Odvirování PC, zrychlení počítače, vzdálená pomoc prostřednictvím služby neslape.cz

Trojan BitCoinMiner-A (mdi064.dll)

Máte problém s virem? Vložte sem log z FRST nebo RSIT.

Moderátor: Moderátoři

Pravidla fóra
Pokud chcete pomoc, vložte log z FRST [návod zde] nebo RSIT [návod zde]

Jednotlivé thready budou po vyřešení uzamčeny. Stejně tak ty, které budou nečinné déle než 14 dní. Vizte Pravidlo o zamykání témat. Děkujeme za pochopení.

!NOVINKA!
Nově lze využívat služby vzdálené pomoci, kdy se k vašemu počítači připojí odborník a bližší informace o problému si od vás získá telefonicky! Více na www.neslape.cz
Odpovědět
Zpráva
Autor
RayeR
Návštěvník
Návštěvník
Příspěvky: 2
Registrován: 29 zář 2009 17:07
Kontaktovat uživatele:

Trojan BitCoinMiner-A (mdi064.dll)

#1 Příspěvek od RayeR »

Zdravim, po dlouhe dobe se mi zas diky me neopatrnosti (unava, lenost) nachvliku zabydlel v PC jeden cmejlik, kteryho sem si vsiml pomerne zahy, kdyz mi zacal roztacet vetrak na CPU a vytezovat procesor. Legracni na nem bylo to, ze pro spusteni spravce uloh (WinXP) okamzite ukoncil vykonny vlakno a vse se vratilo do normalu, ale za cca 10min to rozjel znova. Pak sem ho odhalil jinym prohlizecem procesu, odstrelil a vykorenil. Zajimalo me, co vlastne dela a zistil, ze to je naky tezic bitcoinu. Stal sem se tak nachvilku nedobrovolne clenem distribuovanyho pool vypoctu :P Kdo vi, kolika lidem na svete to srotuje v PC a rikaji si, hm, ty widle se neska tahnou jako smard :)
Pri zkoumani jsem odhalil i jednu chybu, ktera by patrne zamezila dalsimu spusteni trojana po restartu: totiz ze spousteci modul se jmenoval mdi064.dll avsak zaznam v registru se odkazoval na
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"tsiVideo"="rundll32.exe ********\\LOCALS~1\\Temp\\\\mdi264.dll,asdasd"
cili imho ten svuj soubor uz nemohl nikdy najit a znovu se spustit.

Behem ohledavani jsem si v rychlosti sepsal par poznamek, treba to bude zdejsi koumaky zajimat, pripadne si s tim muze pohrat nekdo ve virtualu a nebo zkusit pohackovat ty jejich mining servery (provedl jsem aspon port sken nmapem)

======================================================

Trojan BitCoinMiner-A
*********************

dropper: TeraByte OS Deployment Tool Suite v.1.39 crack
h**p://www.keygenom.net/view/TeraByte-OS-Deplo ... -1.39.html

TeraByte_OS_Deployment_Tool_keygen_by_orion.zip - size: 3128456 B, MD5: C1E8598BAD9440AF7F946C3A38379B1C

obsah TeraByte_OS_Deployment_Tool_keygen_by_orion.zip:
20.08.2014 13:48 58 FILE_ID.DIZ
20.08.2014 09:53 3506 orion.nfo -> http://orion2000.dyndns.org
20.08.2014 09:17 3216652 TeraByte_OS_Deployment_Tool_keygen_by_orion.exe (RAR SFX) MD5: BF142C7D99C28660ACBF361FC6F174E6

