CoinMiner-Malware
September 16, 2023
Coin Miner ist eine Art von Malware, die die Hardware-Elemente des Opfer-PCs verwendet, um Kryptowährungen zu schürfen. Am häufigsten steuern Kriminelle, die solche Coin Miner-Viren kontrollieren, Monero (XMR) oder (Litecoin) an, da sie am einfachsten zu schürfen sind. Sie können die Software verwenden, die ähnlich oder sogar identisch mit der für legitimes Mining verwendeten ist, aber mit einem entscheidenden Unterschied - die Personen, deren Hardware verwendet wird, haben niemals zugestimmt.
Kryptomining-Malware zielt im Allgemeinen darauf ab, ihre Aktivitäten auf der CPU des Benutzers durchzuführen. Das geschieht, weil es ziemlich viele PCs gibt, insbesondere in Büros, die keine GPU haben. Obwohl GPU-Mining um Größenordnungen effizienter ist, ist es für Kriminelle wichtig, erfolgreich auf jeden PC zugreifen zu können, den sie infiltrieren. Sie setzen auf die Masse anstelle von Qualität, was bei den ausgewählten Kryptotoken ziemlich effektiv ist.
Wie funktioniert CoinMiner-Malware?
Wie bereits erwähnt, tun Kryptominer im Wesentlichen dasselbe wie echte Miner und verwenden manchmal denselben Code - aus Open-Source-Tools. Sie konzentrieren sich auf die Berechnung des Transaktionsblock-Hashes mithilfe der Hardware. Je nach Kryptotoken kann der Hash aus 64, 128, 256 oder mehr Zeichen bestehen. Diese Operation ist erforderlich, um die Transaktionsinformationen in eine Blockchain einzufügen - ein globales Hauptbuch, das für jede Kryptowährung einzigartig ist.
GPUs sind für diese Aufgabe weitaus effizienter als CPUs, da sie Tausende von Ausführungskernen haben, im Gegensatz zu CPUs, die in der Regel 4 bis 8 Kerne haben. Deshalb haben Sie wahrscheinlich von der Preiserhöhung von Grafikkarten während des letzten Kryptobooms gehört. Sie können immer noch mit einem Prozessor schürfen, aber die Aufgabe der Hash-Berechnung ist zeitkritisch. Wenn Sie es nicht rechtzeitig abschließen, erhält jemand anders eine Belohnung für eine schnellere Berechnung. Um dieses Problem von beiden Seiten zu mildern, greifen Kriminelle auf leicht zu schürfende Kryptos zurück und infiltrieren Hunderte von Computern, um sie ihrem Netzwerk hinzuzufügen. Daher wird sogar die geringe Anzahl von alten und schwachen CPUs durch ihre Anzahl ausgeglichen.
Kryptomining-Malware unterwirft in der Regel den Befehlsserver, wobei sie nur wenige Dinge autonom entscheiden muss. Die ursprüngliche Einrichtung des Coin Miners erfolgt jedoch fast immer unabhängig vom Server, da die Verbreitung einen massiven Umfang hat. Nach der Einrichtung verbindet sich die Malware mit dem Server, ruft die einheitlichen Anweisungen ab und beginnt mit der Ausführung. Um diese Verbindung unauffälliger zu gestalten, mieten Kriminelle einen Server bei bekannten Hosting-Unternehmen - zum Glück für sie akzeptieren sie diese Tage Kryptowährungszahlungen.
Trojan CoinMiner-Proben, gefunden in 2024:
| Trojan.Win32.CoinMiner.vb | d96763a30957d23c7f728c53a24168d21e28147ebcd3e2b26033d7cfdced78c5 |
| Trojan.Win32.CoinMiner.dd!n | 2ad91b3e4f12530fafb6e50ed501942fac463ccf20cec374e0803f97f1920ebf |
| Trojan.Win32.CoinMiner.vl!n | 1e2f4d1ed17ef7d9f3ba2cfa16c1a8bab961d9eae78f611de822e8f41a057159 |
| Trojan.Win32.CoinMiner.ns | 0dd4434fe34de41c317a14592a1b6a3dcc4eb7450125cfa6f843caddfb2337fa |
| Trojan.Win32.CoinMiner.dd!n | 6a2b6c164972f13da372407d7190b147d9cc3211d3768d5d69fd9f6fe1447d2b |
| Trojan.Win32.CoinMiner.vb | 8bee95131ae47d9a5e3c8cccceaaad7e5567eac66ae7c0d875c9a57d3fc7acef |
| Trojan.Win64.CoinMiner.cl | 925431d9ad6dde0970110c701b45d78ba2ef5806cd56eb8b2014efc5bb73ee5b |
| Trojan.Win64.CoinMiner.sa | 93b53cd8b67d4d6c429170e1efb530262d46f78e7e3d826b1f8a6ef22f521460 |
| Risk.Win32.CoinMiner.dd!n | 0135aafc6a99a21d8bd2e890f91addf37a2702f0caa8863708a90825c44c9fc6 |
| Trojan.Win64.CoinMiner.sa | 96d486fe07d834c95414fc017b2e4a7348f32ba67cd250ad4dd545601bccce6e |
Wie gelangt ein Coin Miner-Virus auf Ihren Computer?
