Shadowsocks Miner Trojan

O Shadowsocks Miner Trojan é um nome de detecção dado a um programa que é usado para a mineração de crypto-moedas digitais como o Monero, o Dashcoin, o DarkNetCoin e outros. O Shadowsocks Miner Trojan é um minerador que depende do CPU e é muito semelhante ao Moloko CPU Miner e ao Gplyra Miner, que abordamos anteriormente em 2017. O Shadowsocks Miner Trojan é uma ameaça que foi descoberta em 10 de outubro de 2017. Os pesquisadores de segurança informática alertam que o Shadowsocks CPU Miner pode ser implantado nos sistemas via pacotes de software e da invasão manual dos computadores visados. O Shadowsocks Miner Trojan seqüestra um pouco mais de 70% dos recursos do sistema comprometido para as suas necessidades. Os usuários de PC podem notar pistas que apontam para uma infecção pelo Shadowsocks Miner Trojan, que incluem:

• O redimensionamento da janela pode ser lento.
• Os jogos podem não funcionar corretamente.
• Os vídeos podem ratear e abrir mais devagar.
• O lançamento do programa Yje pode ser adiado.

Você pode estar interessado em saber que o Shadowsocks Miner Trojan parece estar usando uma cópia modificada do serviço intermediário de fonte aberta do Shadowsocks para as suas comunicações de rede. Por isso, o criador do Shadowsocks Miner Trojan pode esconder a fonte de comandos para o Trojan. Pesquisadores informaram que o Shadowsocks Miner Trojan pode ser listado como 'Websock.exe' no Gerenciador de Tarefas e possui a descrição 'Utilitário da CPU'. Logo que o 'Websock.exe' for carregado, os usuários podem notar um segundo processo denominado 'Service.exe', que tem a descrição 'taskxmr'. Ambos os processos estão conectados ao Shadowsocks Miner Trojan e servem como um módulo de comunicação e como o mecanismo que administra as operações de mineração digital.

O aumento no preço do Bitcoin e de outras moedas digitais, bem como o apoio crescente para pagamentos digitais registrados de fevereiro de 2017 a setembro de 2017, podem explicar por que estamos vendo muitos Trojans mineradores na paisagem de ameaças. Não é surpreendente que os criadores de ameaças possam procurar se aproveitar da "Febre do Ouro" dos dias modernos e usar emails de spam, explorações de dia zero e falsas atualizações de software para espalhar programas como o Shadowsocks Miner Trojan. Recomenda-se que os usuários de PC empreguem os serviços de uma solução anti-malware respeitável que pode evitar que os Trojans mineradores seqüestrem os recursos do sistema em benefício dos hackers do Black Hat.

Índice

Toggle

Relatório de análise

Informação geral

Family Name:	Trojan.Zegost.F
Signature status:	No Signature

Known Samples

i

Known Samples

This section lists other file samples believed to be associated with this family.

MD5: f925e64ea86b4dbf9940e5ad4264c163 SHA1: 090f9a26d04da3727c067af15511b6afe5ef24d7 SHA256: FE27FC9C18EA97AD932ED79BF4F662AC935C2FBCCAB1F685273DD7C60E9F3AF5 Tamanho do Arquivo: 2.45 MB, 2453670 bytes

MD5: 82c05c81b7a5dec2a32e14b364856fb0 SHA1: 128e66307776ff494f59ab6c0800d45d804aa36a SHA256: 08DA684E9DA2E772C11BE2A7853D21B100D5ADA01DA380D20EFB172692D47F21 Tamanho do Arquivo: 225.20 KB, 225197 bytes

MD5: e6df7038c5be94c2d36118a1089cfd2b SHA1: fe1b8e99d60738aaee3b69a91001acea238215de SHA256: 9E0E15E06DF4CA6BFC957A874922EFF4AE08E1C671A7B00FB345C7CF7E427428 Tamanho do Arquivo: 1.26 MB, 1261606 bytes

Windows Portable Executable Attributes

i

Windows Portable Executable Attributes

This section lists file attributes found within family samples. These attributes are extracted from the files’ Windows PE (Portable Executable) specification and various system flags. Portable Executable Attributes give malware researchers insight into a file’s functionality, executable details, platform and runtime environment.

• File doesn't have "Rich" header
• File doesn't have debug information
• File doesn't have exports table
• File doesn't have relocations information
• File doesn't have security information
• File is 32-bit executable
• File is either console or GUI application
• File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
• File is Native application (NOT .NET application)
• File is not packed

Show More

• IMAGE_FILE_DLL is not set inside PE header (Executable)
• IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)

File Icons

i

File Icons

This section displays icon resources found within family samples. Malware often replicates icons commonly associated with legitimate software to mislead users into believing the malware is safe.

File Traits

• big overlay
• No Version Info
• x86

Block Information

i

Block Information

During analysis, EnigmaSoft breaks file samples into logical blocks for classification and comparison with other samples. Blocks can be used to generate malware detection rules and to group file samples into families based on shared source code, functionality and other distinguishing attributes and characteristics. This section lists a summary of this block data, as well as its classification by EnigmaSoft. A visual representation of the block data is also displayed, where available.

Total Blocks:	15
Potentially Malicious Blocks:	0
Whitelisted Blocks:	13
Unknown Blocks:	2

Visual Map

0 0 0 0 ? 0 ? 0 0 0 0 0 0 0 0

0 - Probable Safe Block
? - Unknown Block
x - Potentially Malicious Block