Olyan trójait fedeztek fel a közelmúltban, amivel a számítógépeket bitcoinbányászatra lehet fogni – természetesen tulajdonosa tudta nélkül. Az SvcMiner.A windowsos gépekre jelent veszélyt – írta a Biztonságportál.

A közelmúltban Gaidosch Tamás tartott előadást az ISACA klubjában a bitcoin biztonsági kérdéseirőloldaláról. Akkor a szakértő meggyőzően cáfolta azt az elképzelést, hogy az Internet of Things szellemében hálózatba kapcsolt eszközöket – a hűtőktől a vasalókig – előbb-utóbb akár bitcoin bányászására is használhatják hackerek. Egyszerűen túl sok eszközt kellene megfertőzni és bekapcsolni egy ilyen rendszerbe – vélekedett Gaidosch.

Más a helyzet a PC-kkel, laptopokkal. Kellő teljesítmény van bennük ahhoz, hogy megcsapolva erőforrásaikat alkalmasak legyenek az egyébként számításigényes bányászatra.

Így működik az SvcMiner.A

Az SvcMiner.A trójai olyan műveleteket végez, amelyek révén a PC-ket virtuális pénz bányászatába vonhatja be. Ha bekövetkezik a fertőzés, azt akár a gép használója a napi rutinfeladatokon is érezheti. A trójai ugyanis jól érzékelhető terhelést okoz a fertőzött rendszereken, azaz lelassul a gép.

Az Isidor Biztonsági Központ szerint az SvcMiner.A windowsos folyamatok nevét felhasználva fut a háttérben, hogy ezzel is megnehezítse a felfedezését. Fedőneve jellemzően svchost.exe, Win Defender.exe vagy wuauclt.exe lesz.

A trójai rendszerinformációkat is szivárogtat. Ez utóbbit elsősorban azért, hogy a trójai terjesztői a lehető legpontosabb képet kapják a fertőzött PC grafikus teljesítményéről, valamint a gépen futó biztonsági szoftverekről, valamint a biztonsági beállításokról.

Mindez csupán a felhasználó munkaélményét befolyásolja negatívan. Az azonban már nem csak őt érinti, hogy az SvcMiner esetenként elosztott szolgáltatásmegtagadási támadásokban is szerepet kaphat.

Ha az SvcMiner.A trójai elindul a gépen, első lépésként létrehoz két fájlt (%SystemDrive%\winddk\tmp-1.bin és %SystemDrive%\winddk\winddk.exe), majd pedig a fentebb említett fedőnevek valamelyikén elkezdi működését.

Utána létrehoz egy ún. mutexet (mutual exclusion), hogy egyszerre csak egy példányban fusson. Kapcsolódik egy távoli kiszolgálóhoz, amelyről konfigurációs adatokat tölt le, melyek birtokában nekifog a bitcoinbányászatnak.

A trójairól a részletesebb műszaki információkat a Isidor Biztonsági Központ oldalán találják.