Gridinsoft Logo

Was ist Coin Miner Malware? Trojan CoinMiner erklärt

Coin Miner ist eine Malware, die sich darauf konzentriert, Kryptowährungen zu verdienen, indem sie sie auf der CPU oder GPU der Opfer schürft.

Sie könnten daran interessiert sein, einen Blick auf unsere anderen Antivirus-Tools zu werfen:
Trojan Killer, and Online Virus Scanner.

Was ist Coin Miner? | CoinMiner-Malware | Gridinsoft

CoinMiner-Malware

September 16, 2023

Kryptomining wurde zum Goldrausch des 21. Jahrhunderts. Jeder hat davon gehört, und viele Menschen beginnen, es als zusätzliche oder sogar Hauptquelle ihres Einkommens zu nutzen. Allerdings ziehen große Geldsummen nicht nur reiche Leute an, sondern auch Schurken, die es darauf abgesehen haben, sich dieses Geld anzueignen oder jemanden für ihre Bereicherung arbeiten zu lassen.

Coin Miner ist eine Art von Malware, die die Hardware-Elemente des Opfer-PCs verwendet, um Kryptowährungen zu schürfen. Am häufigsten steuern Kriminelle, die solche Coin Miner-Viren kontrollieren, Monero (XMR) oder (Litecoin) an, da sie am einfachsten zu schürfen sind. Sie können die Software verwenden, die ähnlich oder sogar identisch mit der für legitimes Mining verwendeten ist, aber mit einem entscheidenden Unterschied - die Personen, deren Hardware verwendet wird, haben niemals zugestimmt.

Kryptomining-Malware zielt im Allgemeinen darauf ab, ihre Aktivitäten auf der CPU des Benutzers durchzuführen. Das geschieht, weil es ziemlich viele PCs gibt, insbesondere in Büros, die keine GPU haben. Obwohl GPU-Mining um Größenordnungen effizienter ist, ist es für Kriminelle wichtig, erfolgreich auf jeden PC zugreifen zu können, den sie infiltrieren. Sie setzen auf die Masse anstelle von Qualität, was bei den ausgewählten Kryptotoken ziemlich effektiv ist.

Wie funktioniert CoinMiner-Malware?

Wie bereits erwähnt, tun Kryptominer im Wesentlichen dasselbe wie echte Miner und verwenden manchmal denselben Code - aus Open-Source-Tools. Sie konzentrieren sich auf die Berechnung des Transaktionsblock-Hashes mithilfe der Hardware. Je nach Kryptotoken kann der Hash aus 64, 128, 256 oder mehr Zeichen bestehen. Diese Operation ist erforderlich, um die Transaktionsinformationen in eine Blockchain einzufügen - ein globales Hauptbuch, das für jede Kryptowährung einzigartig ist.

Kryptomining-Schema

GPUs sind für diese Aufgabe weitaus effizienter als CPUs, da sie Tausende von Ausführungskernen haben, im Gegensatz zu CPUs, die in der Regel 4 bis 8 Kerne haben. Deshalb haben Sie wahrscheinlich von der Preiserhöhung von Grafikkarten während des letzten Kryptobooms gehört. Sie können immer noch mit einem Prozessor schürfen, aber die Aufgabe der Hash-Berechnung ist zeitkritisch. Wenn Sie es nicht rechtzeitig abschließen, erhält jemand anders eine Belohnung für eine schnellere Berechnung. Um dieses Problem von beiden Seiten zu mildern, greifen Kriminelle auf leicht zu schürfende Kryptos zurück und infiltrieren Hunderte von Computern, um sie ihrem Netzwerk hinzuzufügen. Daher wird sogar die geringe Anzahl von alten und schwachen CPUs durch ihre Anzahl ausgeglichen.

