Die Kryptoindustrie überrascht weiterhin mit ihrer Vielseitigkeit, sowohl hinsichtlich der Möglichkeiten, Gewinne zu erzielen, als auch hinsichtlich der Preisbewegungen, die keine kompetente Analyse zulassen.

Für viele Nutzer ist der Bergbau zur Haupteinnahmequelle geworden, für einige sogar zu einem vollwertigen Geschäft.

Wie in jeder Branche werden Geschäfte nicht immer ehrlich geführt, der Bergbau bildet da keine Ausnahme.

In einem der vorherigen Materialien haben wir über die Nutzung der Ressourcen eines PCs oder Laptops gesprochen, während sich der Besucher auf der Website befindet.

Durch das sofortige Schließen der Registerkarte werden alle Probleme behoben.

In diesem Artikel sprechen wir über eine bösartigere Möglichkeit, von Fremden zu profitieren, nämlich einen in ein Virenprogramm integrierten Miner.

Einmal im System versteckt sich diese Symbiose recht geschickt vor Antivirenprogrammen, insbesondere vor kostenlosen Versionen, die von den meisten RuNets verwendet werden, und nutzt einen Teil der Rechenleistung, um Kryptowährungen zum Nutzen von Angreifern zu schürfen.

Wie erfolgt das Virus-Mining?

Beim Reisen im Internet führt der Benutzer eine Aktion aus, die als Herunterladen einer Datei/eines Bildes oder als Klicken auf einen externen Link in einem sozialen Netzwerk getarnt werden kann, was dazu führt, dass ein Schadprogramm auf den Computer heruntergeladen wird.

Es wird aktiviert, verbindet sich automatisch mit dem vom Entwickler angegebenen Pool und beginnt mit dem Mining.

Die wichtigsten Münzen, die durch Mining sozusagen illegal geschürft werden, sind und.

Einer der Gründe ist die hohe Anonymität des Betriebs in diesen Netzwerken. Bürocomputer leiden stark unter solchen Aktivitäten, da sie aus einer Quelle über interne Netzwerke massiv infiziert werden.

Unabhängig davon ist zu beachten, dass nicht alle Programme auf das Mining beschränkt sind.

Viele erhalten die Funktion, Wallet-Adressen verschiedener Krypto-Dienste, Registrierungsdaten von Börsen, Geheimphrasen und Schlüssel zu suchen und zu kopieren, die von vielen hier auf dem PC gespeichert werden.

Antivirenprogramme tarnen sich als offizielle Miner-Programme, für die viele Ausnahmen im Schutzsystem festlegen.

Unabhängige Suche durch die Liste der installierten Programme oder durch Untersuchung des Ordnerinhalts "Programmdateien" ist auch nicht immer effektiv, da die meisten Benutzer einfach nicht wissen, wonach sie suchen sollen.

Während der aktiven Entwicklung dieser Branche konnten zahlreiche Schadprogramme identifiziert und entfernt werden, da sie alle ungenutzten PC-Ressourcen aktivierten, was häufig zu Überhitzung führte und lediglich die Arbeit beeinträchtigte.

Moderne Virus-Miner sind bescheidener geworden und beanspruchen 2 bis 5 % der freien Ressourcen, ohne die Ausrüstung besonders zu belasten und ohne die Fähigkeit des Benutzers zu beeinträchtigen, leise zu arbeiten.

Warum passiert das?

Oben wurde erwähnt, dass sich die Schadsoftware mit dem darin registrierten Pool verbindet.

Installieren Sie hochwertige Antivirensoftware und halten Sie sie auf dem neuesten Stand.

Führen Sie regelmäßig gründliche Kontrollen durch, z. B. jede Nacht oder alle drei Tage, um eventuelle Rückstände zu entfernen.

Wählen Sie im Idealfall eine Reihe zuverlässiger Ressourcen zum Ansehen von Filmen, zum Hören von Musik usw. aus und beschränken Sie außerdem das Herunterladen von Inhalten von Raubkopienportalen.

Für diejenigen, die aus ihrem eigenen Botnetz heraus denken

Entwickler und Verkäufer von Virus-Minern beantworten Fragen zur Rechtmäßigkeit ihrer Aktivitäten: „Es gibt keine klare Rechtsgrundlage für das Mining, daher ist es unmöglich, Personen dafür zur Verantwortung zu ziehen, auch nicht versteckte.“

Dies stimmt, wir sollten jedoch nicht vergessen, dass die Installation von Programmen jeglicher Art ohne Wissen des Gerätebesitzers, das Hacken privater und Unternehmensnetzwerke sowie erhebliche Gefängnisstrafen eine Rechtsgrundlage haben.

Benutzer, die Schadprogramme für Hidden Mining verbreiten, hoffen auf die Anonymität des Netzwerks und der Coins, die geschürft werden können, aber eine Reihe von Fällen, in denen die Sicherheit von Unternehmen, in die Virus-Miner eingedrungen sind, den Initiator des Prozesses schnell gefunden hat, zeigen, dass diese Anonymität vorhanden ist Grenzen.

Abschließend

Auch wenn Sie nicht mit der Kryptoindustrie in Verbindung stehen, nicht online arbeiten und keine großen Geldbeträge in elektronischen Geldbörsen akzeptieren, sollten Sie Sicherheitsmaßnahmen nicht vernachlässigen und ein neues Opfer von Betrügern werden.

Ein Virus-Miner (Miner, Bitcoin-Miner) ist eine bösartige Software, deren Hauptzweck das Mining ist – das Erwirtschaften von Kryptowährungen mithilfe der Ressourcen des Computers des Opfers. Im Idealfall sollte eine solche Software möglichst geheim arbeiten, eine hohe Überlebensfähigkeit aufweisen und eine geringe Erkennungswahrscheinlichkeit durch Antivirenprogramme aufweisen. Ein „hochwertiger“ Virus-Miner fällt kaum auf, beeinträchtigt die Arbeit des Benutzers nahezu nicht und ist von Antivirensoftware nur schwer zu erkennen. Die wichtigste äußere Manifestation einer Virusinfektion ist ein erhöhter Verbrauch von Computerressourcen und infolgedessen eine zusätzliche Erwärmung und ein erhöhter Geräuschpegel der Lüfter des Kühlsystems. Im Falle eines „minderwertigen“ Miner-Virus kommt es zusätzlich zu den aufgeführten Symptomen zu einer Verschlechterung der Gesamtleistung des Computers, zu kurzfristigen Einfrierungen oder sogar zur Unfähigkeit einiger Programme.

