Есть хороший способ измерить популярность новой технологии или тренда — нужно посмотреть, как много внимания уделяют ей хакеры и авторы вредоносного ПО. И с учетом этого критерия Bitcoin очень быстро забирается на олимп. Последний признак этого — зловред, который, как обнаружили исследователи из Arbor Networks, маскируется под утилиту для оповещения владельцев биткойнов об изменении курса BTC.

Программа, называющаяся Bitcoin Alarm, в данный момент распространяется по электронной почте и имеет способность находить и предположительно красть биткойны жертвы. Исследователи из Arbor обнаружили программу в получаемом ими спаме. В ходе предварительного расследования они нашли в ней несколько слоев обмана и запутывания следов. Поведение программы плохо поддается анализу, возможно, именно поэтому далеко не все антивредоносные приложения способны определить ее как вредоносное ПО.

«Скачанный BitcoinAlarm.exe (MD5: edfa12d4a454b0eb786bbe92050ab88a) имел всего одно срабатывание на VirusTotal (от Kaspersky), когда я впервые просканировал его. Неужели это просто ложное срабатывание на милую бесплатную утилитку? Копнем глубже!» — написал Кенни Макдермид в своем анализе зловреда.

В файле находится RAR-архив, который содержит скрипт в файле с названием winupdate.exe.

«Быстрая проверка winupdate.exe на VirusTotal показывает, что это вполне валидный (и невредоносный) исполняемый файл AutoIt. AutoIt — отличный маленький скриптовый язык для Windows, особенно полезный для автоматизации действий с GUI. Так что если winupdate.exe — это Autoit, то 5943564.IFW — это его скрипт. Похоже, это все сделано для отвода глаз», — сказал Макдермид.

Одна из вещей, которую делает скрипт, — это проверка на предмет того, запущенно ли какое-либо защитное ПО, и, если запущено, он засыпает на 20 секунд. Проверка на запущенные защитные программы является классическим поведением вредоносного ПО. По словам Макдермида, после завершения проверки приложение выполняет ряд других операций для отключения защитных программ и функций. И уже после этого программа расшифровывает и запускает файл, называющийся 20070.RQT.

«Расшифрованный файл имел 30/48 срабатываний на VirusTotal, когда я его просканировал (MD5: 224c73f8172123e5ddca2302425664a6). Он называется NetWiredRC и представляет собой троянец удаленного доступа, созданный для кражи аутентификационных данных, и, скорее всего, в этом случае используется для кражи биткойнов. Он подключается к bitcoins.dd-dns.de на порт 3360», — написал Макдермид.

В данный момент ссылка на загрузку приложения Bitcoin Alarm возвращает ошибку 404, и, как написал Макдермид, теперь гораздо больше антивредоносных программ опознают его как зловреда.

Категории: Вредоносные программы