Die meisten Coin Miner gelangen als Trojaner getarnt auf Ihren PC - sie geben sich als legitime Apps oder Tools aus. Die genaue Art und Weise, wie sie verbreitet werden, kann je nach Entscheidung eines Kriminellen, der die Verteilung steuert, unterschiedlich sein. Aber im Allgemeinen werden Sie den Coin Miner in gehackten Apps, Tools für nicht ganz legitime Aktivitäten und in E-Mail-Spam finden. In einigen Fällen werden Sie aufgefordert, Ihr Antivirenprogramm auszuschalten - und das sollte bereits als bedrohlich angesehen werden. Wie bereits erwähnt, gibt es jedoch Möglichkeiten, dies auch ohne Manipulation der Sicherheitseinstellungen des Benutzers unauffälliger zu gestalten.
E-Mail-Spam als Methode zur Verbreitung von Coin Miner ist ziemlich neu und scheint heutzutage viel seltener vorzukommen. Anfang Sommer 2022 gab es einen großen Ausbruch solcher Miner, die sich im Allgemeinen an spanischsprachige Länder richteten. Die Malware befand sich in gefälschten .docx, .xlsx, .pdf oder .txt-Dateien, die dem Brief angehängt waren. Anstelle des klassischen Schemas mit bösartigen Makro-Skripten innerhalb eines Dokuments verwendeten Kriminelle ein anderes, älteres Schema - die doppelte Dateierweiterung. Windows hat standardmäßig die Anzeige von Dateierweiterungen deaktiviert, sodass die Opfer nur die "legitime" Dateierweiterung eines Dokuments sahen. In Wirklichkeit waren all diese Dateien ausführbar - die .exe-Erweiterung versteckte sich hinter den Einstellungen der Benutzeroberfläche.
Ist CoinMiner-Malware gefährlich?
Im Allgemeinen bringt Coin Miner-Malware eine Menge Unannehmlichkeiten bei der PC-Nutzung mit sich. Das Kryptomining ist ein sehr ressourcenintensiver Prozess, sodass die Verwendung des Computers, der am Mining beteiligt ist, so gut wie unmöglich ist. Wenn Ihre CPU oder GPU bis an die Grenze belastet wird, sodass sie kaum noch für das Betriebssystem ausreicht (~75-80%), bedeutet das, Sie werden wahrscheinlich Schwierigkeiten haben, überhaupt einen Webbrowser zu starten. Das Mining nutzt so viel Leistung wie möglich aus, und da es von Hackern kontrolliert wird, haben Sie keine Möglichkeit, diese Belastung zu verwalten.
Dennoch ist das nicht die einzige Gefahr des Minings. Effiziente Hash-Berechnungen setzen eine ständige Belastung Ihrer Hardware voraus, und Hacker verpassen nie die Gelegenheit, das System, das sie infiziert haben, so lange wie möglich auszunutzen. Für CPUs sind langfristige Belastungen nicht sehr kritisch - sie können nur dann versagen, wenn sie einen Siliziumkristallfehler oder einen defekten Wärmeableiter haben. GPUs hingegen verschleißen stark während des Minings - einige Modelle können in einem Monat über 20% ihrer Leistung verlieren, abhängig von der Software und wie die Belastung verwaltet wird. Dies geschieht normalerweise, wenn Temperatur und Hardware-Belastung unsachgemäß verwaltet werden, aber wann haben Cyberkriminelle jemals auf den Zustand des Opfer-PCs geachtet?
Es besteht auch eine Gefahr, über die normalerweise niemand spricht. Coin Miner kann Datenpakete sammeln, die typischerweise für Spyware und Stealer typisch sind. Informationen über den Standort, die echte IP-Adresse eines Opfers, die PC-Konfiguration, persönliche Informationen - diese in einer Datenbank gespeicherten Informationen können im Darknet viel wert sein. Und Schurken, die bösartige Miner verbreiten, werden nie die Chance auf einen finanziellen Bonus verwerfen. Das Einbetten der Spyware-Funktionalität ist eine Frage von wenigen Minuten, und die Ergebnisse können für ein Opfer alarmierend schlecht sein.
Wie erkennt man CoinMiner-Malware?
