Вместо предисловия
О шифровальщиках и троянских конях мы недавно поговорили, время поговорить о еще одном довольно широко распространенном компьютерном зле – майнерах криптовалют.
Когда криптовалюты только появились, не так уж и много народа верило в эту затею. Однако когда биткоин начал бить рекорды по обменному курсу, в майнинг ударилась масса людей. Кто-то ставил на ночь свои игровые компьютеры «майнить биток», кто-то собирал специальный компьютер для майнинга, кто-то покупал асики (специальные устройства, которые ничего, кроме майнинга, не делают). Были (и остаются) умники, которые настраивали майнинг на работе – новости о таких господах время от времени мелькают и по телевизору, и в Интернете.
Однако все это, несмотря на то, что направлено непосредственно на «добычу» криптовалют, не слишком выгодно: майнинг идет с весьма серьезными нагрузками на компьютер, который при этом пожирает массу электроэнергии. А за электричество, конечно же, надо платить. В итоге «выхлоп» от легального занятия майнингом ненамного превышает счет за электроэнергию – а ведь надо еще поддерживать в нормальном состоянии компьютер, который добывает вам цифровые деньги, ремонтировать выходящие из строя узлы (а при активном использовании износ идет быстрый и жесткий). Да уж…
Наиболее «светлые» головы вирусописательства подумали и решили: а зачем майнить самостоятельно? Зачем платить за электричество самому? Можно ведь написать модуль, который будет заражать чужой компьютер и занимать его вычислительные мощности в пользу написавшего. А счета за электричество будут приходить хозяину зараженного компьютера. Так и родилась идея вируса-майнера.
«Дроппер» от слова «drop»
Естественно, сам по себе майнер на вашем компьютере не установится – его надо скачать, установить, запустить, замаскировать под что-то безобидное, настроить – в общем, масса разных акций для того, чтобы он работал и не вызывал подозрений. И как, скажете вы, всего этого добиться?
Довольно просто. Заставить вас запустить приложение, которое «доставит» на ваш компьютер вирус-майнер, установит его, настроит, внесет в исключения вашего антивируса и т.п. И не просто заставить вас его запустить (этого мало), но запустить его с правами администратора. Только запущенное с правами администратора приложение способно внести на ваш жесткий диск все изменения, которые нужны злоумышленнику.
Распространять такой вирус через вложения в электронной почте или фишинговые ссылки неэффективно – никто же не будет запускать какое-то левое приложение с правами админа, так? И как же быть? Да просто. Прятать вирус в каком-то приложении, которое вы в любом случае запустите с правами администратора. Как правило, такие приложения – разные кейгены и кряки, а кроме них – дистрибутивы некоторых других приложений. Такие приложения называются «дропперы», от английского drop – «сбросить». Единственная функция дроппера – доставить на ваш компьютер установщик майнера и набор скриптов для его настройки. Как только вы запускаете такое приложение с правами администратора, тут же начинается бешеная активность вашего трафика, активно устанавливаются и выполняются какие-то модули, пишутся многочисленные ключи в реестр. В результате вы становитесь счастливым обладателем вируса-майнера. Поздравляю =).
Помните главное правило компьютерного пирата: кейгенам и крякам (кроме, пожалуй, только патчеров) не нужны права администратора. Если генератор ключей требует запуска с правами администратора, значит он собирается менять содержимое вашего диска. Подумайте – а оно вам надо? А может там не майнер будет, а шифровальщик? В систему-то вы файл этот уже пустили, антивирусы он уже обошел – и теперь заражение вашего компьютера зависит только от вас, и больше ни от кого.
Как работает майнер?
Многие мирно сосуществуют с вирусами этого типа годами. Кто-то и вообще их не замечает (железо мощное, что там в фоне компьютер делает, пользователь не обращает внимания). Но основная причина долгой жизни майнеров на компьютерах пользователей – относительная незаметность их работы. Они созданы таким образом, что все ресурсы системы не занимают, т.е. пользователь вполне себе комфортно работает на своей машине, а майнер «отъедает» ровно столько процессорной мощности и оперативной памяти, сколько нужно для того, чтобы его работа не была заметной. Доходит до того, что майнер может на время отключиться, если пользователь запускает ресурсоемкое приложение – компьютерную игру, Adobe Photoshop с аппаратной акселерацией работы с графикой (технология CUDA), 3D-редактор и т.п.
Майнер всегда запускается вместе с системой – иначе он просто не будет работать, ведь не будете же вы специально запускать эту программу. То есть он должен присутствовать в автозагрузке приложений или служб – как правило, в последнем, так как этот тип автозагрузки сложнее мониторить и намного сложнее принимать решение об отключении автозагрузки службы, чем приложения. По сути, из автозагрузки приложений можно выключить абсолютно все без вреда для системы, а вот если «погасить» загрузку какой-то службы, можно потерять и саму систему.
После того, как майнер загрузился в память, он начинает делать то, для чего создан – использовать ваши вычислительные мощности для генерации криптовалюты. С какой интенсивностью он будет это делать – зависит от настроек, но обычно обнаруживать себя он не дает.
Важно сказать о бот-сетях. Раньше мы уже о них говорили (когда обсуждали троянские вирусы). Майнеры также могут объединяться в бот-сети для более эффективного майнинга криптовалют; некоторые бот-сети достигают размеров нескольких тысяч машин.
И как же его обнаружить?
Не так-то просто обнаружить майнер =). Тем более, что антивирусы не определяют майнеры как вирусы, так как это по сути не вредоносные программы (мало ли, может вы сами майните), хотя при сканировании системы вполне могут выдать отчет о том, что обнаружены подозрительные программы, которые что-то там майнят.
Дропперы легко определяются антивирусами, но, как правило, пользователь относится к предупреждениям антивируса при установке взломанного ПО недоверчиво: мол, это специально в антивирусы встроено, чтобы с пиратским софтом бороться. На самом деле антивирусу все равно, кейген он сканирует или образ «официального» дистрибутива MS Windows: если там есть вирус или подозрительная программа, он просигналит.
Если же вы установили такую программу, это автоматически означает, что вы допустили в свою систему вирус. Майнер это, троян или что-то еще – выяснить можно только, запустив полное сканирование авнтивирусной программой.
Вообще, я рекомендую регулярное антивирусное сканирование – просто для того, чтобы знать, какие программные фантомы прописываются в вашей системе. Активность многих программ в настоящее время очень просто скрыть, а сюрпризы в виде увеличившегося счета за электричество обычно никто не связывает с работой компьютера. После того, как антивирус отсканирует компьютер, вы получите отчет, в котором, кроме однозначных угроз, хороший антивирус перечислит и программы подозрительные – в их число обычно включаются и майнеры. Если вы сами майнингом криптовалют не занимаетесь – значит, кто-то наживается за ваш счет, и пришло время обломать его нетрудовые доходы. Удаляйте без сожаления все то, что вы не ставили, не давайте злоумышленникам шансов заработать на вашей доверчивости.
И здоровья вашей системе, программного и аппаратного.
Станислав Корб, ©2018