Новый вирус сам решает, чем заразит: майнером или шифровальщиком

Исследователи обнаружили странные свойства в программе Rakhni присланной по рассылке - она оценивает возможность получения прибыли и в зависимости от конфигурации системы. Далее она загружает на инфицированные устройства либо вымогательское ПО, либо майнер криптовалюты.

Об этом сообщается в докладе Лаборатории Касперского.

Из пояснения следует, что троян Rakhni написан на языке Delphi и распространяется довольно стандартным способом - посредством фишинговых писем с прикрепленным вредоносным документом Microsoft Word. Файл включает значок PDF, при нажатии на который запускается вредоносный исполняемый файл и на экране немедленно появляется сообщение об ошибке, объясняющее жертве, почему не запустился документ PDF.

Далее, решение о загрузке шифровальщика или майнера зависит от наличия папки %AppData%\Bitcoin. При ее наличии загрузчик скачает шифровальщик. В противном случае (при условии, что компьютер использует более двух логических процессоров) будет загружен майнер. Если на устройстве нет вышеуказанной папки и на компьютере доступен только один логический процессор, загрузчик сразу переходит к компоненту-червю для обеспечения запуска после перезагрузки устройства.

В целях замаскировать майнер под легитимный процесс с помощью утилиты CertMgr.exe вредоносная программа устанавливает фальшивые корневые сертификаты, якобы подписанные Microsoft и Adobe Systems.

География применения вируса пока только европейская. От стран СНГ до Германии.