Das wichtigste Zeichen für die Aktivität eines Coin Miners ist die allgemeine Systemverlangsamung. Es ist offensichtlich, dass jedes System schwer zu arbeiten sein wird, wenn das Schlüssellement des Systems für eine andere Aufgabe abgelenkt ist. Coin Miner-Malware beansprucht alle verfügbare Leistung, unabhängig davon, ob es sich um einen 10 Jahre alten Celeron oder einen Threadripper handelt. Außerdem werden Sie definitiv hören, wie Ihr Lüftungsschlitz mit maximaler RPM-Rate dreht. Solche Situationen können jedoch auch auftreten, wenn Sie Ihre täglichen Aufgaben erledigen, daher ist es wichtig, zusätzliche Recherchen durchzuführen.
Im Gegensatz zu der zuvor genannten Spyware verbirgt Coin Miner-Malware nie ihre Anwesenheit. Tatsächlich ist das unmöglich, da es ein nicht entfernbare Anzeichen für ihre Anwesenheit gibt - die extrem hohe Hardware-Belastung. Da sie diese Belastung nicht loswerden können, versuchen sie, den bösartigen Prozess (der definitiv im Task-Manager vorhanden sein wird) als etwas bekanntes und legitimes zu tarnen. Die häufigste Form der Tarnung ist, den Namen eines bestimmten Systemprozesses zu übernehmen. Die meisten Benutzer haben keine Ahnung von den internen Mechanismen in Windows und können daher nicht beurteilen, ob die im Hintergrund laufenden Prozesse angemessen sind. Das Sehen eines Prozesses wie "winlogon.exe" oder "msmpeng.exe", der über 70% der Hardware-Leistung beansprucht, sagt ihnen nichts, und eine Google-Suche zeigt wahrscheinlich, dass diese Prozesse Teil von Windows sind. Es gibt jedoch keine Situationen, in denen diese Prozesse so viel CPU-Leistung benötigen können. Es gibt einige Ausnahmen, offensichtlich, aber sie sind sehr selten, und höchstwahrscheinlich bedeutet eine solche Situation, dass Sie eine Coin Miner-Malware in Ihrem System haben.
Typische Anzeichen für das Ausführen eines Coin Miner-Virus in Ihrem System
- Hohe CPU- oder GPU-Auslastung, die unabhängig von Ihren Aktionen auf dem PC vorhanden ist;
- Ein Systemprozess im Benutzerprozessbaum;
- Unfähigkeit, die Situation durch Neustarts zu beheben, d.h. die CPU-Auslastung tritt sofort auf, sobald der Computer gestartet wird;
- Microsoft Defender ist deaktiviert;
Nichtsdestotrotz ist der beste Weg, sich sicher zu sein, ob Sie genau dieses Problem haben, die Verwendung von Antivirensoftware. Sie können natürlich raten, und die Chance, richtig zu liegen, kann ziemlich hoch sein, aber in dieser Situation auf eine Chance zu setzen, ist keine Option. Spezialisierte Software mit mehreren Erkennungssystemen wird Ihnen auf jeden Fall alle Details darüber anzeigen, was vor sich geht, und den Eindringling entfernen, wenn einer vorhanden ist.
Wie schützen Sie Ihren PC vor CoinMiner-Malware?
Coin Miner ist nicht so leicht vorherzusagen und zu entfernen, da ihre Verbreitungswellen selten mit anderen Malware-Aktivitäten übereinstimmen. Diese Art von Malware orientiert sich eher an Kryptowährungswerten - und die sind viel weniger vorhersehbar als andere schädliche Software. Daher sollten Sie neue Tricks und Methoden bei der nächsten Welle des Kryptorausches erwarten.
Der beste Weg, die Risiken zu minimieren, besteht darin, mögliche Quellen für Malware zu vermeiden. Sicherlich können Sie die Verwendung ihrer Hauptquelle - das Internet - nicht verbieten, aber Sie können definitiv vermeiden, gefährliche Orte zu besuchen und Software zu vermeiden, die Ihrem System möglicherweise Schaden zufügen kann. Warez-Seiten, die gecrackte Versionen beliebter Apps anbieten, Foren oder Discord-Communitys, die handgefertigte Tools teilen, E-Mail-Nachrichten von unbekannten Absendern - ihnen sollten Sie nicht vertrauen. Selbst wenn Sie sicher sind, dass diese Quelle keine schädlichen Dinge verbreitet, ist es besser, sie vor der Installation zu überprüfen - Sie können nie sicher sein, dass das nächste Ding nicht bösartig ist.
Die ultimative Methode, die immer noch als letztes Argument dienen sollte, ist eine effektive Antimalware-Software mit proaktiver Schutzfunktion. Mit weniger komplexen Anwendungen können Sie definitiv bereits laufende Coin Miner-Malware erkennen, aber proaktiver Schutz kann sie stoppen, bevor sie überhaupt etwas tun kann. Und denken Sie daran, dass Coin Miner-Viren leicht als Spyware auftreten können - ihnen mehr Zeit zu geben, bedeutet, alle Ihre persönlichen Details zu veröffentlichen. GridinSoft Anti-Malware wird alles so machen, wie es sein sollte - schnell und ohne der Malware eine Chance zu geben.