Большинство пользователей знаю что существуют такие интересные вирусы как Майнеры. Они не портят информацию на компьютере пользователя, не показывают рекламные сообщения. Современные версии таких вирусов почти никак себя не проявляют и не поддаются стандартным методам обнаружения, такими как просмотр за загрузкой центрального процессора во время простоя системы. Новые Майнеры понимают когда можно использовать компьютер пользователя в своих плохих целях, чтобы пользователь этого не заметил.
И действительно, такой интересный Майнер может не проявлять себя в те моменты пока пользователь выполняет любые действия за компьютером, и работать только когда пользователя нет за ПК. С сожалению просто так отловить этот вирус не получиться. Мы не будем рассматривать все способы борьбы с Майнерами, а лишь подскажем утилиты, которые смогут помочь даже в таком сложном и хитром случае, когда вирус-Майнер не проявляет свою явную активность.
Простые методы борьбы доступны в огромном количестве в интернете, в нашей статье мы рассмотрим еще один интересный способ, о котором мало кто задумывается.
Это метод анализа трафика. В этом методе нам поможет одна интересная утилита от компании NirSoft - SmartSniff.
Для тех кто пользуется Total Commander Power User, ее можно найти здесь:
(Если утилиты отображаются серым цветом, то необходимо нажать "Скачать/обновить все утилиты от NirSoft в сборке TC")
Если вы не пользуетесь Total Commander, то скачать эту утилиту можно здесь: SmartSniff скачать
Запускаем утилиту, затем переходим в настройки ("Параметры" - "Настройки захвата"):
Здесь выбираем ваш сетевой адаптер, особенно если у вас их несколько. И это точно не должен быть Loopback Interface.
Теперь закрываем все программы, запущенные на вашем ПК, даже которые висят в трее, чтобы уменьшить количество лишних данных.
После этого в нашей программе нажимаем на зеленый значок и ждем минуту-две. Останавливаем запись, и теперь начинаем просматривать пакеты.
Просматриваем все пакеты на предмет подозрительный, как например в примере выше. Особенно внимательно проверяем удаленные узлы вставляя их в браузер и переходя по ссылкам.
В нашем примере как видно в самом пакете присутствует слово mining так и если перейти по адресу, указанному в графе "Удаленный узел" откроется сайт amazonaws, который представляет собой майнинг сервер. Вот таким интересным способом можно отловить майнер который себя никак не проявляет.
Теперь необходимо найти сам подозрительный файл. Проверяем все непонятные папки во временных файлах в папках: Program Files, Program Files (x86), ProgramData. AppData. Некоторые из этих папок скрытые, как получить к ним доступ можно найти в интернете.
В нашем случае обнаружился подозрительный файл в папке "ProgramData/Tool" это файлы data.dat и tclprocess.exe. Этой папки там быть не должно:
Этот файл постоянно создавал непонятные процессы в диспетчере задач, местоположение которых отследить не удавалось.
Вот таким интересным способом выявления майнеры мы хотели с вами поделиться. И будет очень хорошо если кому то это еще поможет избавиться от такого зловредного майнера.
