Японские аналитики из занимающейся кибербезопасностью фирмы, обнаружили нетипичный майнер. Исследователи из Trend Micro дали ему название KORKERDS. ПО проявляет необычное поведение в процессе работы, о чем написано на официальном ресурсе компании.
Пока нет достоверных сведений о том, каким образом вирус попадает в компьютеры. Есть большая вероятность, что он загружается вместе с определенным ПО. Аналитики из Trend Micro присвоили майнеру следующий идентификатор: Coinminer.Linux.KORKERDS.AB. Известно, что вредоносная программа запускает в компьютере жертвы процесс майнинга Monero (XMR).
Кроме того, в вирусном ПО содержится руткит – программа, необходимая для того чтобы скрывать процесс добычи от мониторинговых систем. Из-за этого пользователю оказывается крайне трудно выявить вмешательство в работу стороннего ПО, несмотря на то, что загрузка процессора увеличивается до 100% и все показывает на работу вируса.
Еще больше усложняет процесс выявления скрытого майнера другой руткит, который использует хуки для API readdir и readdir64, и библиотеки libc. Библиотечный файл переписывается и заменяется другим документом.
Вредоносный вариант файла readdir помогает скрыть работу майнера, и обнаружить его становится практически невозможно. Японские исследователи уверены, что KORKERDS опасен и для рядовых пользователей, работающих в системе Linux, а не только для серверов. Ранее работники из компании Palo Alto Networks опубликовали данные о том, что до 5% всего количества добытых монет Монеро, получены путем скрытого майнинга.