредонос формирует список запущенных процессов и отключает все, потребляющие большое количество мощностей процессора, в том числе майнеры:

Silence  Carbon  xmrig32  nscpucnminer64  cpuminer  xmr86  xmrig  xmr

Источник: securitylab.ru