Спеціалізується на кібербезпеки компанія Varonis повідомила про виявлення нового вірусу-майнера Norman, який приховує свою присутність зі списку завдань.
У звіті повідомляється, що Norman був випадково виявлений при аудиті компанії, яка піддалася атаці. Головна особливість вірусу-майнера в тому, що при відкритті диспетчера завдань Windows програма завершує процес майнінгу, так що користувач і не здогадується про те, що його комп’ютер піддався зараженню. Після закриття диспетчера завдань видобуток кріптовалюти знову запускається.
Зазначимо, що Norman видобуває криптовалюту Monero з допомогою популярного майнера XMRig. Вірус написаний на мові програмування .NET і був обфусцирован з допомогою Agile. Для установки використовується рішення для створення інсталяційних пакетів Nullsoft Scriptable Install System, а для запуску самого вірусу – системний процес svchost. Цікаво, що вірус також спілкується з віддаленим сервером, використовуючи код на мові PHP.
Після глибокого аналізу вірусу дослідники прийшли до висновку, що країна походження Norman – Франція або будь-яка інша франкомовна країна, так як в коді були знайдені фрази французькою.
Нагадаємо, що в середині червня компанія Trend Micro повідомила про виявлення цілого ботнету хакерської групи Outlaw, який поширює компонент для майнінг Monero.
Thanks!
Our editors are notified.