Krypto-Währungs-Miner stoppt beim Start beliebter Spiele und Tools

Krypto-Währungs-Miner stoppt beim Start beliebter Spiele und Tools

Sicherheitsforscher von Bleepingcomputer zeigen bei einer besonders raffinierten, neu entdeckten Mining-Software die Funktionsweise auf. Interessant dabei ist, dass der Mining-Trojaner, um selber unentdeckt zu bleiben, ein Versteckspiel mit verschiedenen aufgelisteten Computerspielen und Windows-Anwendungen treibt.

Wenn die CPU-Auslastung auf einem Computer hoch ist, werden die Spiele weniger reaktionsschnell, die Bildrate sinkt, das Gameplay stottert und friert manchmal ein. Um diese Probleme abzuklären, öffnen Benutzer häufig Prozessmanager-Dienstprogramme, wie Task-Manager, Prozess-Explorer oder Prozess-Hacker, um festzustellen, welche Prozesse genau zu viel CPU-Leistung verbrauchen.

Diese typische Benutzerreaktion kalkulierten die Entwickler eines Mining-Trojaners mit ein. Um weiterhin unentdeckt zu bleiben, beenden sie den Miner, bevor User der hohen CPU-Belastung auf den Grund gehen werden. Im Ergebnis dessen führt das dazu, dass der Computer beim Ausführen bestimmter Spiele und beim Testen der CPU-Auslastung normal funktioniert und somit keinen Anlass für Nachforschungen bietet.

Versteckspiele des Miners

Nach der Installation wird eine Datei namens Iostream.exe in C:\ProgramData sowie eine geplante Aufgabe mit dem Namen “WindowsRecoveryCleaner” erstellt, um sie über die Befehlszeile zu starten:

schtasks /create /tn WindowsRecoveryCleaner /tr “C:\ProgramData\Iostream.exe” /st 00:00 /sc daily /du 9999:59 /ri 1 /f

Der obige Befehl bewirkt, dass die Aufgabe jede Nacht um 12 Uhr ausgeführt wird, wobei sich die Aufgabe jede Minute wiederholt. Dadurch kann der Miner nach dem Beenden schnell wieder neu gestartet werden. Nach dem Start wird Iostream.exe in die legitim ausführbare Datei C:\ Windows\system32\attrib.exe integriert. Attrib wird verwendet, um bestimmte Attribute einer Datei zu ändern und wird normalerweise nach Abschluss geschlossen. Durch das Integrieren des Miners in attr.exe wird das Programm jedoch nicht geschlossen, falls es nicht expliziet beendet wird. Während des Laufens fragt der Miner ständig eine Liste von Prozessen ab. Erst dann, wenn es Prozesse auf dieser Liste erkennt, wie für den Prozess-Explorer, den Task-Manager, den Prozess-Monitor, den Prozess-Hacker, den AnVir-Task-Manager, PlayerUnknowns Battlegrounds (PUBG), Counterstrike: Global Offensive, Rainbox Six oder Dota 2 ausgeführt werden, werden die attrib.exe und Iostream beendet und der Krypto-Miner innerhalb von kürzester Zeit deaktiviert. Erst nach dem Beenden von etwa PUBG startet die Malware über die mit dem Task Scheduler erstellte Aufgabe WindowsRecoveryCleaner innerhalb von einer Minute erneut, führen die Sicherheitsforscher aus.

Hier zu sehen: attrib.exe mit 93% CPU-Auslastung des Computers:

Dies eine ziemlich clevere Methode, um einen Miner quasi eine Tarnkappe zu verpassen, damit er unerkannt bleibt. Er wird ja nur zu Zeiten ausgeführt, wenn die erhöhte CPU-Auslastung möglicherweise nicht erkannt wird. Derzeit ist die Liste der integrierten Spiele und Tools eher klein, in Zukunft kommen aber ganz sicher noch weitere beliebte Spiele hinzu.

Bildquelle: markusspiske, thx! (CC0 Public Domain)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.