Вирусы-майнеры: изучаем, вычисляем, защищаемся

Как понять, что ваш компьютер скрытно майнит на дядю?

Только ленивый не пишет в наше время о вирусах. При этом как бы забывая о том, что именно этот тип зловредного ПО был популярен очень давно, а сейчас в чистом виде почти не встречается. Ведь для обывателя слово «вирус» более знакомо, чем «червь», «троян», «локер» и прочее разнообразие вредоносных программ, появившихся сравнительно недавно. Но даже о них народ уже более-менее осведомлён, а вот о том, что бум криптовалюты породил совсем новый класс зловредных программ – так называемых «биткоин-майнеров», знают пока лишь немногие.

После изобретения первой в мире криптовалюты, BitCoin, несколько лет к ней относились как к забавному курьёзу, вряд ли достойному практического применения. Но уже через пару лет растущая реальная стоимость этой виртуальной валюты побудила многих людей искать конкретные пути к её получению. Которых, собственно, существует лишь два: прикупить монет за свои кровные, либо, как стали говорить позже, «намайнить», то есть «добыть» в том смысле, который вкладывают в это слово геологи или золотоискатели. А так как BitCoin – порождение компьютера, то и «добыча» производится также на компьютере, путём большого количества однообразных вычислений.

Уменьшить количество вычислений никак нельзя – таковы особенности математического алгоритма, заложенного в основу криптовалюты. А значит, нужно с утра до вечера «гонять» много мощных процессоров, очень много...И чем больше, тем лучше! Но закупка своих вычислительных комплексов требует финансовых вложений. Держать их постоянно «на ходу» – это расходы на электричество, а также на обслуживание, запчасти, ремонт... А что, если воспользоваться чужими вычислительными мощностями? Взять их, как говорится, «во временное пользование»...

Когда на рынке возникает спрос, вскоре появляется и предложение. Аренда «ферм для майнинга», то есть крупных вычислительных центров, часто со специальным оборудованием, оптимизированным для данной специфической задачи, уже «поставлена на поток». Однако и плата за аренду тоже требует реальных денег, а отдача появляется не скоро. В итоге отдельным личностям, не обременённым моральными устоями, в голову пришла «гениальная» идея – «позаимствовать» процессорное время у тех неосторожных пользователей, которые не сильно озабочены безопасностью своего "электронного друга".

Отчасти это напоминает всплеск популярности особого рода «заставок», или «хранителей экрана», случившийся несколько лет назад: в то время суток, когда компьютером никто не пользуется, а значит, и нагрузки на процессор почти нет, они не только показывали на экране красочную анимацию, но и производили другие полезные вычисления, например, способствующие поиску лекарства от рака, или сигналов внеземных цивилизаций, или ещё чего-либо подобного - там, где задача требует огромного количества математических операций, и в то же время хорошо распараллеливается, чтобы можно было раздать её «по кусочкам» множеству добровольцев. С одним существенным отличием: там люди делали это по своей воле, и при желании могли прекратить своё участие в проекте в любой момент.

До боли знакомая картина: компьютер неожиданно начинает «тормозить». Что сделает большинство пользователей? Если они не играют в это время в какую-нибудь игру или не смотрят фильм, то вероятнее всего, что ничего. Мало ли что там случилось, авось "само рассосётся". Ведь вроде не сильно мешает. Самое большее - выберут перезагрузку, после которой занятость процессора на время вернётся в норму. Самые дотошные погуглят что-нибудь вроде «update.exe грузит 100% cpu» – подобных статей в интернете навалом, да и не факт, что это, действительно, не банальный сбой в ОС, которые, к сожалению, не редкость.

Но не исключено, что всё значительно хуже. Внедрившийся в систему, вредоносный код коварно... А что такого, он, собственно, делает? Ворует пароли? Рассылает спам? Шифрует ваши файлы в ожидании выкупа? Ничего подобного! Он всего лишь временно пользуется вашим компьютером. И то не полностью, а лишь частично, не препятствуя в то же время пользоваться им и владельцу. По сути, лишь находя полезное применение тому, что и так пропадает почём зря.

Заметить его сразу удаётся не всегда. Ведь он не блокирует загрузку, не показывает рекламу, не выдаёт грозных сообщений. Разве что ваш компьютер не работает «как часы», как было всегда... и вы настолько внимательны, чтобы заметить малейшее изменение в его поведении, такое, например, как повышенный шум процессорного вентилятора, а возможно, только кулера видеокарты. Среди запущенных процессов может не быть ничего подозрительного: разве что, лишний «taskmgr.exe» или «svchost.exe». А как много людей могут ответить на вопрос, сколько процессов «svchost.exe» должно быть запущено в системе?

Частенько «молчит» и антивирус. И дело не всегда кроется в несвоевременном обновлении сигнатурных баз. Исходный командный файл, внедривший в систему вычислительный модуль, мог выполнить задачу и самоудалиться, сделав своё дело, а для «майнинга» может использоваться вполне легальное ПО для вычисления криптовалюты, как, например, MinerGate. И кто же скажет о несчастном антивирусе, что не вы ли сами добровольно установили его? Настороже приходится быть не только «виндузятникам», но и владельцам систем на Mac OS, для которых давно создана своя версия «майнера».

