Не все вирусы одинаково вредны. Специалисты по кибербезопасности из Qihii 360Netlab обнаружили очередной ботнет, связанный со скрытым майнингом криптовалюты Monero (XMR), который, в отличии от своих «коллег», не майнит криптовалюту за счет мощностей устройства ничего не подозревающих пользователей, а наоборот — удаляет такие майнеры.

Fbot основан на программе Mirai, которая используется для DDoS-атак, но с отключенным модулем атак. Вместо него работает функция поиска устройств с ПО для добычи криптовалют. Программа нацелена на поиск вредоносного скрипта com.ufo.miner — это разновидность майнера ADB.Miner для добычи Monero на устройствах с операционной системой Android.

Fbot сканирует сеть, распространяется через открытые порты. Когда он находит вредоносную программу, то устанавливается поверх и удаляет ее, затем ботнет самоуничтожается. Его сложно отследить, потому что программа использует не стандартную систему доменных имен, а ее децентрализованную альтернативу EmerDNS.

Почему это важно Кем и с какой целью связан первый «добрый» ботнет, неизвестно и даже есть версия, что таким образом производители вредоносного ПО могут устранять конкурентов. Специалисты по кибербезопасности отмечает важность того, что он использует EmerDNS. Это означает, что системам безопасности пора выходить на новый уровень. Пока они могут отслеживать только те вредоносные программы, которые используют традиционные DNS-имена.

Подписывайся на канал Crypto.Pro в Telegram — всегда свежие новости и обзор рынка