Информационная безопасность

Анализ Adylkuzz майнера криптовалюты, ворующего ресурсы компьютера

Jakub Křoustek, 31 июля 2017

Подробнее об Adylkuzz — вирусе-криптомайнере, который незаметно заражает компьютер, используя тот же эксплойт, что и программа-вымогатель WannaCry.

Вирус-вымогатель WannaCry, вспышка которого оказалась одной из самых крупных в истории, притянул к себе огромное внимание СМИ, однако он не является единственным вредоносным ПО, чьи атаки принимают масштабы эпидемии. Одно из них – Adylkuzz, майнер криптовалюты, также заражающий компьютеры по всему миру.

Несмотря на широкое распространение Bitcoin, Аdylkuzz добывает (майнит) Monero – криптовалюту, которая особенно популярна в России. В первые дни с момента его обнаружения мы уже заблокировали 520 551 атак этого вируса, из которых 150 097 пришлось на Россию, то есть 29% от общего числа угроз на сегодняшний день. На Украину, с которой началась его масштабная атака в апреле этого года, пришлось 11% заражений.

Распространяется по принципу WannaCry

Adylkuzz заражает ПК так же, как WannaCry – используя уязвимость MS17-010 в SMB протоколе Windows через эксплойт EternalBlue/DoublePulsar. Однако, преимущество этого вируса в том, что он не требует участия пользователя для заражения системы, как это делают вирусы, распространяющиеся через фишинговые письма.

Также Аdylkuzz отличает от WannaCry то, что он пытается блокировать угрозы, использующие ту же уязвимость MS17-010, таким образом, как бы защищая ПК от своих сородичей. Занятно, не правда ли? На самом деле, это не первый раз, когда мы наблюдаем подобное соперничество. Помимо России и Украины, вирус атакует множество устройств в Перу, Бразилии и Тайване, которые были одной из главных целей WannaCry.

Страны, наиболее пострадавшие от Adylkuzz

Незаметно снижает производительность компьютера

Тем, кто интересуется, является ли Adylkuzz программой-вымогателем, как WannaCry, мы можем с уверенностью ответить, что нет, не является. Криптомайнер не шифрует данные пользователя или целую систему, как WannaCry или другие вирусы-шифровальщики. Вместо этого он использует системные ресурсы зараженного ПК в качестве топлива для майнинга криптовалюты Monero.

Сам по себе майнинг криптовалюты является вполне легальным бизнесом. Однако, чтобы максимизировать прибыль необходимы немалые вычислительные мощности. По этой причине, многие майнеры управляют огромными серверами-«фермами», чтобы добывать Bitcoin или другие криптовалюты, например Litecoin, Ethereum или Monero. Постройка таких серверов, поддержание их инфраструктуры и снабжение электричеством требуют значительных финансовых вложений.

Дабы избежать этих издержек создатели Аdylkuzz заставляют случайные ПК по всему миру работать на себя бесплатно. Каждое действие вируса-майнера поглощает производительность зараженного ПК для выполнения работы на злоумышленников. Это не первый раз, когда мы наблюдаем вредоносное ПО для майнинга криптовалюты: в 2014 году с этой целью (криптовалютой была Litecoin) заражались цифровые магнитофоны.

Создатели вируса стараются «выжать» из каждого ПК как можно больше мощностей в течение максимально продолжительного времени, поэтому этот тип вредоносного ПО задуман так, чтобы он действовал на заднем плане и привлекал к себе как можно меньше внимания. Кроме того, что система стала работать медленнее, чем обычно, большинство пользователей не заметит никаких изменений, и уже тем более следов присутствия вируса. В этом заключается еще одно большое отличие от вымогателя WannaCry, который мгновенно заявляет о своем присутствии.

Послушные марионетки в руках мастера

Машины, зараженные Аdylkuzz, формируют целый майнинговый ботнет, иными словами сеть устройств с установленным на них автономным ПО – ботами, генерирующими криптовалюту для злоумышленников, и контролируемыми ими через C&C (Command and Control) серверы. Не вдаваясь в детали, C&C серверы инструктируют ботов, на какие Monero адреса (представьте себе банковский счет) должны быть переведены добытые единицы криптовалюты.

Впоследствии C&C серверы могут давать команду ботам скачивать и запускать определенные приложения на зараженных компьютерах. Таким образом, операторы ботнета могут получить полный контроль над устройством, зараженным Аdylkuzz. Интересно, что этот контроль осуществляется при помощи скриптов на языке LUA, что не так часто встречается у вредоносного ПО.

Чего ждать дальше?

Несмотря на то, что Avast обнаруживает все известные версии Adylkuzz и блокирует их, мы настоятельно советуем всем пользователям Windows обновить систему до последней доступной версии. Нам уже известно о родственном вирусе, который пытается заполучить свой кусок пирога, используя вышеупомянутую уязвимость MS17-010. Данная программа-вымогатель называется «UIWIX».

Следите за нашими новостями в социальных сетях ВКонтакте, Одноклассники, Facebook и Twitter

Изображение: Jay Castor