obsah TeraByte_OS_Deployment_Tool_keygen_by_orion.exe:
12.12.2014 23:16 77824 key.exe (WIN32 PE), MD5: BBB0AFF23900D755E4B85FDF8A4B08E6
importy z kernel32.dll:
0x00011830 82 CloseHandle
0x0001183E 960 ReadFile
0x0001184A 496 GetFileSize
0x00011858 1126 SetFilePointer
0x0001186A 581 GetProcAddress
0x0001187C 533 GetModuleHandleA
0x00011890 828 LoadLibraryA
0x000118A0 1257 VirtualAlloc
0x000118B0 1260 VirtualFree
0x00011E28 617 GetStringTypeW
0x00011E12 871 MultiByteToWideChar
0x00011E02 813 LCMapStringW
0x00011DF4 722 HeapReAlloc
0x00011DE2 778 IsValidCodePage
0x00011DD6 567 GetOEMCP
0x00011DCC 360 GetACP
0x00011DC0 370 GetCPInfo
0x00011DAC 448 GetCurrentProcess
0x00011D98 1216 TerminateProcess
0x00011D84 768 IsDebuggerPresent
0x00011D68 1235 UnhandledExceptionFilter
0x00011D58 831 LoadLibraryW
0x00011D40 238 EnterCriticalSection
0x00011D28 825 LeaveCriticalSection
0x00011A36 715 HeapAlloc
0x00011A42 1048 RtlUnwind
0x00011A4E 945 RaiseException
0x00011A60 514 GetLastError
0x00011A70 719 HeapFree
0x00011A7C 390 GetCommandLineA
0x00011A8E 723 HeapSetInformation
0x00011AA4 611 GetStartupInfoW
0x00011AB6 234 EncodePointer
0x00011AC6 202 DecodePointer
0x00011AD6 536 GetModuleHandleW
0x00011AEA 281 ExitProcess
0x00011AF8 1317 WriteFile
0x00011B04 612 GetStdHandle
0x00011B14 532 GetModuleFileNameW
0x00011B2A 717 HeapCreate
0x00011B38 1221 TlsAlloc
0x00011B44 1223 TlsGetValue
0x00011B52 1224 TlsSetValue
0x00011B60 1222 TlsFree
0x00011B6A 751 InterlockedIncrement
0x00011B82 1139 SetLastError
0x00011B92 453 GetCurrentThreadId
0x00011BA8 747 InterlockedDecrement
0x00011BC0 772 IsProcessorFeaturePresent
0x00011BDC 1189 SetUnhandledExceptionFilter
0x00011BFA 531 GetModuleFileNameA
0x00011C10 353 FreeEnvironmentStringsW
0x00011C2A 1297 WideCharToMultiByte
0x00011C40 474 GetEnvironmentStringsW
0x00011C5A 1135 SetHandleCount
0x00011C6C 739 InitializeCriticalSectionAndSpinCount
0x00011C94 499 GetFileType
0x00011CA2 209 DeleteCriticalSection
0x00011CBA 935 QueryPerformanceCounter
0x00011CD4 659 GetTickCount
0x00011CE4 449 GetCurrentProcessId
0x00011CFA 633 GetSystemTimeAsFileTime
0x00011D14 1202 Sleep
0x00011D1C 724 HeapSize
importy z user32.dll
0x00011A18 476 IsWindowEnabled
0x00011A0A 266 GetCaretPos
0x000119FA 374 GetScrollPos
0x000119EC 295 GetDlgItem
0x000119DC 342 GetMenuState
0x000119D2 331 GetMenu
0x000119C6 8 AnyPopup
0x000119B4 256 GetActiveWindow
0x000119A4 296 GetDlgItemInt
0x00011998 300 GetFocus
0x0001198C 465 IsIconic
0x00011980 398 GetWindow
0x00011968 11 ArrangeIconicWindows
0x0001195A 378 GetSubMenu
0x00011944 64 CheckMenuRadioItem
0x00011930 291 GetDesktopWindow
0x0001191C 2 AdjustWindowRect
0x00011912 466 IsMenu
0x00011902 271 GetClassLongA
0x000118F2 294 GetDlgCtrlID
0x000118E4 379 GetSysColor
0x000118CC 417 GetWindowTextLengthA
12.12.2014 23:16 2983024 PXty.gif (binární zašifrovaný blob), MD5: E9297F3A3FF917F5B87AEB6DEC6F3CDA