Was ist Bergbau?

Das Wort „Mining“ kommt vom englischen „mining“, was „Mineralerschließung“ bedeutet. Beim Mining handelt es sich um nichts anderes als den Prozess der Schaffung neuer Kryptowährungseinheiten (Kryptocoins) mithilfe eines speziellen Algorithmus. Heutzutage gibt es etwa tausend Arten von Kryptowährungen, obwohl sie alle die Algorithmen und Protokolle des berühmtesten Anfängers verwenden – Bitcoin .

Der Mining-Prozess ist eine Lösung für komplexe ressourcenintensive Probleme, um einen einzigartigen Datensatz zu erhalten, der die Echtheit von Zahlungstransaktionen bestätigt. Die Geschwindigkeit des Findens und die Anzahl der als Belohnung erhaltenen Kryptowährungseinheiten sind in verschiedenen Währungssystemen unterschiedlich, erfordern jedoch in jedem Fall erhebliche Rechenressourcen. Die Leistung der Mining-Hardware wird normalerweise in Megahashes (MHash) und Gigahashes (GHash) gemessen. Da die Komplexität des Minings der teuersten Kryptowährungen auf einem einzelnen Computer schon lange unerreichbar ist, ist das etwas Besonderes Bauernhöfe, das sind leistungsstarke Computersysteme auf Industrieniveau und Pools Mining – Computernetzwerke, in denen der Mining-Prozess auf alle Netzwerkteilnehmer verteilt ist. Das Mining in einem gemeinsamen Pool ist für einen normalen Benutzer die einzige Möglichkeit, zumindest einen kleinen Gewinn aus dem Prozess der Erstellung von Kryptomünzen zu erzielen. Pools bieten eine Vielzahl von Gewinnverteilungsmodellen, einschließlich der Leistungsfähigkeit der Kundenausrüstung. Nun, es ist ganz klar, dass die Angreifer einen gewissen Gewinn aus der Ausbeutung der Computerausrüstung anderer Leute ziehen, indem sie Dutzende, Hunderte oder sogar Tausende von mit dem Miner infizierten Computern in einen Pool treiben.

Mining-Viren zielen auf die langfristige Nutzung des Computers des Opfers ab und installieren bei einer Infektion normalerweise Hilfssoftware, die das Haupt-Mining-Programm wiederherstellt, wenn es beschädigt, von einem Antivirenprogramm gelöscht oder aus irgendeinem Grund abstürzt. Selbstverständlich ist das Hauptprogramm so konfiguriert, dass die Mining-Ergebnisse an die Konten der Angreifer im verwendeten Pool gebunden sind. Das Hauptprogramm verwendet legale Mining-Software, die von offiziellen Kryptowährungs-Websites oder speziellen Pool-Ressourcen heruntergeladen wird und tatsächlich keine Schadsoftware (Virus, Virensoftware – Software) ist. Sie können dieselbe Software selbst herunterladen und auf Ihrem eigenen Computer installieren, ohne einen besonderen Verdacht gegenüber dem auf Ihrem System verwendeten Antivirenprogramm zu erregen. Und das deutet nicht auf die schlechte Qualität der Antivirensoftware hin, sondern im Gegenteil auf das Fehlen von Fehlalarmen, denn der ganze Unterschied zwischen Mining, das für den Benutzer nützlich ist, und Mining, das für den Angreifer nützlich ist, liegt darin, wer es tut seine Ergebnisse besitzen, d.h. von einem Konto im Pool.

Wie bereits erwähnt, ist das Hauptzeichen einer Systeminfizierung durch einen Miner die intensive Nutzung von Ressourcen durch ein Programm, begleitet von einem Anstieg des Geräuschpegels der Systemeinheit sowie der Temperatur der Komponenten. Darüber hinaus arbeitet der Virus in einer Multitasking-Umgebung in der Regel mit der niedrigsten Priorität und beansprucht Systemressourcen nur dann, wenn der Computer im Leerlauf ist. Das Bild sieht so aus: Der Computer ist mit nichts beschäftigt, er ist im Leerlauf und seine Temperatur der Komponenten und die Geräusche der Belüftung erinnern an den Spielemodus in einem sehr anspruchsvollen Computer-Shooter. In der Praxis kam es jedoch vor, dass die Priorität von Mining-Programmen auf den Standardwert gesetzt wurde, was zu einem starken Rückgang der Nutzleistung führte. Der Computer begann furchtbar langsamer zu werden und es war fast unmöglich, ihn zu benutzen.

Entfernen eines Miners mithilfe eines Rollbacks auf einen Wiederherstellungspunkt

Der einfachste Weg, unerwünschte Software zu entfernen, besteht darin, Windows mithilfe von Wiederherstellungspunkten in einen früheren Zustand zurückzusetzen, was oft als System-Rollback bezeichnet wird. Dies erfordert, dass ein Wiederherstellungspunkt zu einem Zeitpunkt erstellt wird, zu dem die Infektion noch nicht aufgetreten ist. Um das Wiederherstellungstool zu starten, können Sie die Tastenkombination Win+r verwenden und den Befehl eingeben rstrui.exe in das sich öffnende Eingabefeld ein. Oder nutzen Sie das Hauptmenü – „Programme – Zubehör – Systemprogramme – Systemwiederherstellung“. Wählen Sie als Nächstes den gewünschten Wiederherstellungspunkt aus und führen Sie einen Rollback darauf durch. Mit einem erfolgreichen Rollback ist es in den meisten Fällen möglich, den Virus ohne großen Aufwand wieder loszuwerden. Wenn kein geeigneter Wiederherstellungspunkt vorhanden ist oder das Rollback den Virus nicht neutralisiert hat, müssen Sie nach komplexeren Möglichkeiten zur Lösung dieses Problems suchen. In diesem Fall können Sie Standard-Betriebssystemtools oder spezielle Programme verwenden, mit denen Sie Prozesse suchen und beenden, Informationen über ihre Eigenschaften erhalten, Programmstartpunkte anzeigen und ändern, digitale Signaturen von Herausgebern überprüfen usw. Für solche Arbeiten sind bestimmte Benutzerqualifikationen und Kenntnisse im Umgang mit der Befehlszeile, dem Registrierungseditor und anderen Dienstprogrammen erforderlich. Die Verwendung mehrerer Antivirenscanner verschiedener Hersteller, Programme zur Systembereinigung und Entfernung unerwünschter Software führt möglicherweise nicht zu einem positiven Ergebnis, und im Fall eines Miners ist dies in der Regel auch nicht der Fall.