Kryptomining-Malware unterwirft in der Regel den Befehlsserver, wobei sie nur wenige Dinge autonom entscheiden muss. Die ursprüngliche Einrichtung des Coin Miners erfolgt jedoch fast immer unabhängig vom Server, da die Verbreitung einen massiven Umfang hat. Nach der Einrichtung verbindet sich die Malware mit dem Server, ruft die einheitlichen Anweisungen ab und beginnt mit der Ausführung. Um diese Verbindung unauffälliger zu gestalten, mieten Kriminelle einen Server bei bekannten Hosting-Unternehmen - zum Glück für sie akzeptieren sie diese Tage Kryptowährungszahlungen.

Trojan CoinMiner-Proben, gefunden in 2024:

Trojan.Win32.CoinMiner.nsde2d17dcc2b8c55cc0c100c93b19d5b8e73896f67bcc7b144244bfbb809af513
Trojan.Win64.CoinMiner.oa!s1af36bb1797146886b03ff5c1baaa112e5a096fe44fdaeb8c3697c69312cd5611
Trojan.Win64.CoinMiner.dd!s1e138a195780a9d12308a70be78d4f796aa0718f5c3017a31f6785382bf56c9f4
Trojan.Win64.CoinMiner.ca41de08416967de58073203a4a231c2b6d93511a1880d1ec5786a3cb0c1b63f42
Trojan.Win32.CoinMiner.clddfc306f2b44e1bc8a7e7a8a69ae2e8d369b20d80bd69b8193c204d1ef5b622e8
Risk.Win64.CoinMiner.sd!nibb2a99f47c0b61fdb158b13ea673cdc2661a665c1a201ed7d0a9dca89db2d110
Trojan.Win64.CoinMiner.ca00748d7ea4ccfb6fc6ff59e3fe24c46b862ab3dd9c562ff6b13b5dfb31326bc6
Trojan.Win32.CoinMiner.nsbc2c60349051bed87ef9a8cea28984a498f1b0f3b868868315b67c0dfd9ecf81
Trojan.Win64.CoinMiner.caa67109836839f25002d6a6e56666d6f94f7aafbd9a57c344b03b7ce55c69a32e
Trojan.Win32.CoinMiner.ns0dd4434fe34de41c317a14592a1b6a3dcc4eb7450125cfa6f843caddfb2337fa

Wie gelangt ein Coin Miner-Virus auf Ihren Computer?

Die meisten Coin Miner gelangen als Trojaner getarnt auf Ihren PC - sie geben sich als legitime Apps oder Tools aus. Die genaue Art und Weise, wie sie verbreitet werden, kann je nach Entscheidung eines Kriminellen, der die Verteilung steuert, unterschiedlich sein. Aber im Allgemeinen werden Sie den Coin Miner in gehackten Apps, Tools für nicht ganz legitime Aktivitäten und in E-Mail-Spam finden. In einigen Fällen werden Sie aufgefordert, Ihr Antivirenprogramm auszuschalten - und das sollte bereits als bedrohlich angesehen werden. Wie bereits erwähnt, gibt es jedoch Möglichkeiten, dies auch ohne Manipulation der Sicherheitseinstellungen des Benutzers unauffälliger zu gestalten.

E-Mail-Spam ist eine der beliebten Methoden zur Verbreitung von Coin Miner-Malware
E-Mail-Spam ist eine der beliebten Methoden zur Verbreitung von Coin Miner-Malware

E-Mail-Spam als Methode zur Verbreitung von Coin Miner ist ziemlich neu und scheint heutzutage viel seltener vorzukommen. Anfang Sommer 2022 gab es einen großen Ausbruch solcher Miner, die sich im Allgemeinen an spanischsprachige Länder richteten. Die Malware befand sich in gefälschten .docx, .xlsx, .pdf oder .txt-Dateien, die dem Brief angehängt waren. Anstelle des klassischen Schemas mit bösartigen Makro-Skripten innerhalb eines Dokuments verwendeten Kriminelle ein anderes, älteres Schema - die doppelte Dateierweiterung. Windows hat standardmäßig die Anzeige von Dateierweiterungen deaktiviert, sodass die Opfer nur die "legitime" Dateierweiterung eines Dokuments sahen. In Wirklichkeit waren all diese Dateien ausführbar - die .exe-Erweiterung versteckte sich hinter den Einstellungen der Benutzeroberfläche.

