[:pb]Pesquisadores de segurança da Qihoo alertaram recentemente para o malware WinstarNssmMiner, que tem PCs com Windows como alvo.
Malware WinstarNssmMiner
O malware, que infectou mais de 500.000 PCs em três dias, é baseado no utilitário open-source conhecido como XMRig. Ele pode ser usado de forma legítima, ou por malwares como este, para minerar a criptomoeda conhecida como Monero.
Os pesquisadores não confirmaram o método de propagação do malware WinstarNssmMiner, mas disseram que ele é único em comparação com outros malwares do tipo.
Após infectar o PC do usuário, o malware executa as seguintes tarefas:
– Verifica o PC em busca de processos dos softwares antivírus Avast e Kaspersky.
– Se o usuário estiver usando algum deles, o processo de infecção será abortado.
– Se o usuário não estiver usando algum deles, o malware executará dois novos processos svchost.exe.
– Um dos processos svchost.exe fica oculto e é usado para mineração.
– O segundo processo svchost.exe é usado para monitorar processos de softwares antivírus no PC.
– Este segundo processo também pode desativar o antivírus instalado no PC para evitar a detecção.
Outro detalhe sobre o malware WinstarNssmMiner é que se o usuário tentar desativar o processo svchost.exe usado para mineração, o PC apresentará erros e o usuário será obrigado a reinicializá-lo.
O erro ocorre porque o malware define a propriedade do processo svchost.exe como “CriticalProcess”.
Segundo a Qihoo, o grupo por trás do malware já conseguiu cerca de US$ 28.000 (ou 133 Monero) com ele.
Além do WinstarNssmMiner, o malware IdleBuddyMiner também foi detectado pelos pesquisadores. A diferença é que este segundo exibe a seguinte mensagem pedindo permissão para usar o PC para mineração de criptomoedas:
via Baboo[:]