Un virus qui mine des cryptomonnaies plante votre PC si vous l'arrêtez

Par 
le 18 mai 2018 à 13:37
 0
Les virus ne sont pas rares et existent depuis aussi longtemps que l'informatique a été développé. Ceci étant dit, certains réussissent parfois à sortir du lot, soit par leur action, soit par la manière dont ils agissent sur les ordinateurs des victimes. « WinstarNssmMiner », nouveau virus minant de la cryptomonnaie fait partie de cette catégorie.

« WinstarNssmMiner », voilà le petit nom qu'a donné l'équipe de 360 Total Security au dernier virus conçu dans le but de faire miner des cryptomonnaies aux appareils qu'il infecte. Développé de manière redoutable, il est ainsi programmé afin de faire entièrement planter l'ordinateur victime au cas où son propriétaire tenterait de l'arrêter dans sa titanesque tâche. Les créateurs du virus auraient déjà empoché plus de 28 000 $ de cette manière, grâce à Monero. Plus de 500 000 attaques auraient été interceptées par la solution 360 Total Security en trois jours.

Fotolia virus bitcoin hacker


Un développement aussi brillant que destructeur



Bien que la manière dont « WinstarNssmMiner » infecte le PC de ses victimes soit encore un mystère, ce qui ne l'est pas, c'est la façon dont il agit une fois sur un ordinateur.

Il commence alors par scanner la solution antivirus qui y est installée. Si l'antivirus fait partie de ceux développés par les plus grands fabricants (Avast, Kaspersky, Bitdefender etc), le programme se met tout simplement en veille de façon à ne pas être détecté. Dans le cas d'un antivirus un peu plus marginal et non développé par l'un des plus grands constructeurs, le virus le désactive, tout simplement.

Une fois que l'analyse du fichier infecté s'est passée sans problème et que le virus est présent sur l'ordinateur cible, il crée immédiatement deux processus, y injecte du code malveillant puis définit leurs attributs comme « CriticalProcess ». Le travail peut alors commencer.

Pendant que le premier processus mine des cryptomonnaies, le second surveille le logiciel antivirus. La procédure du premier demandant énormément de ressources à l'ordinateur infecté, le second processus peut ainsi immédiatement arrêter l'opération dans le cas où l'antivirus se réveillerait et soupçonnerait une quelconque activité suspecte.

Le problème étant que, de toute façon, non seulement les antivirus ne sont pas capables de repérer les derniers virus en date, mais surtout que dans le cas où le propriétaire du PC essaierait de fermer manuellement les processus en cause via le gestionnaire de tâche, en les repérant grâce à leur consommation de ressources anormalement haute, la seule chose qu'il obtiendrait serait le tristement célèbre blue screen.

Fotolia Blue Screen of Death


Un virus basé sur XMRig



D'après les dernières informations, le virus s'appuierait sur un projet d'exploitation de la cryptomonnaie open source appelé XMRig, spécialement développé pour travailler sur Monero. Ce système aurait déjà été utilisé fin 2017 par un présumé pirate Russe qui s'en serait servi au sein d'un mod pour le jeu vidéo GTA V.

Une fois que le mod était installé par un joueur, le cheval de Troie qu'il contenait cachait alors le mineur de cryptomonnaie en tant qu'application légitime au sein de la machine infectée et démarrait ensuite ses opérations de minage. Là encore, l'extraction demandant énormément de ressources à la machine, le programme était conçu de manière à s'arrêter et disparaître immédiatement de la liste des processus une fois le gestionnaire de tâches ouvert par l'utilisateur, de façon à ne pas pouvoir être stoppé.


Modifié le 01/06/2018 à 15h36
Cet article vous a intéressé ?
Abonnez-vous à la newsletter et recevez chaque jour, le meilleur de l’actu high-tech et du numérique.

Dernières actualités

Google va s’adapter aux exigences de l’Union européenne et annonce qu’il donnera aux utilisateurs Android une meilleure visibilité aux alternatives à Chrome et à son moteur de recherche.
18:02 | Android
L’entreprise NVIDIA a fait la démonstration de son dernier logiciel à base d’intelligence artificielle. Celui-ci est capable d’interpréter des gribouillis sommaires et de les transformer en œuvres d’art.
17:33 | NVIDIA
La SNCF facilite l’achat de billets de train en intégrant son service de réservation dans la messagerie de Facebook. Le groupe ferroviaire veut se rapprocher de ses clients et leur offrir plus de souplesse dans l’organisation de leurs voyages.
17:04 | E-commerce
Après les iPad et les iMac, Apple poursuit le renouvellement de sa gamme en commercialisant une nouvelle version de ses écouteurs true wireless, les AirPods. A ses côtés, vient s’inviter un boîtier de recharge sans fil.
Vous aimez vibrer devant vos films préférés mais malheureusement votre système son est médiocre ? Dans ce cas, on a ce qu'il vous faut ! Rien de tel qu'un bon plan sur la barre de son BOSE Solo 5 à 219,99€ en ce moment chez Darty.
16:30 | Bon plan
Ce mardi, HP a présenté son Envy x360 15, un laptop convertible de 15,6 pouces. Équipé, au choix, d’APUs Ryzen de troisième génération ou de puces estampillées Intel Core, l’appareil arrivera sur le marché en avril prochain, à partir 800 dollars dans ses déclinaisons motorisées par AMD.
Le norvégien Opera propose désormais un VPN gratuit et illimité sur son application Android. Cette nouveauté pourrait permettre à l’entreprise, cotée en bourse depuis près d’un an, de gagner en compétitivité face à ses concurrents directs sur le marché du navigateur mobile.
15:37 | Opera
Une fois n’est pas coutume, nous voici de retour pour non pas pour vous jouer un mauvais tour, mais bien pour vous proposer quelques bons plans dont nous avons le secret. Car vous le savez, chez Clubic, la Team Bons Plans reste continuellement à l’affût des meilleures offres proposées chaque jours par les grandes enseignes de la vente en ligne.
Amazon Italie a malencontreusement publié la fiche produit du Huawei P30 Pro. L’occasion de découvrir son prix et ses caractéristiques avant sa présentation officielle le 26 mars prochain.
Respawn a profité de la mise à jour du jeu et du lancement de la saison 1 pour annoncer avoir interdit un demi-million de comptes qui ont pu se livrer à de la triche.
Avec un renforcement de l’arsenal répressif, les autorités pourront infliger de lourdes amendes aux médias accusés de diffuser des fake news sur la toile en Russie, et à celles ou ceux qui crient trop violemment leur opposition au Kremlin.
Le service de prise de rendez-vous médicaux en ligne a annoncé une nouvelle levée de fonds de 150 millions d’euros réalisée auprès de différents investisseurs.
13:50 | E-business
La décision est tombée. La Commission européenne a annoncé, ce mercredi, avoir infligé une amende dépassant le milliard d’euros au géant américain, pour avoir abusé de la position dominante de sa régie publicitaire.
13:30 | Google
Microsoft a annoncé le support par DirectX 12 du VRS (Variable Rate Shading). Cette technologie permet notamment aux développeurs de prioriser l’ajout d’ombres sur les zones d’une image qui en ont le plus besoin, économisant ainsi des ressources sur les zones où la qualité de l’ombrage est moins importante. Un bon moyen d’optimiser les performances d’un jeu sans trop impacter son attrait sur le plan visuel.
Hier soir, Google a présenté officiellement Stadia, son service de jeu en streaming... qui n'a pas du tout convaincu un certain Emmanuel Freund, co-fondateur de Shadow.
scroll top