Специализирующаяся на кибербезопасности компания Varonis сообщила об обнаружении нового вируса-майнера Norman, который скрывает свое присутствие из списка задач.

В отчете сообщается, что Norman был случайно обнаружен при аудите компании, которая подверглась атаке.

Главная особенность вируса-майнера в том, что при открытии диспетчера задач в ОС Windows программа завершает процесс майнинга, так что пользователь и не догадывается о том, что его компьютер подвергся заражению. После закрытия диспетчера задач добыча криптовалюты снова запускается.

Отметим, что Norman добывает криптовалюту Monero с помощью популярного майнера XMRig. Вирус написан на языке программирования .NET и был обфусцирован с помощью Agile. Для установки используется решение для создания инсталляционных пакетов Nullsoft Scriptable Install System, а для запуска самого вируса – системный процесс svchost. Интересно, что вирус также общается с удаленным сервером, используя код на языке PHP.

После глубокого анализа вируса исследователи пришли к выводу, что страна происхождения Norman – Франция или любая другая франкоговорящая страна, так как в коде были найдены фразы на французском.

Напомним, что в середине июня компания Trend Micro сообщила об обнаружении целого ботнета хакерской группы Outlaw, который распространяет компонент для майнинга Monero.

Источник

Комментарии