В Лаборатории Касперского обнаружили троянца, генерирующего биткойны на зараженных компьютерах

Вчера эксперты "Лаборатории Касперского" ("ЛК") обнаружили нового троянца, интересующегося "пиринговой" е-валютой Bitcoin. В отличие от известного ранее зловреда, бесхитростно ворующего сбережения беспечных пользователей из их незащищённых электронных кошельков, троянец, получивший название Trojan.NSIS.Miner.a, "честно" зарабатывает эти биткойны — используя при этом вычислительную мощь зомби-компьютеров.

bitcoin3d6phbОдна из особенностей биткойнов заключается в том, что любой пользователь может их генерировать, добровольно делая свой компьютер частью вычислительного пула (этот процесс называется биткойн-майнингом). От обычного компьютера в этом деле толку мало, но мощные графические платы, когда основная часть их ресурсов не занята своими прямыми обязанностями, уже могут принести своим владельцам вполне осязаемый доход.

Вполне естественно, что находятся граждане, которые не довольствуются мощью одной машины. Так, около месяца назад появился код JavaScript, позволяющий сайту, вместо откручивания рекламы, взимать с посетителей плату в виде генерации биткойнов. Администраторы локальных сетей тоже не сидят без дела: недавно в австралийской компании ABC обнаружили сотрудника IT-отдела, который установил на корпоративные серверы софт для биткойн-майнинга.

И вот теперь подтянулись ботмастера. Выловленный в российском сегменте Сети и написанный явно русскоязычным вирусописателем, Trojan.NSIS.Miner.a состоит из двух частей, одна из которых вполне легальна. Это программа BitCoin Miner, чьё назначение явно следует из её названия.

В коде троянской программы специалисты "ЛК" обнаружили адрес биткойн-пула deepbit.net и аккаунт злоумышленника в этом пуле, куда и стекались средства, заработанные владельцами заражённых машин. Правда, как быстро выяснилось, ботмастер так и не успел сколотить сколько-нибудь заметное состояние: в deepbit.net, очевидно, в автоматическом режиме, быстро определили, что на один аккаунт впахивает целая куча IP-адресов, и заморозили его по подозрению в организации ботнета.

На счёте злоумышленника зависло чуть более 0,9 BTC, что, мягко говоря, копейки. Правда, не исключено, что часть средств могла быть переведена в его кошелёк ранее в автоматическом же режиме.

Интересно, что в конце прошлого месяца в русскоязычной части официальных форумов Bitcoin объявился некто под ником john1254, интересовавшийся, какое количество BTC можно получить со 100 тысяч компьютеров в сутки при условии, что каждый компьютер в среднем находится в онлайне 18 часов. Интересовался этот товарищ и "подводными камнями", которые могут возникнуть при майнинге с таким количеством машин. Также john1254 предложил форумчанам деньги за консультацию по майнинг-клиентам, драйверам для графических плат Nvidia и ATI и даже созданию собственного пула. На прямой вопрос одного из модераторов форума о том, откуда "дровишки" в таком внушительном количестве, этот персонаж отвечать отказался.

К слову, в "ЛК" скрывают от общественности название учётной записи на deepbit.net автора троянца Trojan.NSIS.Miner.a. Но вирусный аналитик компании Александр Гостев, узнав о вышеупомянутом треде на форуме Bitcoin, обнаружил отдалённое сходство имени deepbit-аккаунта с ником john1254.