Noticias:

¿Quieres formar parte de Bomber Code? Entonces entra a este tema: Postulaciones al Staff

Menú principal

Analizando Pyromine: El malware de cryptomining (mineria)

Publicado por Rock Lee, 26 Abril de 2018, 20:45

Tema anterior - Siguiente tema

0 Usuarios y 1 Visitante están viendo este tema.

Rock Lee


Pyromine: El malware cryptomining (mineria) que tambien deshabilita tu antivirus

PyroMine ejecuta un VBScript que habilita el RDP (Remote Desktop Connection que traducido al español es Protocolo de Escritoro Remoto) para agregar una regla al firewall que permita el trafico RDP por el puerto 3389. Lo hace desde hxxp://212.83.190.122/server/agent.vbs (Visiten la página bajo su propio riesgo, www.bombercode.net no se hace responsable de lo que suceda).

también, este malware deshabilita Windows Update y permite la transferencia de informacion no encriptada. Y al deshabilitar tu antivirus le permite descargar el payload mediante RDP, que medante WinSvcMan.exe inyectará svchost.exe y creara el servicio "SMbAgentService".

Para iniciarse en cada reinicio del sistema, crea un autorun "help.bat" y programa una tarea para lanzar el bat. Ya activo, el malware consumirá el poder de tu GPU/CPU para la minería potencial de Monero.

Potenciales herramientas que podrían haber prevenido un ataque similar:
  • Antivirus con protección web/inyección del navegador
  • Firewall bidireccional
  • OSArmor (impediría que un malware ejecute wscript.exe, entre otras cosas)
  • Anti-ejecutable como VoodooShield

Saludos Familia!

Nota: Si deseas el archivo para su testing personal o análisis comentarlo y recuerden virtualizar el entorno además utilizar VPN. Esta publicacion fue gracias a @Gonzalo Mariezcurrena que amablemente permitio lo publicara.

Temas Similares (5)