Złośliwe oprogramowanie znalezione na Yahoo sprawia, że ​​komputery PC wydobywają Bitcoiny

Złośliwe oprogramowanie znalezione na Yahoo sprawia, że ​​komputery PC wydobywają Bitcoiny.

Ciekawa wiadomość: badacze z firmy zajmującej się bezpieczeństwem Light Cyber ​​​​ujawnili złośliwe oprogramowanie wykryte w reklamach Yahoo, które instaluje się na komputerach użytkowników i wykorzystuje je do wydobywania Bitcoinów dla własnych korzyści (tj. od twórcy złośliwego oprogramowania). . Wszyscy użytkownicy, którzy sprawdzili pocztę e-mail Yahoo w ciągu ostatniego tygodnia, są potencjalnie zainfekowani. Przekazujemy Ci wszystkie znane szczegóły i informacje o tym, jak rozpoznać, czy jesteś zarażony.

Złośliwe oprogramowanie wykorzystuje lukę w Javie, aby zainstalować się na komputerze klienckim i zmusić go do wykonania obliczeń dla sieci Bitcoin. To złośliwe oprogramowanie zostało zauważone na serwerze reklamowym Yahoo (ads.yahoo.com) i chociaż nie wszyscy użytkownicy, którzy widzieli lub kliknęli reklamę, są zainfekowani, firma nie ujawniła szczegółów dotyczących zainfekowanych komputerów ani tego, co należy zrobić, aby zapobiec lub naprawić problem. Zgodnie z tym, co mówi Light Cyber, potencjalnie zainfekowani są jednak wszyscy użytkownicy, którzy w ciągu ostatnich 7 dni sprawdzali swoją pocztę na Yahoo i którzy nie mają zaktualizowanej wersji Javy.

Poniżej wskazujemy, jak rozpoznać, czy jesteś zarażony i jak zapobiegawczo go rozwiązać. To trochę archaiczne rozwiązanie, ale ponieważ wszystko, co zrobili, to opublikowanie domen kontaktowych złośliwego oprogramowania, jest to jedyna opcja, o której możemy w tej chwili pomyśleć.

• Aby rozpocząć, zaktualizuj wersję Java (z Panelu sterowania Windows i wybierając Java możesz to zrobić).
• Sprawdź, czy komputer nie obciąża karty graficznej, gdy nic nie robisz. Możesz to zobaczyć za pomocą programów takich jak Open Hardware Monitor, który jest bezpłatny.

Teraz powiemy ci, jak na pewno wiedzieć, czy jesteś zarażony.

• Otwórz konsolę poleceń (Na klawiaturze naciśnij klawisz Windows + R, wpisz „CMD” bez cudzysłowów i kliknij OK).

• Wpisz polecenie netstat -n i naciśnij klawisz ENTER. Zalecamy zrobić to bez otwartej przeglądarki internetowej, klienta BitTorrent lub jakiejkolwiek innej aplikacji korzystającej z połączenia internetowego. Zminimalizuje to liczbę wyników i łatwiej będzie wykonać filtr w następnym kroku. Otrzymasz okno jak poniżej:

• Sprawdź, czy żaden z wyświetlonych adresów nie odpowiada poniższej liście:
  • kmymmeiaoooigke.org
  • bgdjstkwkbhagnp.org
  • ceigqweqwaywiqgu.org
  • smsfuzz.com
  • blistartoncom.org
  • istnieje.w
  • formularzezyskane.in
  • śmieszneboobsonline.org
  • dane towarów.in
  • tworzenie lokalizacji.in
  • mejudge.in
  • operowany sam.in
  • original-filmsonline.com
  • preferujezły.in
  • zapisane pragnienie.in
  • slaptoniktons.net
  • slaptonitkons.net
  • stopsadvise.in
  • yagerass.org
  • 192.133.137.100
  • 192.133.137.247
  • 192.133.137.56
  • 192.133.137.59
  • 192.133.137.63
  • 193.169.245.74
  • 193.169.245.76

Wykonanie powyższego sprawdzenia nie zapewnia jednak, że nie jesteś zainfekowany, po prostu upewnia się, że złośliwe oprogramowanie nie jest aktualnie uruchomione. Innym sposobem sprawdzenia, czy jesteś zainfekowany, jest sprawdzenie, czy istnieją następujące pliki:

• %windows%Instalator{4A74FBA7-71A0-BEA1-F538-72E3D519AA4F}syshost.exe
• %localappdata%cygwin1.dll
• %localappdata%wuauclt.exe
• %localappdata%temp????????.lnk (8 znaków szesnastkowych)
• %localappdata%temp????????.exe (8 znaków szesnastkowych)
• %localappdata%tempvedefuzunwi.exe
• %programdata%bbtmp0jtkyygiu.exe
• c:tempzcompute.exe

Jeśli nie jesteś zarażony, gratulacje. Upewnij się jednak, że masz najnowszą wersję Javy i aktualny program antywirusowy. W przypadku wykrycia, że ​​jesteś zainfekowany, zaleca się uruchomienie komputera w trybie awaryjnym i uruchomienie zarówno zwykłego programu antywirusowego, jak i bezpłatnego narzędzia o nazwie MalwareBytes. To jest nasza rekomendacja, nie ma oficjalnego rozwiązania od Yahoo.

Z drugiej strony istnieje więcej sposobów, aby przynajmniej uniemożliwić działanie złośliwego oprogramowania: poprzez edycję pliku Hosts (tylko systemy Windows). Aby to zrobić, wykonaj następujące czynności:

• Otwórz plik HOSTS za pomocą Notatnika. Znajduje się w następującej ścieżce w zależności od systemu operacyjnego.

Po otwarciu musisz dodać listę adresów, które pokazaliśmy ci wcześniej, aby sprawdzić za pomocą polecenia netstat -n i ustawić ich trasę do 127.0.0.1. Odbywa się to poprzez wpisanie najpierw adresu, wciskamy tabulator, a następnie 127.0.0.1. Przykład:

Możesz także spróbować usunąć pliki, które wcześniej sprawdziliśmy, ale jest bardzo prawdopodobne, że system ci na to nie pozwoli, ponieważ będą one używane.

Mamy nadzieję, że nie jesteś zarażony, a jeśli tak, to ten mały artykuł pomoże ci go rozwiązać. W tej chwili możemy to zrobić, dopóki nie opublikują oficjalnego rozwiązania problemu.