Троян Mal/Miner-C написан на NSIS (Nullsoft Scriptable Install System), который заражает и использует для дальнейшего распространения устройства NAS (network-attached storage), а затем майнит валюту Monero.

Специалисты компании Sophos изучили свежую версию Mal/Miner-C, который также известен под именем PhotoMiner и уже был знаком им ранее, сообщает xakep.ru.

Еще в июне 2016 года стало известно, что вредонос атакует уязвимые FTP-серверы, брутфорсом подбирая учетные данные, а затем использует зараженные устройство как платформу для дальнейшего распространения.

    Свежая версия Mal/Miner-C обладает похожей функциональностью: один из ее компонентов (tftp.exe) генерирует случайные IP-адреса и пытается соединиться с ними, используя список дефолтных логинов и паролей. Установив соединение с FTP-сервером, вредонос копирует себя в новое место, а также модифицирует на сервере файлы .html и .php, внедряя в них iframe для последующего распространения. Когда зараженную веб-страницу посещают пользователи, их спрашивают, не желают ли они сохранить и запустить некий файл? Если жертва соглашается, Mal/Miner-C проникает в систему и начинает майнить Monero.

В 2016 году было зафиксировано более 1,7 млн заражений, с которыми связаны 3150 IP-адресов (такая разница возникает в силу того, что малварь копирует свои файлы, Photo.scr и info.zip, в каждую директорию зараженного FTP-сервера; технически, каждое устройство заражено несколько раз)

     

    В качестве защиты от Mal/Miner-C исследователи Sophos рекомендуют пользователям закрывать удаленный доступ к своим устройствам.