Was ist Coin Miner Malware? Trojan CoinMiner erklärt

Coin Miner ist eine Malware, die sich darauf konzentriert, Kryptow√§hrungen zu verdienen, indem sie sie auf der CPU oder GPU der Opfer sch√ľrft.

Sie könnten daran interessiert sein, einen Blick auf unsere anderen Antivirus-Tools zu werfen:
Trojan Killer, Trojan Scanner and Free Online Checker.

Was ist Coin Miner? | CoinMiner-Malware | Gridinsoft

CoinMiner-Malware

September 16, 2023

Kryptomining wurde zum Goldrausch des 21. Jahrhunderts. Jeder hat davon geh√∂rt, und viele Menschen beginnen, es als zus√§tzliche oder sogar Hauptquelle ihres Einkommens zu nutzen. Allerdings ziehen gro√üe Geldsummen nicht nur reiche Leute an, sondern auch Schurken, die es darauf abgesehen haben, sich dieses Geld anzueignen oder jemanden f√ľr ihre Bereicherung arbeiten zu lassen.

Coin Miner ist eine Art von Malware, die die Hardware-Elemente des Opfer-PCs verwendet, um Kryptow√§hrungen zu sch√ľrfen. Am h√§ufigsten steuern Kriminelle, die solche Coin Miner-Viren kontrollieren, Monero (XMR) oder (Litecoin) an, da sie am einfachsten zu sch√ľrfen sind. Sie k√∂nnen die Software verwenden, die √§hnlich oder sogar identisch mit der f√ľr legitimes Mining verwendeten ist, aber mit einem entscheidenden Unterschied - die Personen, deren Hardware verwendet wird, haben niemals zugestimmt.

Kryptomining-Malware zielt im Allgemeinen darauf ab, ihre Aktivit√§ten auf der CPU des Benutzers durchzuf√ľhren. Das geschieht, weil es ziemlich viele PCs gibt, insbesondere in B√ľros, die keine GPU haben. Obwohl GPU-Mining um Gr√∂√üenordnungen effizienter ist, ist es f√ľr Kriminelle wichtig, erfolgreich auf jeden PC zugreifen zu k√∂nnen, den sie infiltrieren. Sie setzen auf die Masse anstelle von Qualit√§t, was bei den ausgew√§hlten Kryptotoken ziemlich effektiv ist.

Wie funktioniert CoinMiner-Malware?

Wie bereits erw√§hnt, tun Kryptominer im Wesentlichen dasselbe wie echte Miner und verwenden manchmal denselben Code - aus Open-Source-Tools. Sie konzentrieren sich auf die Berechnung des Transaktionsblock-Hashes mithilfe der Hardware. Je nach Kryptotoken kann der Hash aus 64, 128, 256 oder mehr Zeichen bestehen. Diese Operation ist erforderlich, um die Transaktionsinformationen in eine Blockchain einzuf√ľgen - ein globales Hauptbuch, das f√ľr jede Kryptow√§hrung einzigartig ist.

Kryptomining-Schema

GPUs sind f√ľr diese Aufgabe weitaus effizienter als CPUs, da sie Tausende von Ausf√ľhrungskernen haben, im Gegensatz zu CPUs, die in der Regel 4 bis 8 Kerne haben. Deshalb haben Sie wahrscheinlich von der Preiserh√∂hung von Grafikkarten w√§hrend des letzten Kryptobooms geh√∂rt. Sie k√∂nnen immer noch mit einem Prozessor sch√ľrfen, aber die Aufgabe der Hash-Berechnung ist zeitkritisch. Wenn Sie es nicht rechtzeitig abschlie√üen, erh√§lt jemand anders eine Belohnung f√ľr eine schnellere Berechnung. Um dieses Problem von beiden Seiten zu mildern, greifen Kriminelle auf leicht zu sch√ľrfende Kryptos zur√ľck und infiltrieren Hunderte von Computern, um sie ihrem Netzwerk hinzuzuf√ľgen. Daher wird sogar die geringe Anzahl von alten und schwachen CPUs durch ihre Anzahl ausgeglichen.