Ist CoinMiner-Malware gefährlich?

Im Allgemeinen bringt Coin Miner-Malware eine Menge Unannehmlichkeiten bei der PC-Nutzung mit sich. Das Kryptomining ist ein sehr ressourcenintensiver Prozess, sodass die Verwendung des Computers, der am Mining beteiligt ist, so gut wie unmöglich ist. Wenn Ihre CPU oder GPU bis an die Grenze belastet wird, sodass sie kaum noch für das Betriebssystem ausreicht (~75-80%), bedeutet das, Sie werden wahrscheinlich Schwierigkeiten haben, überhaupt einen Webbrowser zu starten. Das Mining nutzt so viel Leistung wie möglich aus, und da es von Hackern kontrolliert wird, haben Sie keine Möglichkeit, diese Belastung zu verwalten.

Dennoch ist das nicht die einzige Gefahr des Minings. Effiziente Hash-Berechnungen setzen eine ständige Belastung Ihrer Hardware voraus, und Hacker verpassen nie die Gelegenheit, das System, das sie infiziert haben, so lange wie möglich auszunutzen. Für CPUs sind langfristige Belastungen nicht sehr kritisch - sie können nur dann versagen, wenn sie einen Siliziumkristallfehler oder einen defekten Wärmeableiter haben. GPUs hingegen verschleißen stark während des Minings - einige Modelle können in einem Monat über 20% ihrer Leistung verlieren, abhängig von der Software und wie die Belastung verwaltet wird. Dies geschieht normalerweise, wenn Temperatur und Hardware-Belastung unsachgemäß verwaltet werden, aber wann haben Cyberkriminelle jemals auf den Zustand des Opfer-PCs geachtet?

Es besteht auch eine Gefahr, über die normalerweise niemand spricht. Coin Miner kann Datenpakete sammeln, die typischerweise für Spyware und Stealer typisch sind. Informationen über den Standort, die echte IP-Adresse eines Opfers, die PC-Konfiguration, persönliche Informationen - diese in einer Datenbank gespeicherten Informationen können im Darknet viel wert sein. Und Schurken, die bösartige Miner verbreiten, werden nie die Chance auf einen finanziellen Bonus verwerfen. Das Einbetten der Spyware-Funktionalität ist eine Frage von wenigen Minuten, und die Ergebnisse können für ein Opfer alarmierend schlecht sein.

Wie erkennt man CoinMiner-Malware?

Das wichtigste Zeichen für die Aktivität eines Coin Miners ist die allgemeine Systemverlangsamung. Es ist offensichtlich, dass jedes System schwer zu arbeiten sein wird, wenn das Schlüssellement des Systems für eine andere Aufgabe abgelenkt ist. Coin Miner-Malware beansprucht alle verfügbare Leistung, unabhängig davon, ob es sich um einen 10 Jahre alten Celeron oder einen Threadripper handelt. Außerdem werden Sie definitiv hören, wie Ihr Lüftungsschlitz mit maximaler RPM-Rate dreht. Solche Situationen können jedoch auch auftreten, wenn Sie Ihre täglichen Aufgaben erledigen, daher ist es wichtig, zusätzliche Recherchen durchzuführen.