Suchen und Entfernen eines Miners mithilfe von Dienstprogrammen aus der Sysinternals Suite

Die Schwierigkeit bei der Identifizierung von Mining-Programmen besteht darin, dass sie von den meisten Antivirenprogrammen nicht erkannt werden, da es sich nicht um Viren handelt. Es besteht die Möglichkeit, dass das Antivirenprogramm den Installationsprozess des Miners verhindern kann, da dieser ungewöhnliche Softwaretools verwendet. Geschieht dies jedoch nicht, müssen Sie höchstwahrscheinlich nach dem Schadprogramm suchen und es entfernen (aus Sicht des (Besitzer des infizierten Computers) manuell installieren. Zu Ihrer Information, im Juni 2017 durchschnittlicher Grad der Erkennung bösartiger Software solcher Software, beispielsweise unter Verwendung einer bekannten Ressource Virustotal belief sich auf 15-20/62 – d.h. Von 62 Antivirenprogrammen betrachteten nur 15–20 es als Schadprogramm. Darüber hinaus gehören die beliebtesten und hochwertigsten Antivirenprogramme nicht zu dieser Gruppe. Bei bekannten oder erst vor relativ kurzer Zeit entdeckten Viren kann die Erkennungsrate von Malware aufgrund von Signaturen in Antiviren-Datenbanken und einigen zusätzlichen Maßnahmen der Entwickler von Antivirenprogrammen höher sein. All dies ermöglicht es Ihnen jedoch nicht immer, den Miner-Virus loszuwerden, ohne dass zusätzliche Anstrengungen unternommen werden müssen, um das Problem zu lösen.

Unten sehen Sie einen praktischen Fall einer Systeminfektion mit Mining-Malware. Die Infektion erfolgte durch die Verwendung modifizierter Spielprogramme, die von einem der nicht vertrauenswürdigen Torrent-Tracker heruntergeladen wurden. Allerdings kann die Infektionsmethode wie bei jeder anderen Malware eine andere sein: Verfolgen von Links zu nicht überprüften Ressourcen, Öffnen von E-Mail-Anhängen usw.

Eine Reihe von Mining-Malware zum Nutzen von Angreifern implementiert die folgenden Funktionen:

Sicherstellung Ihres automatischen Starts. Ein oder mehrere Programme ändern Registrierungsschlüssel so, dass sie im Falle eines unerwarteten Herunterfahrens, Neustarts oder Stromausfalls automatisch gestartet werden. In regelmäßigen Abständen (ungefähr einmal pro Minute) werden die Registrierungsschlüssel überprüft und bei Verstößen (gelöscht, geändert) wiederhergestellt.

Automatischer Start des Mining-Programms. Das Programm startet außerdem automatisch und seine Autorun-Parameter werden von einem oder mehreren Hilfsprogrammen überwacht und wiederhergestellt.

Während im Arbeitsspeicher des Computers Prozesse laufen, die für einen automatischen Start sorgen, macht es keinen Sinn, ausführbare Dateien und Registrierungseinträge zu löschen – sie werden trotzdem wiederhergestellt. Daher ist es in der ersten Phase notwendig, alle Prozesse zu identifizieren und zwangsweise zu beenden, die einen automatischen Neustart von Schadprogrammen gewährleisten.

Um einen Miner-Virus in modernen Betriebssystemen zu finden und zu beseitigen, können Sie Standardtools oder beispielsweise funktionsreichere Software aus dem Paket verwenden Sysinternals Suite von Microsoft

- Process Explorer– ermöglicht Ihnen, detaillierte Informationen zu Prozessen, Threads, Ressourcennutzung usw. anzuzeigen. Sie können Prioritäten ändern, die Arbeit der erforderlichen Prozesse unterbrechen (wieder aufnehmen), Prozesse beenden oder Bäume verarbeiten. Das Dienstprogramm eignet sich zum Analysieren der Eigenschaften von Prozessen und zum Suchen nach Malware.

- Autoruns– eine praktische Möglichkeit, die automatische Ausführung von Programmen zu steuern. Steuert fast alle automatischen Startpunkte, von Startordnern bis hin zu Planeraufgaben. Ermöglicht Ihnen, Programme, die Sie nicht ausführen möchten, schnell zu erkennen und zu isolieren.

Sie können das Dienstprogramm auch als Hilfssoftware verwenden Prozessmonitor, mit dem Sie in schwierigen Fällen die Aktivität bestimmter Programme mithilfe von Filtern überwachen können (Zugriff auf die Registrierung, das Dateisystem, das Netzwerk usw.) sowie das Dienstprogramm SearhMyfiles von Nirsoft, das zum Durchsuchen von Dateien und Ordnern praktisch ist Ein Merkmal davon ist die Möglichkeit, mithilfe von Zeitstempeln des NTFS-Dateisystems (Zeitstempel) nach Dateien und Ordnern zu suchen. Als Suchkriterien können Sie Erstellungs-, Änderungs- und Zugriffszeitbereiche für Dateien und Ordner angeben (Erstellt, Geändert, Zugriff). Wenn Sie den ungefähren Zeitpunkt der Infektion oder Kompromittierung kennen, können Sie eine vollständige Liste der Dateien erstellen, die in einem bestimmten Zeitraum erstellt oder geändert wurden.

Aber ich wiederhole: Um Miner zu finden und zu entfernen, reicht es in der Regel aus, Standard-Windows-Tools zu verwenden – Task-Manager und Registrierungseditor. Es ist nur so, dass die oben aufgeführte Software einfacher zu verwenden und bequemer zum Auffinden von Malware ist.

