Хитроумный вирус
Как говорится в блоге компании, принцип действия WinstarNssmMiner строится вокруг внедрения вредоносного кода в svchost.exe. Вирус порождает два процесса: один добывает цифровую валюту, а второй – работая в фоновом режиме, следит за работой антивирусной программы.
На следующем этапе WinstarNssmMiner изменяет CriticalProcess, добавляя атрибут, который позволяет вредоносному ПО привести к сбою системы пользователя.
Кроме этого, WinstarNssmMiner сканирует зараженный компьютер на наличие антивирусных продуктов. Если он обнаружит антивирусы от «Лаборатории Касперского» или Avast, он прекратит свою работу. Однако, при использовании менее опасных антивирусных средств майнер будет пытаться всячески тормозить работу ОС, вызывать BSOD и мешать работе системы, пока он сам крадет вычислительную мощность компьютера.
Сообщается, что за последние три дня WinstarNssmMiner совершил полмиллиона атак, а его создатели заработали около $26500 долларов в Monero.