Kryptomining-Malware unterwirft in der Regel den Befehlsserver, wobei sie nur wenige Dinge autonom entscheiden muss. Die urspr√ľngliche Einrichtung des Coin Miners erfolgt jedoch fast immer unabh√§ngig vom Server, da die Verbreitung einen massiven Umfang hat. Nach der Einrichtung verbindet sich die Malware mit dem Server, ruft die einheitlichen Anweisungen ab und beginnt mit der Ausf√ľhrung. Um diese Verbindung unauff√§lliger zu gestalten, mieten Kriminelle einen Server bei bekannten Hosting-Unternehmen - zum Gl√ľck f√ľr sie akzeptieren sie diese Tage Kryptow√§hrungszahlungen.

Trojan CoinMiner-Proben, gefunden in 2023:

Trojan.Win32.Miner.oa!s12bf58596ffc0eccff8b4a3a91c7cf36f32c480362c0f6690e6ceb3da94930273
Trojan.Win64.CoinMiner.ca392df2fd2feee03aca0d107bdab6ad0e61f048f7f8117676c8ee4a8be6213125
Risk.Win64.CoinMiner.sd!ic0318b7efa36fbe78457af324f5a2ec0f43b0dd36e6095eb5fa39ea1a7f4100c
Trojan.Win32.CoinMiner.cldcb603bffbb5896e0674cfc2ca0e64efe32eb53f5b99dbd3c2aa64ef55dc804fc
Trojan.Win32.CoinMiner.sa5d5f75afce6af4d0f4a09ad3a2d781fc1b91f1b7a440e9dc54da42507d723ed7
Trojan.Win32.CoinMiner.sa8b919845a9b13861d7095a64e5e2db3298021bccc7962fd7995b9de9e76b268f

Wie gelangt ein Coin Miner-Virus auf Ihren Computer?

Die meisten Coin Miner gelangen als Trojaner getarnt auf Ihren PC - sie geben sich als legitime Apps oder Tools aus. Die genaue Art und Weise, wie sie verbreitet werden, kann je nach Entscheidung eines Kriminellen, der die Verteilung steuert, unterschiedlich sein. Aber im Allgemeinen werden Sie den Coin Miner in gehackten Apps, Tools f√ľr nicht ganz legitime Aktivit√§ten und in E-Mail-Spam finden. In einigen F√§llen werden Sie aufgefordert, Ihr Antivirenprogramm auszuschalten - und das sollte bereits als bedrohlich angesehen werden. Wie bereits erw√§hnt, gibt es jedoch M√∂glichkeiten, dies auch ohne Manipulation der Sicherheitseinstellungen des Benutzers unauff√§lliger zu gestalten.

E-Mail-Spam ist eine der beliebten Methoden zur Verbreitung von Coin Miner-Malware
E-Mail-Spam ist eine der beliebten Methoden zur Verbreitung von Coin Miner-Malware

E-Mail-Spam als Methode zur Verbreitung von Coin Miner ist ziemlich neu und scheint heutzutage viel seltener vorzukommen. Anfang Sommer 2022 gab es einen gro√üen Ausbruch solcher Miner, die sich im Allgemeinen an spanischsprachige L√§nder richteten. Die Malware befand sich in gef√§lschten .docx, .xlsx, .pdf oder .txt-Dateien, die dem Brief angeh√§ngt waren. Anstelle des klassischen Schemas mit b√∂sartigen Makro-Skripten innerhalb eines Dokuments verwendeten Kriminelle ein anderes, √§lteres Schema - die doppelte Dateierweiterung. Windows hat standardm√§√üig die Anzeige von Dateierweiterungen deaktiviert, sodass die Opfer nur die "legitime" Dateierweiterung eines Dokuments sahen. In Wirklichkeit waren all diese Dateien ausf√ľhrbar - die .exe-Erweiterung versteckte sich hinter den Einstellungen der Benutzeroberfl√§che.

Ist CoinMiner-Malware gefährlich?