Von Process Explorer angezeigte Informationen zur Systemressourcennutzung:

Spalte CPU Zeigt die CPU-Auslastung verschiedener Prozesse an. Systemleerlaufprozess- Dies ist kein Vorgang, sondern ein Hinweis des Programms auf den Leerlaufmodus (Untätigkeit). Als Ergebnis sehen wir, dass sich der Prozessor 49,23 % der Zeit im Leerlaufmodus befindet, einige Prozesse Hundertstel seiner Ressourcen verbrauchen und der Hauptverbraucher der CPU der Prozess ist system.exe- 49,90 %. Auch bei oberflächlicher Analyse der Prozesseigenschaften system.exe Es liegen auffällige Tatsachen vor, die einen begründeten Verdacht begründen:

Seltsame Beschreibung (Beschreibung) – Microsoft Center

Seltsamer Firmenname – www.microsoft.com Andere Prozesse, die eigentlich mit Microsoft zu tun haben, haben die Zeile als Beschreibung Microsoft Corporation

Eine detailliertere Analyse erfolgt über das Kontextmenü, das mit der rechten Maustaste aufgerufen wird – dem Punkt Eigenschaften:

Ausführbarer Pfad ProgramData\System32\system.exe ist ebenfalls eindeutig verdächtig und der Wechsel in den Ordner mit der ausführbaren Datei, wenn Sie auf die entsprechende Schaltfläche klicken Erkunden zeigte, dass sowohl der Ordner selbst als auch die ausführbare Datei die Attribute „Versteckt“ haben. Nun, und die Befehlszeilenparameter:

-o stratum+tcp://xmr.pool.minergate.com:45560 --donate-level=1 -u [email protected]*-p x -t 2 –k Geben Sie deutlich an, dass der Prozess system.exe ein Miner-Programm ist (zur Verwendung von Pools pool.minergate.com).

Feld Autostart-Standort enthält den Wert n / A, was bedeutet, dass dieser Prozess keine automatischen Startpunkte hat. Übergeordneter Prozess für system.exe hat PID=4928 und existiert derzeit nicht ( Nicht vorhandener Prozess), was höchstwahrscheinlich darauf hinweist, dass der Prozess mithilfe einer Batchdatei oder eines Programms gestartet wurde, das seine Arbeit nach dem Start abgeschlossen hat. Taste Verifizieren soll eine Prüfung auf das Vorhandensein eines übergeordneten Prozesses erzwingen.

Taste Tötungsprozess ermöglicht es Ihnen, den aktuellen Prozess zu beenden. Die gleiche Aktion kann über das Kontextmenü mit der rechten Maustaste für den ausgewählten Prozess ausgeführt werden.

Tab TCP/IP ermöglicht Ihnen, eine Liste der Netzwerkverbindungen des Prozesses system.exe abzurufen:

Wie Sie sehen, hat der Prozess system.exe eine Verbindung zwischen dem lokalen Computer und dem Remote-Server static.194.9.130.94.clients.your-server.de:45560 hergestellt.

In diesem realen Fall hatte der Prozess system.exe eine minimale Priorität und hatte fast keine Auswirkungen auf den Betrieb anderer Prozesse, die keinen erhöhten Ressourcenverbrauch erforderten. Um jedoch die Auswirkungen auf das Verhalten des infizierten Systems abzuschätzen, können Sie die Priorität des Miners auf die Priorität legaler Programme setzen und den Grad der Verschlechterung der Nutzleistung des Computers beurteilen.

Wenn Sie den System-Exe-Prozess zwangsweise beenden, startet er nach einigen Sekunden erneut. Daher wird der Neustart von einem anderen Programm oder Dienst bereitgestellt. Wenn Sie sich weiterhin die Liste der Prozesse ansehen, ist zunächst der Prozess Security.exe verdächtig.

Wie Sie sehen, führen Sie das Programm aus Security.exe Es wird der Autorun-Punkt aus dem Standardmenü der Benutzerprogramme und die ausführbare Datei verwendet Security.exe befindet sich im selben versteckten Ordner C:\ProgramData\System32

Der nächste Schritt besteht darin, das Beenden zu erzwingen Security.exe, Und danach - system.exe. Wenn nach diesem Vorgang system.exe nicht mehr startet, können Sie damit beginnen, schädliche Dateien und Systemeinstellungen zu löschen, die mit dem Funktionieren von Malware in Zusammenhang stehen. Wenn der Prozess system.exe erneut gestartet wird, muss die Suche nach Hilfsprogrammen fortgesetzt werden, die den Start gewährleisten. Als letzten Ausweg können Sie nacheinander alle Prozesse einzeln beenden und system.exe jedes Mal beenden, bis der Neustart beendet wird.

Um Autorun-Punkte zu finden und zu deaktivieren, können Sie bequem das Dienstprogramm Autoruns aus der Sysinternals Suite verwenden:

Im Gegensatz zum Standardtool msconfig.exe zeigt das Dienstprogramm Autoruns fast alle möglichen Optionen zum automatischen Starten von Programmen an, die auf einem bestimmten System vorhanden sind. Standardmäßig wird alles angezeigt (Registerkarte „Alles“). Bei Bedarf können Sie jedoch einzelne Datensätze nach Typ filtern, indem Sie zu den Registerkarten oben im Fenster wechseln (Bekannte DLLs, Winlogon, ... Appinit).

Bei der Suche nach Einträgen, die die automatische Ausführung von Schadprogrammen ermöglichen, müssen Sie zunächst darauf achten, dass in der Spalte „Herausgeber“ die digitale Signatur des Entwicklers fehlt. Fast alle modernen Rechtsprogramme sind digital signiert, mit seltenen Ausnahmen, die in der Regel Softwareprodukte von Drittanbietern oder Treiber/Dienste von Microsoft umfassen. Das zweite alarmierende Prinzip ist das Fehlen einer Beschreibung in der Spalte „Beschreibung“. In diesem speziellen Fall ist der Eintrag verdächtig, der die Verknüpfung Security.lnk im Startordner des Benutzers öffnet:

C:\Benutzer\Student\AppData\Roaming\Microsoft\Windows\Startmenü\Programme\Startup

Die Verknüpfung verweist auf eine Datei c:\programdata\system32\security.exe

Der Zeitstempel gibt das Datum und die Uhrzeit der Infektion des Systems an – 23.06.2017 19:04

Alle vom Autoruns-Dienstprogramm angezeigten Einträge können gelöscht oder deaktiviert werden, mit der Möglichkeit einer weiteren Wiederherstellung. Zum Löschen verwenden Sie das Kontextmenü oder die Taste Del. Zum Deaktivieren deaktivieren Sie den ausgewählten Eintrag.

