WinstarNssmMiner ce crypto-mineur malveillant que l'on ne peut pas arrêter

Par:
fredericmazue

ven, 18/05/2018 - 16:03

Décidemment l'imagination des cybercriminels est sans limite. 360 Total Security a publié un très intéressant billet technique sur le fonctionnement de WinstartNssmMiner sous Windows.

La grande tendance chez les cybercriminels est le minage de crypto-monnaie utilisant les ressources matérielles de leurs victimes.WinstarNssmMiner est l'un de ces logiciles mineurs malveillants. Il rapporterait très gros à un goupe de cybercriminels en minant de la crypto-monnaie Monero sur de très nombreuses machines infectées, selon 360 Total Security.

Très étonnamment, explique la société de sécurité, ce malware évite les confrontations avec les solutions anti-virus du commerce comme Kaspersky. Si une telle solution est présente sur la machine attaquée, WinstarNssmMiner ne s'y installe pas.

Par contre s'il ne rencontre pas d'anti-virus il s'installe sous la forme de deux processus services hébergés par svchost.exe. L'un des services surveille l'éventuelle arrivée d'un antivirus, et dans ce cas WinstarNssmMiner disparaîtra. L'autre service est le mineur de cryptomonnaie proprement dit. L'attribut processus de ce second service est positionné à 'CriticalProcess'. Ceci pour le cas où un utilisateur averti remarquerait sa présence. Ce positionnement sur 'CriticalProcess' fait que si un utilisateur averti remarque le malware dans son gestionnaire des tâches et essaie de le supprimer, son système se bloquera...


WinstarNssmMiner recherche la présence d'un anti-vrus sur la machine attaquée