Im Allgemeinen bringt Coin Miner-Malware eine Menge Unannehmlichkeiten bei der PC-Nutzung mit sich. Das Kryptomining ist ein sehr ressourcenintensiver Prozess, sodass die Verwendung des Computers, der am Mining beteiligt ist, so gut wie unm√∂glich ist. Wenn Ihre CPU oder GPU bis an die Grenze belastet wird, sodass sie kaum noch f√ľr das Betriebssystem ausreicht (~75-80%), bedeutet das, Sie werden wahrscheinlich Schwierigkeiten haben, √ľberhaupt einen Webbrowser zu starten. Das Mining nutzt so viel Leistung wie m√∂glich aus, und da es von Hackern kontrolliert wird, haben Sie keine M√∂glichkeit, diese Belastung zu verwalten.

Dennoch ist das nicht die einzige Gefahr des Minings. Effiziente Hash-Berechnungen setzen eine st√§ndige Belastung Ihrer Hardware voraus, und Hacker verpassen nie die Gelegenheit, das System, das sie infiziert haben, so lange wie m√∂glich auszunutzen. F√ľr CPUs sind langfristige Belastungen nicht sehr kritisch - sie k√∂nnen nur dann versagen, wenn sie einen Siliziumkristallfehler oder einen defekten W√§rmeableiter haben. GPUs hingegen verschlei√üen stark w√§hrend des Minings - einige Modelle k√∂nnen in einem Monat √ľber 20% ihrer Leistung verlieren, abh√§ngig von der Software und wie die Belastung verwaltet wird. Dies geschieht normalerweise, wenn Temperatur und Hardware-Belastung unsachgem√§√ü verwaltet werden, aber wann haben Cyberkriminelle jemals auf den Zustand des Opfer-PCs geachtet?

Es besteht auch eine Gefahr, √ľber die normalerweise niemand spricht. Coin Miner kann Datenpakete sammeln, die typischerweise f√ľr Spyware und Stealer typisch sind. Informationen √ľber den Standort, die echte IP-Adresse eines Opfers, die PC-Konfiguration, pers√∂nliche Informationen - diese in einer Datenbank gespeicherten Informationen k√∂nnen im Darknet viel wert sein. Und Schurken, die b√∂sartige Miner verbreiten, werden nie die Chance auf einen finanziellen Bonus verwerfen. Das Einbetten der Spyware-Funktionalit√§t ist eine Frage von wenigen Minuten, und die Ergebnisse k√∂nnen f√ľr ein Opfer alarmierend schlecht sein.

Wie erkennt man CoinMiner-Malware?

Das wichtigste Zeichen f√ľr die Aktivit√§t eines Coin Miners ist die allgemeine Systemverlangsamung. Es ist offensichtlich, dass jedes System schwer zu arbeiten sein wird, wenn das Schl√ľssellement des Systems f√ľr eine andere Aufgabe abgelenkt ist. Coin Miner-Malware beansprucht alle verf√ľgbare Leistung, unabh√§ngig davon, ob es sich um einen 10 Jahre alten Celeron oder einen Threadripper handelt. Au√üerdem werden Sie definitiv h√∂ren, wie Ihr L√ľftungsschlitz mit maximaler RPM-Rate dreht. Solche Situationen k√∂nnen jedoch auch auftreten, wenn Sie Ihre t√§glichen Aufgaben erledigen, daher ist es wichtig, zus√§tzliche Recherchen durchzuf√ľhren.

Etwas belastet den Prozessor zu 100%
Etwas belastet den Prozessor zu 100%

Im Gegensatz zu der zuvor genannten Spyware verbirgt Coin Miner-Malware nie ihre Anwesenheit. Tats√§chlich ist das unm√∂glich, da es ein nicht entfernbare Anzeichen f√ľr ihre Anwesenheit gibt - die extrem hohe Hardware-Belastung. Da sie diese Belastung nicht loswerden k√∂nnen, versuchen sie, den b√∂sartigen Prozess (der definitiv im Task-Manager vorhanden sein wird) als etwas bekanntes und legitimes zu tarnen. Die h√§ufigste Form der Tarnung ist, den Namen eines bestimmten Systemprozesses zu √ľbernehmen. Die meisten Benutzer haben keine Ahnung von den internen Mechanismen in Windows und k√∂nnen daher nicht beurteilen, ob die im Hintergrund laufenden Prozesse angemessen sind. Das Sehen eines Prozesses wie "winlogon.exe" oder "msmpeng.exe", der √ľber 70% der Hardware-Leistung beansprucht, sagt ihnen nichts, und eine Google-Suche zeigt wahrscheinlich, dass diese Prozesse Teil von Windows sind. Es gibt jedoch keine Situationen, in denen diese Prozesse so viel CPU-Leistung ben√∂tigen k√∂nnen. Es gibt einige Ausnahmen, offensichtlich, aber sie sind sehr selten, und h√∂chstwahrscheinlich bedeutet eine solche Situation, dass Sie eine Coin Miner-Malware in Ihrem System haben.