Der versteckte Ordner c:\programdata\system32\ kann mit seinem gesamten Inhalt gelöscht werden. Starten Sie dann neu und prüfen Sie, ob schädliche Prozesse vorhanden sind.

Wie findet man einen versteckten Bergmann?

Der versteckte Miner ist ein Trojaner, der die CPU-Rechenleistung des Opfers nutzt, um eine digitale Währung namens Monera zu schürfen. Nach der Installation installiert dieser Trojaner Monero unter diesem Namen NsCpuCNMiner32.exe Und NsCpuCNMiner64.exe, das versucht, Monero mit den CPU-Ressourcen Ihres Computers auszuführen, verbraucht die Ressourcen Ihres Computers.

Miner CNMiner funktioniert nach dem Ausführen eines Programms namens CNMiner.exe was dann läuft NsCpuCNMiner32.exe Und NsCpuCNMiner64.exe abhängig davon, ob der installierte Computer 32-Bit oder 64-Bit. Nach dem Start beginnt der Miner, die gesamte Rechenleistung des Computers zu nutzen, um die Monero-Währung im Mining-Pool mine.moneropool.com zu schürfen. Wie viel CPU-Ressourcen der Miner verbraucht, können Sie im Bild unten sehen.

CNMiner Funktioniert im Taskmanager
CNMiner im Task-Manager ausgeführt wird. Das besonders Besorgniserregende an dieser Infektion ist, dass sie auf unbestimmte Zeit die gesamte Rechenleistung Ihrer CPU verbraucht. Dies führt dazu, dass Ihr Prozessor längere Zeit bei sehr hohen Temperaturen arbeitet, was die Lebensdauer des Prozessors verkürzen kann.

Da es keinen Hinweis darauf gibt, dass das Programm ausgeführt wird, finden Sie hier eine Liste von Symptomen, anhand derer ein Benutzer feststellen kann, ob er mit Miner Mining infiziert ist:
NsCpuCNMiner32.exe, NsCpuCNMiner64.exe oder C NMiner ausführbar im Taskmanager.
Windows minimiert und maximiert langsam, Spiele laufen langsamer und Videos ruckeln.

Programme starten nicht so schnell.
Allgemeine Langsamkeit bei der Verwendung des Computers.
Wie es installiert wurde Bergmann Bergbau auf meinem Computer?

Derzeit als Bergmann unbekannt CNMiner wird auf dem Computer des Opfers installiert. Es kann manuell durch Hacken des Entwicklers auf dem Computer oder zusammen mit anderer Malware installiert werden. Daher ist es wichtig, stets ein gutes Sicherheitsprogramm zur Überwachung auf nicht autorisierte und bösartige Programme zu installieren. Wie Sie sehen, ist der CNMiner-Miner ein Programm, das die Ressourcen Ihres Computers und Ihren Strom stiehlt und davon profitiert. Damit Ihr Computer wieder normal funktioniert und Sie ihn schützen, sollten Sie die folgende Anleitung verwenden, um diesen Trojaner kostenlos zu entfernen.

24-Punkte-Guide! durch Entfernen von Miner

1 Diese Entfernungsanleitung kann aufgrund der Anzahl der Schritte und der zahlreichen Programme, die verwendet werden, überwältigend sein. Der Artikel wurde geschrieben, um klare, detaillierte und leicht verständliche Anweisungen zu geben, die jeder zum Entfernen dieses Virus verwenden kann kostenlos. Bevor Sie dieses Handbuch verwenden, empfehlen wir Ihnen, es einmal zu lesen und alle erforderlichen Tools auf Ihren Desktop herunterzuladen. Wenn Sie fertig sind, drucken Sie diese Seite aus, da Sie möglicherweise Ihr Browserfenster schließen oder Ihren Computer neu starten müssen.

2 Um alle Programme zu unterbrechen, die den Deinstallationsvorgang stören könnten, müssen wir zuerst das Programm herunterladen Rkill. Rkill sucht auf Ihrem Computer nach aktiven Malware-Infektionen und versucht, diese zu stoppen, damit sie den Entfernungsprozess nicht beeinträchtigen. Laden Sie dazu herunter RKill wie folgt auf Ihren Desktop kopieren Verknüpfung.

Klicken Sie auf der Download-Seite auf die Schaltfläche „Jetzt herunterladen“. iExplore.exe. Wenn Sie zum Speichern aufgefordert werden, speichern Sie es auf Ihrem Desktop.

3 Sobald es heruntergeladen ist, doppelklicken Sie auf iExplore.exe um automatisch zu versuchen, alle damit verbundenen Prozesse zu stoppen CNMiner Monero Miner und andere Malware. Seien Sie geduldig, während das Programm nach verschiedener Malware sucht und diese beseitigt. Wenn Sie fertig sind, wird das schwarze Fenster automatisch geschlossen und die Protokolldatei geöffnet. Überprüfen Sie die Protokolldatei und schließen Sie sie, um mit dem nächsten Schritt fortzufahren. Wenn Sie Probleme beim Starten haben RKill, können Sie andere umbenannte Versionen herunterladen RKill von der Download-Seite Rkill. Alle Dateien werden in Kopien umbenannt RKill, was Sie stattdessen ausprobieren können. Bitte beachten Sie, dass die Download-Seite in einem neuen Browserfenster oder Tab geöffnet wird. Starten Sie Ihren Computer nach dem Start nicht neu RKill, da die Malware wieder funktioniert.

4 Jetzt herunterladen Emsisoft Anti-Malware, das jede andere Adware scannt und entfernt, die möglicherweise in dieser Adware enthalten ist. Laden Sie das Installationsprogramm herunter und speichern Sie es Emsisoft Anti-Malwareüber den Link auf Ihren Desktop laden

5 Sobald die Datei heruntergeladen wurde, doppelklicken Sie auf EmsisoftAntiMalwareSetup_bc.exe um das Programm zu starten. Wenn Windows Smart Screen gibt eine Warnung aus, lassen Sie es trotzdem laufen. Wenn das Installationsprogramm eine Warnung zum abgesicherten Modus anzeigt, klicken Sie auf "Ja", weitermachen. Nun sollte ein Dialogfeld angezeigt werden, in dem Sie aufgefordert werden, der Lizenzvereinbarung zuzustimmen. Geben Sie die Vereinbarung ein und klicken Sie auf die Schaltfläche „Installieren“, um mit der Installation fortzufahren.

