2024.01.15

Doctor Web 公司报告称，在 Telegram 和一些互联网平台的盗版软件中，发现了越来越多的用于隐蔽挖掘加密货币的特洛伊木马矿工软件。

2023 年 12 月，Doctor Web 病毒实验室的员工注意到，特洛伊木马矿工 Trojan.BtcMine.3767 和相关的 Trojan.BtcMine.2742 的检测数量越来越多，而事实证明这些木马矿工是通过用户使用的各种盗版软件传播到计算机上的。

Trojan.BtcMine.3767 是一种用 C++ 编写的针对 Windows 操作系统的木马程序。这是一个基于开源项目 SilentCryptoMiner 的矿工加载程序。感染该木马的软件主要来自 Telegram 频道 t[.]me/files_f（超过 5000 名用户）以及 itmen[.]software 和 soft[.]sibnet[.]ru 网站。请注意，对于后者，我们使用 NSIS 安装程序准备了单独的安装包。解压安装包后，发现了不法分子用来存储木马源文件的路径：

C:\bot_sibnet\Resources\softportal\exe\
C:\bot_sibnet\Resources\protect_build\miner\

根据 Doctor Web 病毒实验室的数据，一个半月的时间里，仅一次该特洛伊木马的传播活动就导致超过 40,000 台计算机感染。然而，考虑到 Telegram 频道上发布的帖子的浏览统计和网站流量，问题涉及的范围可能更为庞大。

启动后，引导加载程序将自身复制到一个名为 updater.exe 的 %ProgramFiles%\google\chrome\ 目录中，并创建一个调度程序任务以确保在操作系统启动时自动加载。为了伪装，该任务被命名为 GoogleUpdateTaskMachineQC。此外，引导加载程序还将其文件添加到 Windows Defender 杀毒软件的排除项列表中，并禁止计算机关闭和进入休眠模式。初始的保护设置被嵌入到特洛伊木马主体中，以后设置将从远程主机获取。初始化之后，木马软件 Trojan.BtcMine.2742 被注入explorer.exe进程中，负责进行隐藏的加密货币挖掘。

此外，引导加载程序还可以在受影响的计算机上安装无文件的 rootkit r77，禁止 Windows 操作系统更新，阻止访问网站，自动删除和恢复其源文件，暂停加密货币挖矿，以及当在受感染的计算机上运行进程监控程序时，会释放木马矿工占用的内存和显存。

Dr.Web 杀毒软件能够成功检测并清除木马 Trojan.BtcMine.3767 和 Trojan.BtcMine.2742，因此对于我们的用户来说，它们不构成任何威胁。