Nouveau malware de minage “Norman” découvert, se cache lorsque vous ouvrez le Gestionnaire des tâches
Lorsque vous pensez avoir un virus qui utilise vos ressources, vous pouvez vérifier le Gestionnaire des tâches pour repérer des processus étranges en cours. Mais que se passe-t-il si un virus qui infecte votre PC sait que vous avez ouvert le Gestionnaire des tâches et se cache lorsque vous le cherchez ?
Ce scénario est ce que fait le nouveau malware de minage Norman, ce qui en fait un problème délicat à combattre !
Lisez aussi : Microsoft avertit des malwares sans fichier difficiles à repérer, “Astaroth”
Comment Norman a été repéré
Norman a été mis en lumière après qu’une entreprise de sécurité appelée Varonis a observé une activité étrange sur les serveurs de l’une des entreprises de leurs clients. Ils ont remarqué que les appareils montrant des signes étranges provenaient du même client qui signalait un ralentissement de ses systèmes. En conséquence, Varonis a envoyé une équipe de sécurité pour voir ce qui se passait.
Lorsque l’équipe a vérifié les ordinateurs de l’entreprise, ils ont découvert que chaque appareil avait été infecté par un cryptomineur. Cela expliquait pourquoi les machines ne fonctionnaient pas aussi rapidement qu’auparavant : le développeur du cryptomineur siphonnait la puissance de traitement pour miner du Dinero.
Pire encore, l’infection circulait sur le réseau depuis un an avant l’arrivée de Varonis sur les lieux. Ce retard signifiait que celui qui avait mis en place l’infection initiale avait probablement gagné beaucoup de cryptomonnaie pendant le temps qu’il a fallu pour trouver son mineur !
Comment Norman fonctionne
Lorsque Norman est laissé seul, il mine joyeusement pour son propriétaire. Cette action a un impact sur les ressources du système, ce qui amènera certaines personnes à ouvrir le Gestionnaire des tâches pour découvrir ce qui utilise leur processeur.
La conception de Norman combat cela en surveillant lorsque l’utilisateur ouvre le Gestionnaire des tâches. Lorsqu’il repère cela, il termine immédiatement le processus de minage, ce qui le retire de la liste des processus en cours sur l’ordinateur. Ainsi, l’utilisateur ne voit pas ce qui cause le problème et suppose que tout va bien. Ci-dessous, vous pouvez voir comment le malware (appelé “wuapp”) disparaît lorsque le Gestionnaire des tâches (appelé “Taskmgr”) entre en scène.
Lorsque l’utilisateur détourne le regard du Gestionnaire des tâches, le malware réinjecte le mineur et reprend son processus. Cette tactique signifie que le malware a le meilleur des deux mondes. Il peut utiliser les ressources système lorsqu’il n’est pas sous surveillance et supprimer toute trace lorsque l’utilisateur essaie de le suivre.
Comment se protéger contre les cryptomineurs
Les cryptomineurs sont mieux combattus en ne leur permettant pas de s’installer en premier lieu. Ayez un antivirus à jour vérifiant votre système pour des éléments radicaux, et gardez votre système d’exploitation à jour pour prévenir toute exploitation de faille.
Si vous remarquez que les ressources de votre système sont utilisées par quelque chose, effectuez une vérification antivirus pour voir si un malware se cache. Si vous pensez que Norman pourrait se cacher, vous pouvez utiliser un visualiseur de processus différent du Gestionnaire des tâches pour le prendre en flagrant délit. Le GIF ci-dessus semble utiliser Process Hacker, alors essayez-le !
Rien de normal à propos de Norman
Les cryptomineurs rapportent beaucoup d’argent à leurs propriétaires, mais ils ont le signe révélateur de ralentir l’ordinateur sur lequel ils se trouvent. Norman essaie de se cacher du Gestionnaire des tâches, mais il existe des moyens de se défendre contre lui. Même s’il pénètre dans votre système, un moniteur de processus alternatif devrait le prendre en flagrant délit.
Cette nouvelle évolution des cryptomineurs vous préoccupe-t-elle ? Faites-le nous savoir ci-dessous.
Crédit image : Varonis