Po spuštění dropperu zobrazí chybovou hlášku a ukončí se.
V %USERPROFILE%\Local Settings\Temp\ vytvoří soubor
mdi064.dll (WIN32 GUI PE), size: 2923520 B, MD5: ABCAC1E38FCDB672CD6FA35E5ECFDA6D
ten je spuštěn přes rundll a patrně obsahuje archiv "msupdate.7z", který se rozbalí
do adresáře "msupdate71" a taktéž vytvoří soubor "proxy.conf"

obsah %USERPROFILE%\Local Settings\Temp\msupdate71:
12.12.2014 20:13 913920 dwm.exe (WIN64 PE), "cpuminer 2.3.3 built on May 30 2014", MD5: 17BF57277DE67D458197E5FFA169D204
12.12.2014 20:13 1433600 indexer.exe (WIN32 PE), původní název: NsCpuCNMiner32.exe - program na těžení kryptoměn Claymore CryptoNote CPU Miner v3.3 Beta, MD5: 3AFEB8E9AF02A33FF71BF2F6751CAE3A odpovídá originálu
12.12.2014 20:13 523635 libcurl-4.dl1 (WIN64 PE), MD5: 7424FAE1CB2AE5C8C63CDF34006584C9
12.12.2014 20:13 949763 libiconv-2.dl1 (WIN64 PE), MD5: 07EDEEF3E6042265C4DE3FD97646F9B5
12.12.2014 20:13 211196 libidn-11.dl1 (WIN64 PE), MD5: CDCF4BF6939A71EEEDC5E06FBE6C7E25
12.12.2014 20:13 114753 libintl-8.dl1 (WIN64 PE, LGPLed libintl for Windows NT/2000/XP/Vista/7 and Windows 95/98/ME 0.18.3.0), MD5: AC0FFAB1AF0959006783344EE03C7305
12.12.2014 20:13 305490 libwinpthread-1.dl1 (WIN64 PE, POSIX WinThreads for Windows 1.0.0.0), MD5: 2C1CA56436AD413C41E30EFF10D65243
12.12.2014 20:13 519680 msvcrt.dll (WIN64 PE, Windows NT CRT DLL 7.0.3790.4400), MD5: 67EDC5F6B09705DBB8AFCBEC4D52A96A
17.12.2014 05:55 153 proxy.conf (plaintext, generovaný patrně mdi064.dll)
12.12.2014 20:13 116224 zlib1.dl1 (WIN64 PE, zlib data compression library 1.2.8.0), MD5: CB0577E362E193CAD14C3D23C40C30D4
Claymore CryptoNote CPU Miner: https://bitcointalk.org/index.php?topic=647251.0
cpuminer: http://sourceforge.net/projects/cpuminer/files/ , http://www.herdprotect.com/dwm.exe-413d ... b5fd1.aspx

obsah proxy.conf:
{ "pools" : [ { "url" : "stratum+tcp://stratum1.suchpool.pw:3335", "user" : "kayman.1", "pass" : "x", "intensity" : "14" } ] , "kernel" : "darkcoin" }

Do registrů přidá záznam pro zavedení mdi264.dll (avšak soubor se jmenuje mdi064.dll):
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"tsiVideo"="rundll32.exe ********\\LOCALS~1\\Temp\\\\mdi264.dll,asdasd"

projevy na napadeném PC:
po chvíli se spustí proces %USERPROFILE%\Local Settings\Temp\msupdate71\indexer.exe
a vytíží obě jádra CPU na 100% (všiml jsem si toho díky změně zvuku CPU ventilátoru).
Při stisku CTRL+ALT+DEL (spuštění správce úloh) se okamžitě ukončí.
Na alternativní prohlížeče procesů ale nereaguje (Starter).

V adresáři %USERPROFILE%\Local Settings\Temp\msupdate71 vytváří při každém spuštění log:
17.12.2014 04:01 1439 1418785282_log.txt
17.12.2014 04:25 10118 1418786161_log.txt
17.12.2014 04:39 10838 1418787106_log.txt
17.12.2014 05:20 22820 1418788634_log.txt
17.12.2014 05:27 3618 1418790353_log.txt
17.12.2014 05:49 3967 1418791634_log.txt
17.12.2014 05:57 2852 1418792134_log.txt

Každý log začíná hlavičkou:
04:01:22:015 8d0 +----------------------------------------------------------------+
04:01:22:015 8d0 | Claymore CryptoNote CPU Miner v3.3 Beta |
04:01:22:015 8d0 +----------------------------------------------------------------+
04:01:22:203 8d0 32-bit version
04:01:22:203 8d0 CPU does not support AES-NI - slower mining!
04:01:22:203 8d0 Logical CPU cores: 2
04:01:22:203 8d0 Number of threads: Autoselection...
04:01:22:203 8d0 Using 2 threads
04:01:22:234 8d0 scfg: 1
04:01:22:234 8d0 1 pool specified.

