Эксперты Trend Micro обнаружили новую версию шифровальщика XiaoBa, переделанного под добычу криптовалюты. Они утверждают, что модифицированный зловред опаснее для компьютера, чем его предшественники, из-за ошибок в коде.

Ранее исследователям было известно о трех версиях вымогателя. Впервые XiaoBa заметили в октябре 2017 года. Шифровальщик добавлял к файлам расширения от .Xiaoba1 до .Xiaoba34 и отключал функции восстановления системы.

Поскольку он не распространялся за пределами Китая, на протяжении нескольких месяцев мировая общественность не знала о его существовании. Только в третьей версии злоумышленники начали использовать английский язык — вероятно, чтобы увеличить количество потенциальных жертв.

Новая форма зловреда, определяющаяся как PE_XIAOBAMINER, была обнаружена аналитиками Trend Micro 17 апреля. Создатели XiaoBa переписали код, и вместо шифрования файлов вредоносная программа стала внедрять скрипт для майнинга. Помимо собственно добычи криптовалюты, она копирует свой код в другие исполняемые файлы, а также внедряет во все файлы .HTML и .HTM JavaScript-библиотеку Coinhive.

Как и многие другие вредоносы, XiaoBa добавляет себя в список автозагрузки, а чтобы предотвратить переход пользователя в безопасный режим, вирус удаляет записи реестра safeboot. Затем майнер переписывает hosts-файлы с целью затруднить работу антивирусного программного обеспечения.

Обезопасив себя, зловред находит исполняемые файлы с расширениями .EXE, .COM и .SCR, а также ярлыки .PIF. Однако, в отличие от других вирусов, XiaoBa никак не помечает уже зараженные приложения. В результате зловред может записывать сам себя в код других программ неограниченное количество раз и даже производить инъекции исполняемых файлов друг в друга. Из-за этой особенности новый XiaoBa быстро забивает диски.

Недостаток свободного пространства на жестком диске — это наименьшее из неудобств, с которым может столкнуться жертва заражения. Поскольку единственным критерием выбора цели является ее расширение, вирус внедряется в критические для работы Windows файлы в директориях %SystemRoot% и %ProgramFiles%.

Создатели вируса, вероятно, рассчитывали на то, что XiaoBa сможет добывать криптовалюту, работая в фоне запущенного пользователем приложения. Однако из-за ошибок в коде зловред блокирует работу программы, активируя лишь майнер. Учитывая привычку XiaoBa заражать системные файлы, можно предположить, что зараженный компьютер просто не загрузится.

Категории: Аналитика, Вредоносные программы