Обнаружен новый вредоносный майнер «Норман», прячется при открытии Диспетчера задач
Когда вы думаете, что у вас есть вирус, который использует ваши ресурсы, вы можете дважды проверить Диспетчер задач, чтобы обнаружить любые странные процессы. Но что, если вирус, который заражает ваш ПК, знает, когда вы открыли Диспетчер задач, и прячется, когда вы его ищете?
Этот сценарий и есть то, что делает новый вредоносный майнер Норман, что делает его сложной проблемой для борьбы!
Также читайте: Microsoft предупреждает о трудноуловимом безфайловом вредоносном ПО «Астарот»
Как был замечен Норман
Норман стал известен после того, как компания безопасности Varonis заметила странную активность на серверах одной из компаний-клиентов. Они заметили, что устройства, показывающие странные признаки, принадлежали тому же клиенту, который сообщал о замедлении своих систем. В результате Varonis отправила команду безопасности, чтобы выяснить, что происходит.
Когда команда проверила компьютеры компании, они обнаружили, что каждое устройство было заражено криптомайнером. Это объясняло, почему машины работали не так быстро, как раньше: разработчик криптомайнера использовал вычислительную мощность для майнинга Dinero.
Что еще хуже, инфекция распространялась по сети в течение года до того, как Varonis прибыла на место. Эта задержка означала, что тот, кто установил первоначальную инфекцию, вероятно, заработал много криптовалюты за время, которое потребовалось, чтобы найти их майнер!
Как работает Норман
Когда Норман остается в покое, он с удовольствием майнит для своего владельца. Это действие сказывается на ресурсах системы, что заставляет некоторых людей открывать Диспетчер задач, чтобы выяснить, что использует их процессор.
Дизайн Нормана противодействует этому, следя за тем, когда пользователь открывает Диспетчер задач. Когда он замечает это, он немедленно завершает процесс майнинга, что удаляет его из списка процессов, работающих на компьютере. Таким образом, пользователь не видит, что вызывает проблему, и предполагает, что все в порядке. Ниже вы можете увидеть, как вредоносное ПО (называемое «wuapp») исчезает, когда Диспетчер задач (называемый «Taskmgr») появляется на сцене.
Когда пользователь отворачивается от Диспетчера задач, вредоносное ПО снова внедряет майнер и возобновляет свой процесс. Эта тактика означает, что вредоносное ПО имеет лучшее из обоих миров. Оно может использовать ресурсы системы, когда не находится под наблюдением, и удалять все следы, когда пользователь пытается его отследить.
Как защититься от криптомайнеров
С криптомайнерами лучше всего бороться, не позволяя им устанавливать себя с самого начала. Имея актуальный антивирус, проверяйте свою систему на наличие радикалов и поддерживайте свою операционную систему в актуальном состоянии, чтобы предотвратить любые уязвимости.
Если вы заметили, что ресурсы вашей системы используются чем-то, выполните проверку антивирусом, чтобы выяснить, скрывается ли вредоносное ПО. Если вы думаете, что Норман может прятаться, вы можете использовать другой просмотрщик процессов, кроме Диспетчера задач, чтобы поймать его на месте. Вышеупомянутая GIF, похоже, использует Process Hacker, так что попробуйте!
Ничего нормального в Нормане
Криптомайнеры приносят своим владельцам много денег, но у них есть характерный признак замедления компьютера, на котором они находятся. Норман пытается скрыться от Диспетчера задач, но есть способы защитить себя от него. Даже если он попадает на вашу систему, альтернативный монитор процессов должен поймать его на месте.
Беспокоит ли вас это новое развитие в области криптомайнеров? Дайте нам знать ниже.
Фото: Varonis