IP adresy serverů kam se připojoval:
198.27.70.156 - http://xmr-usa.dwarfpool.com:8080 - čistá stránka s hláškou "mining server online", na portu 80: "Welcome!"
198.27.64.122 - http://xmr-usa.dwarfpool.com:8080 - čistá stránka s hláškou "mining server online", na portu 80: "Welcome to nginx!"
74.120.223.51 - http://stratum1.suchpool.pw:3335 - čistá stránka s řádky {"id":null,"method":"mining.notify","params":["3208","e2a2...]}, na portu 80: "Ubuntu Apache2 Ubuntu Default Page"

Nmap scan report for ns500273.ip-198-27-70.net (198.27.70.156)
OVH Hosting, Canada, Quebec, Montreal
Host is up (0.13s latency).
Port State Service Reason Product Version Extra info
22 tcp open ssh syn-ack protocol 2.0
25 tcp open smtp syn-ack Postfix smtpd
80 tcp open http syn-ack nginx
135 tcp open msrpc syn-ack
139 tcp open netbios-ssn syn-ack
443 tcp open http syn-ack nginx
445 tcp filtered microsoft-ds no-response
873 tcp open rsync syn-ack protocol version 31
1025 tcp open NFS-or-IIS syn-ack
1331 tcp open intersan syn-ack
3333 tcp filtered dec-notes no-response
3339 tcp open syn-ack
3345 tcp open syn-ack
5432 tcp filtered postgresql no-response
8005 tcp open mxi syn-ack
8050 tcp open unknown syn-ack
8080 tcp open http-proxy syn-ack
8100 tcp open xprint-server syn-ack
8330 tcp filtered no-response
8332 tcp filtered no-response
8333 tcp filtered bitcoin no-response
8334 tcp filtered no-response
8335 tcp filtered no-response
8390 tcp open unknown syn-ack
8450 tcp open unknown syn-ack
8668 tcp open unknown syn-ack
9010 tcp open sdr syn-ack
9050 tcp open tor-socks syn-ack
9100 tcp open jetdirect syn-ack
9500 tcp open ismserver syn-ack
9999 tcp open abyss syn-ack
10000 tcp open snet-sensor-mgmt syn-ack
10050 tcp open tcpwrapped syn-ack
18080 tcp open unknown syn-ack

Nmap scan report for ns505317.ip-198-27-64.net (198.27.64.122)
OVH Hosting, Canada, Quebec, Montreal
Host is up (0.14s latency).
Port State Service Reason Product Version Extra info
22 tcp open ssh syn-ack protocol 2.0
80 tcp open http syn-ack nginx 1.4.6 Ubuntu
135 tcp filtered msrpc no-response
139 tcp filtered netbios-ssn no-response
445 tcp filtered microsoft-ds no-response
1025 tcp filtered NFS-or-IIS no-response
3333 tcp filtered dec-notes no-response
5432 tcp filtered postgresql no-response
8005 tcp open mxi syn-ack
8050 tcp open unknown syn-ack
8080 tcp open http-proxy syn-ack
8100 tcp open xprint-server syn-ack
8330 tcp filtered no-response
8332 tcp filtered no-response
8333 tcp filtered bitcoin no-response
8334 tcp filtered no-response
8335 tcp filtered no-response
9010 tcp open sdr syn-ack
9050 tcp open tor-socks syn-ack
9100 tcp open jetdirect syn-ack
9500 tcp open ismserver syn-ack
9999 tcp open abyss syn-ack
10000 tcp open snet-sensor-mgmt syn-ack
10050 tcp open tcpwrapped syn-ack
18080 tcp open unknown syn-ack