Etwas belastet den Prozessor zu 100%
Etwas belastet den Prozessor zu 100%

Im Gegensatz zu der zuvor genannten Spyware verbirgt Coin Miner-Malware nie ihre Anwesenheit. Tatsächlich ist das unmöglich, da es ein nicht entfernbare Anzeichen für ihre Anwesenheit gibt - die extrem hohe Hardware-Belastung. Da sie diese Belastung nicht loswerden können, versuchen sie, den bösartigen Prozess (der definitiv im Task-Manager vorhanden sein wird) als etwas bekanntes und legitimes zu tarnen. Die häufigste Form der Tarnung ist, den Namen eines bestimmten Systemprozesses zu übernehmen. Die meisten Benutzer haben keine Ahnung von den internen Mechanismen in Windows und können daher nicht beurteilen, ob die im Hintergrund laufenden Prozesse angemessen sind. Das Sehen eines Prozesses wie "winlogon.exe" oder "msmpeng.exe", der über 70% der Hardware-Leistung beansprucht, sagt ihnen nichts, und eine Google-Suche zeigt wahrscheinlich, dass diese Prozesse Teil von Windows sind. Es gibt jedoch keine Situationen, in denen diese Prozesse so viel CPU-Leistung benötigen können. Es gibt einige Ausnahmen, offensichtlich, aber sie sind sehr selten, und höchstwahrscheinlich bedeutet eine solche Situation, dass Sie eine Coin Miner-Malware in Ihrem System haben.

Typische Anzeichen für das Ausführen eines Coin Miner-Virus in Ihrem System

  • Hohe CPU- oder GPU-Auslastung, die unabhängig von Ihren Aktionen auf dem PC vorhanden ist;
  • Ein Systemprozess im Benutzerprozessbaum;
  • Unfähigkeit, die Situation durch Neustarts zu beheben, d.h. die CPU-Auslastung tritt sofort auf, sobald der Computer gestartet wird;
  • Microsoft Defender ist deaktiviert;

Nichtsdestotrotz ist der beste Weg, sich sicher zu sein, ob Sie genau dieses Problem haben, die Verwendung von Antivirensoftware. Sie können natürlich raten, und die Chance, richtig zu liegen, kann ziemlich hoch sein, aber in dieser Situation auf eine Chance zu setzen, ist keine Option. Spezialisierte Software mit mehreren Erkennungssystemen wird Ihnen auf jeden Fall alle Details darüber anzeigen, was vor sich geht, und den Eindringling entfernen, wenn einer vorhanden ist.

Wie schützen Sie Ihren PC vor CoinMiner-Malware?

Coin Miner ist nicht so leicht vorherzusagen und zu entfernen, da ihre Verbreitungswellen selten mit anderen Malware-Aktivitäten übereinstimmen. Diese Art von Malware orientiert sich eher an Kryptowährungswerten - und die sind viel weniger vorhersehbar als andere schädliche Software. Daher sollten Sie neue Tricks und Methoden bei der nächsten Welle des Kryptorausches erwarten.

Der beste Weg, die Risiken zu minimieren, besteht darin, mögliche Quellen für Malware zu vermeiden. Sicherlich können Sie die Verwendung ihrer Hauptquelle - das Internet - nicht verbieten, aber Sie können definitiv vermeiden, gefährliche Orte zu besuchen und Software zu vermeiden, die Ihrem System möglicherweise Schaden zufügen kann. Warez-Seiten, die gecrackte Versionen beliebter Apps anbieten, Foren oder Discord-Communitys, die handgefertigte Tools teilen, E-Mail-Nachrichten von unbekannten Absendern - ihnen sollten Sie nicht vertrauen. Selbst wenn Sie sicher sind, dass diese Quelle keine schädlichen Dinge verbreitet, ist es besser, sie vor der Installation zu überprüfen - Sie können nie sicher sein, dass das nächste Ding nicht bösartig ist.

Die ultimative Methode, die immer noch als letztes Argument dienen sollte, ist eine effektive Antimalware-Software mit proaktiver Schutzfunktion. Mit weniger komplexen Anwendungen können Sie definitiv bereits laufende Coin Miner-Malware erkennen, aber proaktiver Schutz kann sie stoppen, bevor sie überhaupt etwas tun kann. Und denken Sie daran, dass Coin Miner-Viren leicht als Spyware auftreten können - ihnen mehr Zeit zu geben, bedeutet, alle Ihre persönlichen Details zu veröffentlichen. GridinSoft Anti-Malware wird alles so machen, wie es sein sollte - schnell und ohne der Malware eine Chance zu geben.