Typische Anzeichen f√ľr das Ausf√ľhren eines Coin Miner-Virus in Ihrem System

  • Hohe CPU- oder GPU-Auslastung, die unabh√§ngig von Ihren Aktionen auf dem PC vorhanden ist;
  • Ein Systemprozess im Benutzerprozessbaum;
  • Unf√§higkeit, die Situation durch Neustarts zu beheben, d.h. die CPU-Auslastung tritt sofort auf, sobald der Computer gestartet wird;
  • Microsoft Defender ist deaktiviert;

Nichtsdestotrotz ist der beste Weg, sich sicher zu sein, ob Sie genau dieses Problem haben, die Verwendung von Antivirensoftware. Sie k√∂nnen nat√ľrlich raten, und die Chance, richtig zu liegen, kann ziemlich hoch sein, aber in dieser Situation auf eine Chance zu setzen, ist keine Option. Spezialisierte Software mit mehreren Erkennungssystemen wird Ihnen auf jeden Fall alle Details dar√ľber anzeigen, was vor sich geht, und den Eindringling entfernen, wenn einer vorhanden ist.

Wie sch√ľtzen Sie Ihren PC vor CoinMiner-Malware?

Coin Miner ist nicht so leicht vorherzusagen und zu entfernen, da ihre Verbreitungswellen selten mit anderen Malware-Aktivit√§ten √ľbereinstimmen. Diese Art von Malware orientiert sich eher an Kryptow√§hrungswerten - und die sind viel weniger vorhersehbar als andere sch√§dliche Software. Daher sollten Sie neue Tricks und Methoden bei der n√§chsten Welle des Kryptorausches erwarten.

Der beste Weg, die Risiken zu minimieren, besteht darin, m√∂gliche Quellen f√ľr Malware zu vermeiden. Sicherlich k√∂nnen Sie die Verwendung ihrer Hauptquelle - das Internet - nicht verbieten, aber Sie k√∂nnen definitiv vermeiden, gef√§hrliche Orte zu besuchen und Software zu vermeiden, die Ihrem System m√∂glicherweise Schaden zuf√ľgen kann. Warez-Seiten, die gecrackte Versionen beliebter Apps anbieten, Foren oder Discord-Communitys, die handgefertigte Tools teilen, E-Mail-Nachrichten von unbekannten Absendern - ihnen sollten Sie nicht vertrauen. Selbst wenn Sie sicher sind, dass diese Quelle keine sch√§dlichen Dinge verbreitet, ist es besser, sie vor der Installation zu √ľberpr√ľfen - Sie k√∂nnen nie sicher sein, dass das n√§chste Ding nicht b√∂sartig ist.

Die ultimative Methode, die immer noch als letztes Argument dienen sollte, ist eine effektive Antimalware-Software mit proaktiver Schutzfunktion. Mit weniger komplexen Anwendungen k√∂nnen Sie definitiv bereits laufende Coin Miner-Malware erkennen, aber proaktiver Schutz kann sie stoppen, bevor sie √ľberhaupt etwas tun kann. Und denken Sie daran, dass Coin Miner-Viren leicht als Spyware auftreten k√∂nnen - ihnen mehr Zeit zu geben, bedeutet, alle Ihre pers√∂nlichen Details zu ver√∂ffentlichen. GridinSoft Anti-Malware wird alles so machen, wie es sein sollte - schnell und ohne der Malware eine Chance zu geben.