Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Contacter-nous !
Support 24/24 | Rules regarding submitting

Nous téléphoner

0 825 300 230

Forum

Vos requêtes

  • Toutes : -
  • Non clôturées : -
  • Dernière : le -

Nous téléphoner

0 825 300 230

Profil

Trojan.BtcMine.2894

Added to the Dr.Web virus database: 2018-06-13

Virus description added:

SHA1:

  • SHA1: 82e0fd8db296aeb88237fe80711d25dd63fdca80

The following development of the miner Trojan.BtcMine.1959. Its self-designation is Gefest. Once launched, the Trojan implements anti-debugging features:

screen #drweb

In case of detection of a debugger, the miner shuts down Windows Explorer and restarts the computer:

screen #drweb

Then the Trojan checks whether its configuration has been changed without authorization via checking MD5 hash:

screen #drweb

Check of relaunch is performed using mutexes. Then the Trojan checks whether it operates independently or it is embedded into a system process: this check is performed by determining a path to the process executable file and an attempt to find in this path a substring “windows” or “WINDOWS”.

If the Trojan is launched as an independent application, it saves its copy into the file “%PROGRAMDATA%\\<hwid>\\<hwid2>.exe”, where hwid is a string obtained from the registry key [HKLM\\SOFTWARE\\Microsoft\\Cryptography] 'MachineGuid', and hwid2 is first five symbols of MD5 from hwid. Then the miner generates a list of all files with the EXE extension located in the folder %SYSTEM32% by randomly sorting them. It also tries running each file from the list with the flag CREATE_SUSPENDED and embedding it into file’s memory—up to the first successful attempt.

If the Trojan is embedded into a running process, it tries to determine whether a computer is equipped either with the Nvidia or AMD video adapter. If such adapter is found and the Trojan’s configuration has a flag installed that allows using GPU for cryptocurrency mining, the Trojan extracts from the configuration a link to the miner and its launch parameters. After that it downloads and embeds the miner into an arbitrary process according to a scheme described earlier. Regardless of the miner’s usage for graphics adapters, the miner for CPU is always downloaded and embedded into other processes.

Sometimes the Trojan checks the presence of its file on the disk and saves it once again in case of its removal. Using the name detection of open windows, the Trojan tracks launch of various applications that allow tracking running processes:

screen #drweb

When detecting a program from the list, it shuts down the process with the embedded miner and relaunches it when the respective application is unloaded.

Recommandations pour le traitement

  1. Si le système d'exploitation peut être démarré (en mode normal ou en mode sans échec), téléchargez Dr.Web Security Space et lancez un scan complet de votre ordinateur et de tous les supports amovibles que vous utilisez. En savoir plus sur Dr.Web Security Space.
  2. Si le démarrage du système d'exploitation est impossible, veuillez modifier les paramètres du BIOS de votre ordinateur pour démarrer votre ordinateur via CD/DVD ou clé USB. Téléchargez l'image du disque de secours de restauration du système Dr.Web® LiveDisk ou l'utilitaire pour enregistrer Dr.Web® LiveDisk sur une clé USB, puis préparez la clé USB appropriée. Démarrez l'ordinateur à l'aide de cette clé et lancez le scan complet et le traitement des menaces détectées.

Veuillez lancer le scan complet du système à l'aide de Dr.Web Antivirus pour Mac OS.

Veuillez lancer le scan complet de toutes les partitions du disque à l'aide de Dr.Web Antivirus pour Linux.

  1. Si votre appareil mobile fonctionne correctement, veuillez télécharger et installer sur votre appareil mobile Dr.Web pour Android. Lancez un scan complet et suivez les recommandations sur la neutralisation des menaces détectées.
  2. Si l'appareil mobile est bloqué par le Trojan de la famille Android.Locker (un message sur la violation grave de la loi ou la demande d'une rançon est affiché sur l'écran de l'appareil mobile), procédez comme suit:
    • démarrez votre Smartphone ou votre tablette en mode sans échec (si vous ne savez pas comment faire, consultez la documentation de l'appareil mobile ou contactez le fabricant) ;
    • puis téléchargez et installez sur votre appareil mobile Dr.Web pour Android et lancez un scan complet puis suivez les recommandations sur la neutralisation des menaces détectées ;
    • Débranchez votre appareil et rebranchez-le.

En savoir plus sur Dr.Web pour Android