Майнинг крипты с одного компьютера или даже небольшой фермы сегодня является бесперспективным занятием, но если объединить множество компьютеров в ботнет, то из этого может что-то и выйти. С этой целью злоумышленники распространяют особый вид вредоносного ПО – майнеры, которые, проникнув на компьютер, используют вычислительные мощности его процессора и видеокарты.
Такие майнеры ведут себя тихо, так что пользователь может даже не подозревать о их наличии на своей машине.
Если что он и замечает, так это повышенную загрузку CPU и GPU, которую юзер списывает на другие причины. Скорее всего, так оно и будет, но лучше перестраховаться и просканировать систему на предмет заражения майнером.
Использовать для этих целей лучше всего специальные инструменты, например, MinerSearch.
Это бесплатная портативная утилита заточена под борьбу с вредоносным майнинговым софтом.
Будучи запущенной с параметрами по умолчанию, она выполняет следующие задачи:
- Ищет скрывающие майнеры руткиты;
- Проверяет наличие у системных и сторонних служб цифровой подписи;
- Сканирует на предмет подозрительных изменений в реестре и планировщике заданий;
- Сканирует процессы и в случае обнаружения вредоносного процесса завершает его работу;
- Проверяет папки, в которые «предпочитают» копироваться майнеры. В случае обнаружения вредоносного файла утилита помещает его в папку карантина minersearch_quarantine, находящуюся в каталоге с исполняемым файлом MinerSearch.
- Проверяет настройки брандмауэра.
Поиск угроз выполняется приложениям по сигнатурам, для дополнительных задач, например, пропуска проверки процессов или наоборот, проверки только процессов, используются аргументы командной строки.
Как пользоваться MinerSearch
Скачайте RAR-архив с утилитой со странички разработчика github.com/BlendLog/MinerSearch/releases и распакуйте его в любое удобное расположение. Архив запаролен, пароль от него указывается на странице загрузки для каждой версии.
Так как утилита не слишком дружит с антивирусами, желательно их на время отключить или добавить MinerSearch в список исключений. Также мы рекомендуем создать системную точку восстановления – на тот случай, если вдруг утилита заблокирует работу нужной вам программы или службы, ошибочно приняв их за майнер.
Запустив исполняемый файл сканера от имени администратора, нажмите кнопку «Принять».
После этого тут же будет запущена процедура проверки с использованием консольного интерфейса.
По завершении проверки утилита вернет одно из двух сообщений – «No threats found», если майнеры не будут обнаружены и «Found threats: №», если угрозы будут найдены. № в данном случае – это количество идентифицированных угроз.
Никаких действий со стороны пользователя сканер при работе в режиме по умолчанию не требует, вредоносные файлы деактивируются автоматически. Руткиты в этот список, однако, не входят. В случае обнаружения руткита последний будет удален без лишних слов, а запись об этом событии попадет в файл лога в расположении C:_MinerSearch_Logs.
Степень угрозы в нем обозначается значками.
[!!!] означает высокую степень угрозы,
[!!!!] – обнаружение руткита,
[!!] – заслуживающее внимание предупреждение.
Значок [+] указывает на удачную операцию,
[x] и [xxx] – на ошибки.
Для получения справки, выполните в запущенной с правами администратора командной строке MinerSearch.exe --help, предварительно перейдя в каталог с исполняемым файлом утилиты. MinerSearch поддерживается немногим больше дюжины ключей, некоторые из которых вам смогут пригодиться.