JS/CoinMiner

Sekce věnovaná virům a jiným škodlivým kódům, rovněž ale nástrojům, kterým se lze proti nim bránit…

Moderátoři: Mods_senior, Security team

Uživatelský avatar
jaro3
člen Security týmu
Guru Level 15
Guru Level 15
Příspěvky: 43054
Registrován: červen 07
Bydliště: Jižní Čechy
Pohlaví: Muž
Stav:
Offline

JS/CoinMiner

Příspěvekod jaro3 » 16 led 2018 16:37

Čeští uživatelé těží kryptoměny, aniž by o tom tušili
Potenciálně nechtěné aplikace, tzv. PUA, jsou programy či kódy, které nepředstavují přímé ohrožení osobního počítače uživatele, přesto je doporučeno se jim vyhnout. Právě do této kategorie spadá JS/CoinMiner, škodlivý kód, který používají zločinci pro těžbu kryptoměn s využítím výpočetního výkonu uživatele. Za uplynulý měsíc představovala tato aplikace nejčastější internetovou hrozbou, kterou v České republice zachytila společnost ESET.

„Nástup škodlivého kódu JS/CoinMiner byl velmi rychlý a zejména v samém závěru posledního měsíce loňského roku jeho aktivity výrazně zesílily,“ říká Miroslav Dvořák, technický ředitel společnosti ESET. Za celý prosinec 2017 představoval JS/CoinMiner třetinu všech detekcí kybernetických hrozeb. Hrozba „těžebního“ trojanu ale nepolevila ani po Novém roce, ba právě naopak. „První lednové dny dosahoval podíl JS/CoinMiner na detekcích téměř 50 procent,“ konstatuje Miroslav Dvořák.

JS/CoinMiner přitom existuje ve dvou variantách. Tou častější je javový skript, který běží na pozadí internetových stránek a využívá výpočetního výkonu uživatele k těžení kryptoměn. Ta druhá, méně častá, se chová jako trojan a zneužívá exploitu EternalBlue SMB vyvinutého americkou Národní bezpečnostní agenturou NSA. Do zařízení proniká prostřednictvím neaktualizovaného operačního systému. Jakmile jej infikuje, stáhne do něj škodlivý skript pro Windows Management Instrumentation (WMI), který standardně používají správci počítačových systémů ke vzdálené správě velkého počtu počítačů. „JS/CoinMiner ale zneužívá tento systém pro vytvoření trvalých zadních vrátek a zabezpečení automatického spouštění vždy, když dojde ke spuštění operačního systému,“ vysvětluje Dvořák.

Doporučené nástroje ochrany jsou kromě spolehlivého bezpečnostního softwaru i pravidelné aktualizace operačního systému Windows. Špionážní software EternalBlue totiž zneužíval zranitelnosti SMBv1, kterou Microsoft opravil krátce po zveřejnění této hrozby. Využívaly jí i další trojany, které loni v létě pomáhaly šířit nechvalně proslulý ransomware WannaCry. „Určitě není ani od věci zakázat problémový protokol SMBv1, pokud ho nepoužíváte,“ radí Miroslav Dvořák.

Druhou nejčetnější internetovou hrozbou v Česku byl během prosince loňského roku trojan JS/Redirector, který automaticky přesměrovává internetový prohlížeč napadeného zařízení na škodlivé stránky, odkud uživatel může stáhnout do svého počítače další druhy malwaru. Oproti listopadu, kdy představoval nejčastěji detekovaný malware, však jeho podíl na detekcích nepatrně vzrostl z 3,91 na 4,83 procenta. Třetím nejčastěji zachyceným škodlivým kódem byl downloader JS/TrojanDownloader.Nemucod s podílem 2,8 procenta.

Deset nejčastějších internetových hrozeb v České republice za listopad 2017:
JS/CoinMiner (32,78%)
JS/Redirector (4,83%)
JS/TrojanDownloader.Nemucod (2,80%)
HTML/ScrInject (2,75%)
SMB/Exploit.DoublePulsar (2,75%)
Java/Adwind (1,72%)
PowerShell/Adware.Adposhel (1,56%)
JS/Chromex.Submelius (1,50%)
JS/Adware.AztecMedia (1,41%)
JS/Adware.Revizer (1,37%)

zdroj:
https://www.eset.com/cz/o-nas/pro-novin ... om-tusili/
Při práci s programy HJT, ComboFix,MbAM, SDFix aj. zavřete všechny ostatní aplikace a prohlížeče!
Neposílejte logy do soukromých zpráv.Po dobu mé nepřítomnosti mě zastupuje memphisto , Žbeky a Orcus.
Pokud budete spokojeni , můžete podpořit naše forum:Podpora fóra

Reklama
Uživatelský avatar
dom324
Level 6
Level 6
Příspěvky: 3161
Registrován: prosinec 16
Pohlaví: Muž
Stav:
Offline

Re: JS/CoinMiner

Příspěvekod dom324 » 16 led 2018 17:48

+1
Za poslední 4 týdny mi Eset nahlásil (a zastavil) aktivitu tohohle Java skriptu nespočetněkrát.

Uživatelský avatar
jaro3
člen Security týmu
Guru Level 15
Guru Level 15
Příspěvky: 43054
Registrován: červen 07
Bydliště: Jižní Čechy
Pohlaví: Muž
Stav:
Offline

Re: JS/CoinMiner

Příspěvekod jaro3 » 16 led 2018 17:59

Velmi nedávno jsem tady řešil tento vir , protože ho Avast neuměl odstranit.
Mohl bys dát možná i HJT ke kontrole , dotyčný tam toho měl více.
Při práci s programy HJT, ComboFix,MbAM, SDFix aj. zavřete všechny ostatní aplikace a prohlížeče!
Neposílejte logy do soukromých zpráv.Po dobu mé nepřítomnosti mě zastupuje memphisto , Žbeky a Orcus.
Pokud budete spokojeni , můžete podpořit naše forum:Podpora fóra

Uživatelský avatar
dom324
Level 6
Level 6
Příspěvky: 3161
Registrován: prosinec 16
Pohlaví: Muž
Stav:
Offline

Re: JS/CoinMiner

Příspěvekod dom324 » 16 led 2018 18:06

Eset ho detekoval jen na 2 specifických stránkách + dlouho jsem logoval vytížení a nic se nekonalo.
Navíc se jedná jen o cca měsíc a půl starou instalačku oken, takže pochybuju, že by tam něco bylo.

flowem
Level 5.5
Level 5.5
Příspěvky: 2826
Registrován: březen 13
Pohlaví: Muž
Stav:
Offline

Re: JS/CoinMiner

Příspěvekod flowem » 16 led 2018 18:08

Taky jsem se s tím setkal za poslední dobu mnohokrát. V Opeře na to používám doplněk Mining Blocker, od té doby nic netěžím.
AMD Ryzen 5 5600X | MSI MAG B550 TOMAHAWK | G.Skill Aegis 32GB 3200MHz | Kingston A2000 1TB | PowerColor Red Devil RX 6700 XT 12GB | XPG Core Reactor 750W | Be quiet! PURE BASE 500 | Asus VG27AQ1A


Zpět na “Viry, antiviry, firewally…”

Kdo je online

Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 5 hostů