Скрытый майнинг: как узнать, что вы стали жертвой?

Скрытый майнинг: как узнать, что вы стали жертвой?

Существуют три популярные операционные системы для домашних компьютеров: Linux, OS X и Windows. Архитектура первых двух снижает риски подхватить нечто нехорошее, а малый процент популярности снижает интерес со стороны «вирусописателей» почти до нуля. Но вне зависимости от используемой ОС, не стоит открывать незнакомые файлы из электронного письма – всегда есть шанс подхватить вирус-майнер.

Самые примитивные вирусы-майнеры используют мощности зараженной машины по полной, и пользователь в итоге замечает, что компьютер начинает тормозить. Такой майнер несложно обнаружить, открыв диспетчер задач (Task manager), и найдя процесс, потребляющий почти все ресурсы. Майнер может маскироваться под процессы популярных программ или системные процессы - chrome.exe, steam.exe, svchost.exe и так далее. Распознать подделку можно по месту расположения файла (правой кнопкой по процессу -> открыть место хранения файла) или по пользователю, с правами которого работает процесс (системные процессы не работают под правами пользователя). В этом случае все просто - убиваете процесс, чистите компьютер, вспоминаете, где могли заразиться, и делаете выводы.

Но подобных программ для скрытого майнинга становится все меньше. Каждая блондинка знает, что «если компьютер тормозит, значит там вирусы», и нужно отнести его знакомому айтишнику. Поэтому программы маскируются.

Самый простой способ скрыться - запустить майнер как службу. В этом случае в диспетчере задач не будет отдельного процесса, а пожирать процессорное время будет легальный системный процесс svchost.exe, убив который можно повесить всю систему. В такой ситуации можно открыть список служб системы (через msconfig.exe или оснастку) и искать подозрительные службы, но есть способ проще. Программа Process Explorer позволяет увидеть, какие службы используют тот или иной svchost.exe. Находим самый «жрущий» процесс, смотрим, какие службы его используют, вооружаемся гуглом, читаем о каждой службе и находим виновника.

Второй очевидный способ оставаться для майнера незаметным - умерить свои аппетиты. В этом случае майнер следит за работой системы и выключается при запуске тяжелых приложений (игр, например). Даже если компьютер простаивает, майнер может использовать не все доступные мощности, чтобы не выдать себя повышенными оборотами кулера процессора, например. В этом случае, единственный способ - запуск диспетчера задач и анализа всех процессов в поисках подозрительных.

Но некоторые майнеры засекают запуск диспетчера и прекращают свою деятельность. Часть майнеров даже закрывают диспетчер задач через некоторое время, если его оставить открытым. Так что, если вы помните, что диспетчер задач не закрывали, а он оказался незапущенным, то самое время насторожиться. В этом случае могут помочь альтернативные диспетчеры процессов (тот же ProcessExplorer) или утилиты для мониторинга, позволяющие выводить на рабочий стол виджеты с графиками нагрузки (например, AIDA64). Выводите графики и внимательно наблюдайте.

Ну и самый опасный вариант - полноценный руткит на системе, скрывающий деятельность майнера. Дело в том, что все программы, в том числе и антивирусы, используются системными функциями для своей работы. С помощью руткита, например, гипотетическая функция «показать все процессы» может быть заменена на функцию «показать все процессы кроме miner.exe».

Таким образом, ни один антивирус и диспетчер процессов не смогут обнаружить зловредную программу. Руткиты встречаются намного реже, чем обычные зловредные программы, и в операционной системе имеются средства борьбы с ними, но шанс поймать нечто подобное ненулевой. В таком случае обнаружить майнер можно только по сетевой активности, причем активность нужно считывать не с компьютера, а с роутера или специально поднятого на другом компьютере прокси-сервера. Оставленный в покое компьютер почти не общается с интернетом, и постоянные общения майнера с майнинг-пулом будут заметны.

Мобильные устройства тоже становятся жертвами скрытого майнинга, но в отличие от персональных компьютеров, возможностей скрыться на смартфоне у майнера не так много.

Во-первых, современные смартфоны большую часть времени находятся в режиме пониженного энергопотребления («спят»), и запуск на них ресурсоемкого приложения сразу скажется на времени жизни устройства после зарядки.

Во-вторых, смартфоны позволяют получать информацию об энергопотреблении каждого приложения, что не оставляет майнеру почти никаких шансов, если владелец устройства хотя бы немного в теме. Гипотетический «фонарик» с функциями майнера будет сразу же вычислен и удален, как только владелец устройства заметит нагрев смартфона и уменьшение его «времени жизни».

Поэтому единственная возможность майнить остается только в то время, когда приложение запущено и выполняет свою функцию. Например, приложение для просмотра футбольных матчей PlacarTV майнило криптовалюту во время просмотра матча пользователем. Так как просмотр видео сам по себе нагружает устройство и расходует заряд, никто подвоха не замечал. Сейчас это приложение удалено из Google Play. При этом, скрытый майнер лежал в официальном магазине приложений и был скачан около 100 000 раз. Так что, даже если не ставить сомнительные APK, шанс подхватить опасную программу все равно остается. В этом плане смартфоны Apple и Microsoft безопаснее. Apple из-за полного контроля и отгороженности экосистемы, а Microsoft… потому что их смартфоны никому не нужны, даже самой компании.

Поделиться:

Главные новости криптовалют. Информационное издание LetKnow.News стремиться к самым высоким журналистским стандартам. Хотите поделиться своим опытом и знаниями, стать частью команды? Свяжитесь с нами по адресу news@letknow.com