Nmap scan report for 74.120.223.51
Mumbies Media, LLC, North Las Vegas (USA)
Host is up (0.12s latency).
Port State Service Reason Product Version Extra info
111 tcp open rpcbind syn-ack 2-4 RPC #100000
1999 tcp open http-proxy syn-ack Haproxy http proxy
2229 tcp open ssh syn-ack protocol 2.0
3304 tcp open opsession-srvr syn-ack
3307 tcp open opsession-prxy syn-ack
3309 tcp open syn-ack
3312 tcp open unknown syn-ack
3317 tcp open unknown syn-ack
3319 tcp open sdt-lmd syn-ack
3321 tcp open unknown syn-ack
3325 tcp open active-net syn-ack
3326 tcp open unknown syn-ack
3328 tcp open unknown syn-ack
3331 tcp open syn-ack
3332 tcp open unknown syn-ack
3333 tcp open dec-notes syn-ack
3335 tcp open unknown syn-ack
3336 tcp open unknown syn-ack
3339 tcp open unknown syn-ack
3340 tcp open unknown syn-ack
3342 tcp open unknown syn-ack
3344 tcp open unknown syn-ack
3345 tcp open unknown syn-ack
3346 tcp open unknown syn-ack
3366 tcp open unknown syn-ack
3367 tcp open satvid-datalnk syn-ack
3368 tcp open satvid-datalnk syn-ack
3369 tcp open satvid-datalnk syn-ack
3373 tcp open unknown syn-ack
3383 tcp open unknown syn-ack
3384 tcp open unknown syn-ack
3385 tcp open unknown syn-ack
3389 tcp open ms-wbt-server syn-ack
3392 tcp open unknown syn-ack
3399 tcp open sapeps syn-ack
4949 tcp open tcpwrapped syn-ack
5666 tcp open tcpwrapped syn-ack
13304 tcp open unknown syn-ack
13312 tcp open unknown syn-ack
13319 tcp open unknown syn-ack
13321 tcp open unknown syn-ack
13332 tcp open unknown syn-ack
13340 tcp open unknown syn-ack
13392 tcp open unknown syn-ack
23304 tcp open unknown syn-ack
23321 tcp open unknown syn-ack
23332 tcp open unknown syn-ack
23340 tcp open unknown syn-ack
33321 tcp open unknown syn-ack
43321 tcp open unknown syn-ack
Naposledy upravil(a) RayeR dne 18 pro 2014 11:23, celkem upraveno 1 x.

altrok
Moderátor
Moderátor
Příspěvky: 7257
Registrován: 15 lis 2012 22:26
Bydliště: Znojmo

Re: Trojan BitCoinMiner-A (mdi064.dll)

#2 Příspěvek od altrok »

Dobry vecer/rano/whatever :bye:

:arrow: Necekane je zdrojem mineru crack... :D

:arrow: Nepostujte zive linky na zdroje haveti.

:arrow: Smazanim teto hodnoty registru se mu muze zabranit v aktivni cinnosti... nemusi to byt 100%...

:arrow: Dejte log z FRST viz navod nahore.
Pokud je cokoliv nejasného, ihned se ptej.
V případě spokojenosti prosím podpořte forum.
Pro dotazy, které se nehodí na forum, je možné využít altrokzavináčforum.viry.cz
Máš-li chuť pomáhat návštěvníkům tohoto fora, přihlas se do naší školičky.

RayeR
Návštěvník
Návštěvník
Příspěvky: 2
Registrován: 29 zář 2009 17:07
Kontaktovat uživatele:

Re: Trojan BitCoinMiner-A (mdi064.dll)

#3 Příspěvek od RayeR »

Tak ono to nebylo tak necekany, pocitam, ze se pri ruznych mych pokusech muze system podelat a tak (zalohuju), vcera sem pro jistotu cely OS obnovil ze zalohy. Tak sem to sem dal spis pro zajimavost. Jak tak koukam, tak ruzne obdoby tehle mineru asi nejsou nic vyjimecneho ze, vyuzivaji ruzne (bezne opensource) minovaci programy a k tomu akorat pribali vlastni launcher.

altrok
Moderátor
Moderátor
Příspěvky: 7257
Registrován: 15 lis 2012 22:26
Bydliště: Znojmo

Re: Trojan BitCoinMiner-A (mdi064.dll)

#4 Příspěvek od altrok »

:arrow: Posledni dobou uz se situace s minerama zklidnuje, ale driv to bylo hodne caste :D Zarucenym zdrojem jsou (nejen) instalacky z ulozta... Obcas vyjde nova hra a novy crack -> nova vlna mineru... malokdo si miner vedome nainstaluje :)
Pokud je cokoliv nejasného, ihned se ptej.
V případě spokojenosti prosím podpořte forum.
Pro dotazy, které se nehodí na forum, je možné využít altrokzavináčforum.viry.cz
Máš-li chuť pomáhat návštěvníkům tohoto fora, přihlas se do naší školičky.

Odpovědět