Майнером или шифровальщиком?
Исследователи обнаружили странные свойства в программе Rakhni присланной по рассылке — она оценивает возможность получения прибыли и в зависимости от конфигурации системы. Далее она загружает на инфицированные устройства либо вымогательское ПО, либо майнер криптовалюты, — сообщается в докладе антивируса.
Из пояснения следует, что троян Rakhni написан на языке Delphi и распространяется довольно стандартным способом — посредством фишинговых писем с прикрепленным вредоносным документом Microsoft Word. Файл включает значок PDF, при нажатии на который запускается вредоносный исполняемый файл и на экране немедленно появляется сообщение об ошибке, объясняющее жертве, почему не запустился документ PDF.
Далее, решение о загрузке шифровальщика или майнера зависит от наличия папки %AppData%\Bitcoin. При ее наличии загрузчик скачает шифровальщик. В противном случае (при условии, что компьютер использует более двух логических процессоров) будет загружен майнер. Если на устройстве нет вышеуказанной папки и на компьютере доступен только один логический процессор, загрузчик сразу переходит к компоненту-червю для обеспечения запуска после перезагрузки устройства.
В целях замаскировать майнер под легитимный процесс с помощью утилиты CertMgr.exe вредоносная программа устанавливает фальшивые корневые сертификаты, якобы подписанные Microsoft и Adobe Systems.
География применения вируса пока только европейская. От стран СНГ до Германии.