6 Irgendwann wird ein Bildschirm angezeigt, in dem Sie gefragt werden, welche Art von Lizenz Sie verwenden möchten Emsisoft Anti-Malware.

Bildschirm „Lizenz auswählen“ Wenn Sie über einen vorhandenen Lizenzschlüssel verfügen oder einen neuen Lizenzschlüssel erwerben möchten, wählen Sie die entsprechende Option aus. Andernfalls wählen Sie Freeware oder Testen Sie in 30 Tagen, kostenlose Option. Wenn Sie nach dem Klicken auf diese Schaltfläche eine Warnung erhalten, klicken Sie einfach auf die Schaltfläche "Ja" um in den freien Zugriffsmodus zu wechseln, der Ihnen auch das Bereinigen infizierter Dateien ermöglicht.

7 Schauen Sie nun auf den Bildschirm und wählen Sie aus, ob Sie dem Netzwerk beitreten möchten Anti-Malware Emsisoft. Lesen Sie die Beschreibungen und treffen Sie Ihre Auswahl, um fortzufahren.

8 Emsisoft Anti-Malware wird nun mit der Aktualisierung beginnen.

Bitte haben Sie etwas Geduld, da es einige Minuten dauern kann, bis der Download der Updates abgeschlossen ist.

9 Wenn die Aktualisierungen abgeschlossen sind, werden Sie auf dem Bildschirm gefragt, ob Sie die Erkennung aktivieren möchten WELPE. Wir empfehlen dringend, „ Aktivieren Sie die PUP-Erkennung» Um Ihren Computer vor unangenehmen Programmen zu schützen, wird solche Adware von uns nicht empfohlen.

10 Jetzt sehen wir das endgültige Installationsmenü auf dem Bildschirm. Drück den Knopf "Bereit" um die Einrichtung abzuschließen und automatisch zu starten Emsisoft Anti-Malware.

11 Emsisoft Anti-Malware wird nun gestartet und zeigt den Startbildschirm an.

Danach erscheint der erste Antivirenbildschirm Emsisoft, klicken Sie bitte mit der linken Maustaste auf den Abschnitt „Scannen“.

12 Wählen Sie nun aus, welche Art von Scan Sie durchführen möchten.

Scan-Auswahlbildschirm Wählen Sie die Malware-Scan-Option, um mit dem Scannen Ihres Computers auf Infektionen zu beginnen. Möglichkeit Malware-Scan wird länger dauern als Schneller Scan wird aber auch am gründlichsten sein. Da Sie hier sind, um Infektionen zu beseitigen, lohnt es sich zu warten, um sicherzustellen, dass Ihr Computer ordnungsgemäß gescannt wird.

13 Emsisoft Anti-Malware beginnt nun mit dem Scannen Ihres Computers nach Rootkits und Malware. Bitte beachten Sie, dass die im Bild unten erkannten Infektionen möglicherweise von den in diesem Handbuch vorgesehenen Infektionen abweichen.

Scan-Bildschirm Seien Sie vorsichtig, während Emsisoft Anti-Malware Ihren Computer scannt.

14 Sobald der Scan abgeschlossen ist, zeigt das Programm Scanergebnisse an, aus denen hervorgeht, welche Infektionen erkannt wurden. Bitte beachten Sie, dass der Screenshot unten aufgrund einer aktualisierten Version von Emsisoft Anti-Malware möglicherweise anders aussieht als der Rest des Handbuchs.

Scan-Ergebnisse Klicken Sie nun auf die Schaltfläche „Quarantäne“, wodurch die Infektionen entfernt und im Programm unter Quarantäne gestellt werden. Sie befinden sich nun im letzten Bildschirm des Emsisoft Anti-Malware-Installationsprogramms, das Sie schließen können. Wenn Emsisoft Sie auffordert, Ihren Computer neu zu starten, um den Reinigungsvorgang abzuschließen, lassen Sie dies zu. Andernfalls können Sie das Programm schließen.

15 Laden Sie nun AdwCleaner herunter und speichern Sie es auf Ihrem Desktop. AdwCleaner durchsucht Ihren Computer nach Adware-Programmen, die möglicherweise ohne Ihr Wissen auf Ihrem Computer installiert wurden. Sie können AdwCleaner von der folgenden URL herunterladen

16 Wenn der Download von AdwCleaner abgeschlossen ist, doppelklicken Sie auf das AdwCleaner.exe-Symbol, das jetzt auf Ihrem Desktop angezeigt wird. Nach einem Doppelklick auf das Symbol öffnet sich das AdwCleaner-Programm und Sie erhalten die Lizenzvereinbarung des Programms. Klicken Sie nach dem Lesen auf die Schaltfläche „Ich stimme zu“, wenn Sie fortfahren möchten. Andernfalls klicken Sie auf die Schaltfläche „Ich stimme nicht zu“, um das Programm zu schließen. Wenn Windows Sie fragt, ob Sie AdwCleaner ausführen möchten, lassen Sie es laufen.

Wenn Sie fortfahren möchten, wird Ihnen ein Startbildschirm wie unten gezeigt angezeigt.

17 Klicken Sie nun im AdwCleaner auf die Schaltfläche „Scannen“. Das Programm beginnt nun mit der Suche nach bekannten Adware-Programmen, die möglicherweise auf Ihrem Computer installiert sind. Sobald der Vorgang abgeschlossen ist, werden alle im Abschnitt „Ergebnisse“ auf dem Bildschirm oben gefundenen Elemente angezeigt. Überprüfen Sie die Ergebnisse und versuchen Sie festzustellen, ob die aufgelisteten Programme Programme enthalten, die Sie nicht installieren möchten. Wenn Sie Programme finden, die Sie behalten möchten, deaktivieren Sie die entsprechenden Einträge. Für viele Menschen mag der Inhalt des Abschnitts „Ergebnisse“ verwirrend erscheinen. Wenn Sie keinen Programmnamen sehen, von dem Sie wissen, dass er nicht entfernt werden sollte, fahren Sie mit dem nächsten Schritt fort.

