Полезные знания Как я скрытый майнер искал

  • Автор темы BOOX
  • Дата начала

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.223
Репутация
11.695
Реакции
61.957
RUB
50
Приветствую тех, кто читает. Сижу значит никого не трогаю, вдруг начинает кулер процессорный шуметь. Понимаю, что кто то начал загружать мой процессор. Ну я бегом в диспетчер задач, а там пусто и кулер затих. Через какое-то время ситуация повторяется. Понял, что вирус поймал. Скачал drweb cureit и adw cleaner - результата ноль. Поиск в интернетах результата не дал. Значит будем руками искать.

Для начала глянул в автозапуск и планировщик задач - ничего подозрительного.

Зашел в process explorer и обнаружил такого зверя:

1588449665195160571.webp


Командная строка, которая постоянно перезапускается, причем с таймаутом, как будто чего-то ждет. Заходим в свойства cmd.exe и видим:

1588449763164256121.webp


Командая строка запускается с параметром, ведущим к некому DataTM.cmd. Вот код, который лежит в батнике:

1588450000163040725.webp


А вот и файлы в папке с ним:

1588450083119052557.jpg


XMR майнер. Маскируется в процессах под steam я так понимаю и вырубается как только был включен taskmgr или похожие "диспетчеры задач".

Это не значит, что все майнеры так прячутся, но как один из вариантов. Надеюсь кому-то поможет.

Вот ",,,," если где забыл поставить.





 
Кстати никогда не понимал почему его не видно в диспетчере? Это же отдельное приложение по сути?
Почему его процесс не изолирован от других, а как бы внутри другого? Спасибо за ответ
 
большое спасибо, была практически идентичная проблема на старом ноуте
 
Сверху Снизу