Более того, для выполнения вычислений не обязательно вообще запускать приложение или сервис. Можно написать его, допустим, на языке JavaScript и встроить в код веб-страницы. Только пользователь зашёл на определённый сайт, как его браузер начал зарабатывать денежки владельцу сайта! По сути – некая разновидность рекламы, но без раздражающих мигающих баннеров. А «тормозящий» браузер вообще не вызовет подозрения, поскольку таким его поведение нередко бывает и на вполне «невинных» веб-страницах, код которых просто неаккуратно написан. И это не какое-то уникальное изобретение: статьи про теоретическую возможность подобной реализации появились уже очень давно.

К счастью, подобных программ-«нахлебников» существует немного. Самая первая из них, носящая незатейливое название «BitCoin Miner», появилась в далёком 2012-м – через год после всплеска интереса к первой криптовалюте, и долгое время оставалась единственной. Позже «подтянулись» Badminer и EpicScale, причём последний был встроен в дистрибутив популярного торрент-клиента uTorrent (µTorrent). Тогда же появился и DevilRobber, написанный для платформы Mac OS X, причём, он использовал ресурсы не процессора, а видеокарты, а значит, заметить его было сложнее. Интересно, что DevilRobber не только не ограничивался «майнингом», а не брезговал и прямым воровством: если к моменту заражения у вас уже был «кошелёк» с некоторым количеством криптовалюты, его содержимое переходило в карман мошенников.

С недавнего времени круг интересов мошеников несколько расширился: в список «добычи» вошли и другие валюты, такие как Ethereum, а также Monero и ZСash. Именно на получение Monero был рассчитан браузерный модуль на сайте The Pirate Bay, размещённый там владельцами сайта. Позднее они решили убрать его из-за негативной реакции посетителей. Троян BtcMine, производящий ZCash, распространился как минимум на 4000 компьютеров и за полгода «заработал» своим создателям более 200 тысяч долларов – довольно внушительную сумму. Другой популярный модуль, маскирующийся под процессы утилиты Realtek HD – звукового драйвера, установленного почти на всех системных платах с интегрированной звуковой картой, впервые «попал в массы» через пиратские раздачи игр хакерской группы R.G. GameWorks. Позднее участники группы извинились перед своими поклонниками и пообещали, что подобная выходка больше не повторится.

Можно ли утверждать, что в группу риска жертв «майнеров» попадают лишь лица, проявляющие интерес к нелицензионной продукции? К сожалению, нет. Одним из способов распространения вируса, использующего MinerGate, была уязвимость в протоколе Server Message Block v.1, получившая имя EternalBlue. Сформировав и передав на удалённый узел, подверженный уязвимости, особым образом подготовленный пакет, злоумышленник мог запустить на ней произвольный код. Таким образом, всё, что было нужно для заражения – это наличие соединения с локальной сетью, в которой уже есть заражённые компьютеры. Хотя, конечно, в первый раз проникновение происходило «классическим» способом, то есть посредством запуска вредоносного файла, присланного по электронной почте или запущенного с переносного носителя.

Возможно, у некоторой части читателей возник вопрос: а стоит ли проблема затраченного времени? Допустим, что у вас нет «кошельков» с криптовалютой, а незначительные «подтормаживания» сети вас не очень беспокоят. Значит, пусть себе «майнер» работает? Не стоит игнорировать его. Ведь в этом случае компьютер работает в буквальном смысле «на износ», что для него не очень хорошо: радиаторы чаще забиваются пылью, перегрев выводит из строя электролитические конденсаторы на плате и другие электронные компоненты, а жёсткий диск быстрее вырабатывает свой ресурс. Повышенный расход электроэнергии – небольшая «дыра» в бюджете, но и она ни к чему: вряд ли хакеры поделятся с вами хоть крупицей дохода. А раз так, значит, это просто несправедливо! С какой стати они будут набивать свой карман, пользуясь вашим личным оборудованием? Ведь этот доход мог бы стать вашим! И последний аргумент – уменьшение безопасности, поскольку установщики «майнеров» проделывают в защите вашей системы множество «дыр», воспользоваться которыми могут другие вирусы, более опасные и разрушительные.

Каким же образом можно обнаружить непрошеного «гостя»? Первая мысль, приходящая в голову – использовать антивирус, но в данном случае он плохой помощник. Максимум, на что он способен, это найти и удалить исходный архив с пакетным файлом, установившим «майнер» в систему, тогда как сам «майнер» продолжит работу. Гораздо лучше в такой ситуации справляются специализированные утилиты, предназначенные для борьбы со шпионскими программами: SpyHunter, CCleaner (ранее - Crap Cleaner), Dr.Web CureIT, Malwarebytes (ранее - Malwarebytes Anti-Malware, сокр. MBAM) и им подобные.

А самый эффективный метод, как ни банально, проявление бдительности и изучение матчасти. Заметив подозрительное возрастание активности центрального процессора или видеокарты, всегда неплохо бы выяснить, чем это вызвано, и устранить причину. Как минимум, вы будете вознаграждены более стабильной и быстрой работой всех приложений. А периодическая ревизия запущенных процессов и списков автозагрузки поможет в обнаружении и других зловредных модулей, например, кейлоггеров. Что же касается возможного использования уязвимостей системных библиотек, то тут может помочь только своевременное обновление системы, либо ручное отключение всех неиспользуемых сервисов. Не забывайте про них. И да хранит вас Великий Админ!