Ботнет уничтожает скрытых криптовалютных майнеров

Сотрудники фирмы по кибербезопасности Qihoo 360Netlab обнаружили новый ботнет, который вместо злонамеренных действий ищет и уничтожает программы для скрытого майнинга.

Необычный ботнет уничтожает скрытых криптовалютных майнеров

Ботнет называется Fbot, это своеобразная вариация так называемого Satori, который в свою очередь основывается на программе Mirai для DDoS-атак. Однако в случае с Fbot модуль для DDoS-атак деактивирован и заменён функцией поиска устройств с установленным ПО для скрытого майнинга.

По словам специалистов Qihoo 360Netlab, Fbot ищет вредоносную программу com.ufo.miner. Это вариация майнера Monero под названием ADB.Miner. В основном этот майнер используется на Android.

Программа распространяется через открытые порты, а затем удаляет com.ufo.miner, если находит его.

Принцип работы Fbot достаточно прост. Он сканирует сеть, распространяется по ней, устанавливается поверх вредоносного ПО, а затем самоуничтожаться.

Стоит отметить тот факт, что ботнет вместо стандартной системы доменных имён (DNS) использует децентрализованную альтернативу EmerDNS. Из-за этого адреса сложнее отследить и закрыть.

«Выбор Fbot в пользу EmerDNS вместо традиционной DNS довольно интересен. Это подняло планку для экспертов кибербезопасности, которым сложно отслеживать такой ботнет (системы безопасности не справляются, поскольку ищут лишь по традиционным DNS-именам)», — отмечают исследователи.

Возможно, Fbot создан с добрыми намерениями. Однако есть и вероятность, что эта программа разработана для устранения конкурентов на рынке.

Получайте 5 лучших статей дня на Email

Подписка на новости

Простая форма подписки MailerLite!

Пожалуйста, подождите

Вы успешно подписались на рассылку!