18 Um im vorherigen Schritt erkannte Adware-Programme zu entfernen, klicken Sie auf dem AdwCleaner-Bildschirm auf die Schaltfläche „Reinigen“. AdwCleaner fordert Sie nun auf, alle geöffneten Dateien oder Daten zu speichern, da das Programm alle geöffneten Programme schließen muss, bevor es mit der Reinigung beginnt. Speichern Sie Ihre Arbeit und klicken Sie auf OK. Jetzt entfernt AdwCleaner alle erkannte Adware von Ihrem Computer. Wenn dies erledigt ist, erscheint eine Warnung, die erklärt, was PUPs (potenziell unerwünschte Programme) und Adware sind. Lesen Sie diese Informationen und klicken Sie auf OK. Sie erhalten nun eine Warnung, die Sie darüber informiert, dass AdwCleaner Ihren Computer neu starten muss.

Tipp zum Neustarten von AdwCleaner Klicken Sie auf „OK“, damit AdwCleaner Ihren Computer neu startet.

19 Wenn Ihr Computer neu startet und Sie angemeldet sind, öffnet AdwCleaner automatisch eine Protokolldatei mit Dateien, Registrierungsschlüsseln und Programmen, die von Ihrem Computer entfernt wurden.

AdwCleaner-Protokoll Überprüfen Sie diese Protokolldatei und schließen Sie das Notepad-Fenster.

Schreiben Sie in die Kommentare, welche Probleme Sie mit Trojanern haben und ob ein neuer Artikel zu anderen Arten von Hidden Minern erforderlich ist.

Versteckte Kryptowährungs-Miner sind kein neues Thema, obwohl es fast keine guten technischen Anweisungen zu deren Erkennung und Beseitigung gibt. Es gibt nur eine Fülle verstreuter Informationen und Artikel mit zweifelhaftem Inhalt. Warum? Denn vom Mining von Kryptowährungen auf globaler Ebene profitieren alle, außer natürlich denen, die keinen Cent dafür erhalten und nicht einmal ahnen, dass sie Teil davon geworden sind. Und tatsächlich kann das Prinzip des Hidden Mining zu mehr werden, als nur jemand anderem Münzen in die Tasche zu stecken.

Das Konzept des versteckten Bergbaus

Wir sprechen hier nicht vom Mining, das vorerst dem Wohnungsbau und den kommunalen Dienstleistungen verborgen bleibt, sondern vom versteckten Mining von Münzen auf einem normalen Computer, obwohl der Besitzer des Computers selbst nicht im Dunkeln tappt . Mit anderen Worten: Für das Mining von Kryptowährungen ist es möglich, nicht nur den eigenen Computer zu nutzen, sondern auch die Maschinen vieler anderer Leute.

Und es ist nicht notwendig, dass die Belastung der Grafikkarte oder des Prozessors auf 100 % ansteigt – diese klugen Jungs sind vorsichtig und werden die Maschine eines Mitglieds ihres Netzwerks nicht über unzumutbare Grenzen belasten. Wenn Sie über eine ziemlich leistungsfähige Technik verfügen, bemerken Sie möglicherweise im Prinzip keinen großen Unterschied. Dies ist eine wichtige Voraussetzung für die Aufrechterhaltung der verborgenen Arbeit des Bergmanns.

Im Jahr 2011 tauchten erstmals offizielle Meldungen über das Phänomen des Hidden Mining auf, und bereits 2013 kam es in verschiedenen Ländern zu einer massiven Infektion von PCs über Skype. Darüber hinaus haben die Trojaner nicht nur Bitcoin-Wallets abgebaut, sondern sich auch Zugang zu ihnen verschafft.

Der bekannteste Fall ist ein Versuch von μTorrent-Entwicklern, durch die Einführung des versteckten EpicScale-Miners in die Software zusätzliches Geld von den Benutzern zu verdienen.

Alexey Russkikh

Das Thema Bergbau erfreut sich in den letzten Jahren großer Beliebtheit. Immer mehr Menschen interessieren sich für Kryptowährungen, deren Mining und die Vorteile, die sie mit sich bringen können. Und je mehr Menschen an etwas beteiligt sind, desto größer ist die Wahrscheinlichkeit, dass etwas Schädliches entsteht. Ein Beispiel für Malware ist ein verstecktes Mining-Programm.

In diesem Artikel erklären wir Ihnen, wie Sie einen versteckten Miner auf Ihrem Computer finden.

Was ist ein versteckter Bergmann?

Ein Hidden Miner (Stealth Miner, Miner Bot, Botnet) ist ein Programm, das automatisch Mining durchführt, ohne dass der Benutzer es merkt. Das heißt, es handelt sich um Software von Drittanbietern, die auf einem Computer installiert wird, deren Ressourcen nutzt und alle verdienten Gelder auf die Brieftasche des Entwicklers überträgt.

Miner-Bots sind weit verbreitet, da das Mining immer beliebter wird. Daher entschieden sich Malware-Entwickler, auch auf diese Weise Geld zu verdienen.

Die Foren der Virenentwickler sind voll von Angeboten, einen Hidden Miner zu erstellen, zu kaufen oder zu verkaufen.

Botnetze zielen ausschließlich auf Bürocomputer ab. Sie verfügen meist über eine schwache Grafikkarte, sodass sie die Ressourcen des GPU-Prozessors nicht nutzen können. Daher müssen Sie auf dem Zentralprozessor abbauen.

Das Interessanteste ist, dass Menschen, die sich im verdeckten Bergbau engagieren, davon relativ wenig profitieren. Ungefähr 200 infizierte Bürocomputer bringen dem Softwareentwickler etwa 30 US-Dollar pro Monat ein. Und um ein anständiges Einkommen zu erzielen, müssen Sie mehrere tausend Computer infizieren.

Was Softwareentwickler erspart, ist, dass es nicht so einfach ist, einen versteckten Miner zu finden, und es keine guten Online-Handbücher zum Auffinden und Entfernen von Malware gibt. Aber bevor wir darüber sprechen, wie man einen Miner-Bot findet und entfernt, wollen wir herausfinden, wie gefährlich er für den durchschnittlichen PC-Benutzer sein kann.

