le 18 décembre 2013

Doctor Web annonce l'apparition du Trojan.BtcMine.218, conçu pour récolter la crypto-monnaie Bitcoin. Ce Trojan utilise, pour se propager, le programme partenaire malveillant connu installmonster.ru. C'est le deuxième Trojan conçu pour utiliser des ressources numériques sur les ordinateurs découvert par les experts de Doctor Web en décembre 2013.

La surveillance du programme partenaire pour monétiser le trafic de fichiers Installmonster.ru a confirmé son caractère malveillant. Au début du mois de décembre, les spécialistes ont trouvé, dans la distribution de ce programme partenaire, le fichier SmallWeatherSetup.exe, qui semble représenter une " barre d'outils météo ". L'application connue et tout à fait saine qui porte le même nom affiche des données météo, mais la version distribuée via le programme partenaire Installmonster.ru, contient un " complément " dangereux.

Dans ce cas, nous avons un Trojan dropper classique, écrit en AutoIt langage macro. Le script du code est assez simple et compréhensible, et contient deux lignes distinctes :

Grâce à ces lignes, nous pouvons comprendre que l'utilisateur portant le pseudonyme « Antonio » a crée sur son bureau un dropper, qui lance deux applications : L’informateur météo SmallWeatherSetup.exe et un logiciel malveillant dans le fichier Install.exe. L'application Install.exe est un downloader du composant malveillant qui, en utilisant le fichier en format XML, téléchargé depuis le site des malfaiteurs http://bitchat.org, installe sur l'ordinateur infecté l'application pour effectuer le mining de crypto-monnaie. Le fichier de configuration contient le login de l'utilisateur (tonycraft) en faveur duquel le Trojan dépense les ressources numériques de l'ordinateur de la victime.

Le logiciel cruminer (Tool.BtcMine.130) est utilisé comme une application pour le mining, mais sur le système infecté, il fonctionne sous le nom %APPDATA%\Intel\explorer.exe. Pour assurer son démarrage automatique, le Trojan modifie la branche du registre de Windows appropriée :

Apparemment, « Antonio » (« Tony ») n'est pas un développeur avancé, car une autre personne a été chargée d'écrire les modules principaux du Trojan. Ce fait est prouvé par les données trouvées dans les modules du Trojan, par exemple : "c:\Users\Кошевой Дмитрий\Documents\Visual Studio 2012\Projects\Miner\Instal\obj\Debug\Instal.pdb".

A l'aide d’une recherche dans le réseau social VKontakte il est possible de trouver la page appartenant à l'utilisateur avec le surnom Tonycoin, qui invite tout le monde à rejoindre le site chat bitchat.org :

En outre, il est possible de trouver les pages sur lesquelles le même utilisateur affiche la publicité de son Trojan sous une application SmallWeatherSetup.exe :

Actuellement l'auteur du virus "Dimitri Kochevoï" continue sans relâche à modifier sa créature afin d'éviter la détection par les signatures et Tony a laissé son " Informeur météo " pour distribuer l’application " Radio Internet " sous un fichier portant le nom ScreamerRadio.exe.

Récemment, les spécialistes ont détecté un nouveau logiciel, RadioOnline.exe sur le programme partenaire, qui, comme vous pouvez le deviner, est toujours le même Trojan.BtcMine.218. L'antivirus Dr.Web détecte et supprime le Trojan.BtcMine.218 et les utilisateurs des produits Dr.Web sont entièrement protégés contre cette menace.