Warum ein versteckter Miner für einen Computer gefährlich ist

Die Arbeit eines Stealth-Miners ist auf den ersten Blick der eines Virus sehr ähnlich. Es tarnt sich auch als Systemdatei, führt auch einige Operationen aus und lädt das System. Es gibt nur eine Sache. Ein Virus ist ein Schadprogramm, das dem System und Ihrem Computer direkten Schaden zufügt.

Der Hidden Miner arbeitet nach einem anderen Schema. Es nutzt einfach Ihre CPU-Ressourcen, um Kryptowährungen (Bitcoins) in die Wallet seines Erstellers zu schürfen. Und die meisten Antivirenprogramme können dieses Programm nicht finden und daher neutralisieren.

Das Hauptproblem und die größte Gefahr liegt darin, dass das Botnetz für die meisten Antivirenprogramme unsichtbar ist. Das heißt, Sie müssen alleine zurechtkommen, was für den Durchschnittsbenutzer ziemlich schwierig ist. Die meisten Leute haben keine Ahnung, wo sich die Registrierung befindet, ganz zu schweigen davon, wie sie den Prozess verfolgen und ihn vollständig „abbrechen“ können, damit er nicht wiederhergestellt werden kann.

Und wenn wir noch die Tatsache hinzufügen, dass es Entwicklern von Mining-Bots oft gelingt, ihr Programm im Standard-Task-Manager völlig unsichtbar zu machen, kommt es bei der Erkennung in den meisten Fällen darauf an, anhand Ihres „Gefühls“ festzustellen, ob der Computer stark ausgelastet ist. Denn kaum jemand wird einfach nur spezielle Software installieren, nach Problemen suchen und versuchen, sie zu lösen.

So finden Sie ein Botnetz auf Ihrem Computer

Wenn Sie den Verdacht haben, dass sich auf Ihrem Computer ein „Hidden Miner“-Programm befindet, sollten Sie Folgendes tun:

• Überprüfen Sie, wie sich der Computer unter normaler Belastung verhält (in einfachen Programmen arbeiten, in einem Browser sitzen);
• Sehen Sie, was sich bei hoher Belastung der Grafikkarte und des Prozessors ändert (führen Sie anspruchsvolle Spiele aus);
• Führen Sie das AIDA64-Programm aus und sehen Sie sich die Auslastung der Grafikkarte und des Prozessors an.
• Vergleichen Sie alle Daten.

Stealth-Miner reagieren, wenn Sie den Task-Manager starten. Sie stellen ihre Arbeit sofort ein und die Indikatoren normalisieren sich wieder. Daher kann solche Software nicht mit dem Task-Manager erkannt werden.

Einige Mining-Bots schalten den Task-Manager möglicherweise nach einiger Zeit ab. Oft beträgt diese Zeit etwa 5 Minuten. Und wenn Sie bemerken, dass sich Ihr Task-Manager ausschaltet, wenn Sie ihn einschalten und weggehen, wissen Sie, dass hier etwas nicht stimmt.

Sie können einen versteckten Miner einfach entfernen, ohne zusätzliche Programme zu installieren. Dies geschieht wie folgt (Kurzanleitung):

1. Wir folgen dem Pfad: Systemsteuerung > Computerverwaltung > Task-Manager > Details.
2. Wir suchen eine Aufgabe, die sich von den Standardaufgaben unterscheidet. Oft handelt es sich nur um eine Ansammlung zufälliger Zeichen.
3. Auf der Registerkarte „Aktionen“ startet diese Aufgabe eine Datei wie „64gdfgsd2f.exe“ (der Name kann unterschiedlich sein).
4. Ein Botnetz versteckt sich normalerweise hinter Systemaktualisierungsdateien. Wir gehen zur Suchmaschine und sehen, was diese Datei auslöst.
5. Wir nutzen eine Suche in der Registry. Wir entfernen alle genauen Übereinstimmungen.

Am häufigsten befinden sich diese schädlichen Dateien unter C:\Benutzer\Benutzername\appdata.

Dies ist eine einfache Methode, wie Sie Stealth Miner selbst entfernen können. Sie können denselben Algorithmus verwenden, wenn Ihr Browser zu viele Anzeigen von Drittanbietern enthält, er automatisch geöffnet wird oder sich einfach seltsam verhält.

So schützen Sie sich in Zukunft

Es ist unmöglich, sich vollständig vor einem Miner-Bot zu schützen. Schließlich ist nichts im Internet völlig sicher. Die Ersteller von Malware liefern sich ein „Wettrüsten“ mit den Erstellern von Antivirensoftware, und normale Benutzer verstehen oft nicht, wohin sie wollen und welche Art von Datei im Hintergrund auf ihrem PC installiert wird.

Die Hauptanfälligkeit jedes Systems ist der menschliche Faktor. Um sich vor einem Botnet zu schützen, müssen Sie sorgfältig prüfen, welche Websites Sie besuchen, was Sie herunterladen und auf Ihrem Computer installieren. Wenn der Browser ständig anzeigt, dass diese Seite unsicher ist, ist es besser, sie nicht zu besuchen oder zumindest nichts von dort herunterzuladen.

Es ist auch nützlich, nach Gründen für Verzögerungen und Verlangsamungen auf Ihrem PC zu suchen. Wenn Ihr Computer plötzlich zu „verzögern“ beginnt und Sie die Einstellungen verringern müssen, um komfortabel spielen zu können, ist es sinnvoll, sich die laufenden Prozesse anzusehen Computer auf die Anwesenheit eines Miner-Bots.

Wer Schadsoftware erstellt, aktualisiert ständig Programme, um deren Erkennung zu erschweren. Es wird immer schwieriger, ein Botnetz zu erkennen. Aktualisieren Sie die Virendatenbanken auf Ihrem Computer. Antivirenprogramme garantieren zwar keinen Schutz vor versteckten Minern, achten jedoch inzwischen deutlich stärker darauf, um die weite Verbreitung von Software zu verhindern, die Computerressourcen für eigene Zwecke nutzt.

Abschluss

Hidden Miner ist schädliche Software. Obwohl es dem System keinen direkten Schaden zufügt, verlangsamt es den Computer erheblich.

Und wenn Sie nicht möchten, dass jemand die Ressourcen Ihres Computers zum persönlichen Vorteil nutzt, nutzen Sie die einfachen Tipps in diesem Artikel. Mit ihrer Hilfe können Sie einen Miner-Bot erkennen und entfernen.