Hellminer.exe es un proceso que puedes ver en el Administrador de tareas que indica una actividad de software malicioso. Destaca por la alta carga de CPU que genera., haciendo que el sistema sea mucho menos receptivo. Averigüemos qué es este proceso., y como deshacerse de él.
El malware Hellminer tiene potencial para atacar una amplia gama de dispositivos, Del IoT a los clusters de servidores. El objetivo final de su actividad es generar beneficios para sus dueños con el uso de su hardware.. Ignorar la actividad de este programa malicioso puede provocar Fallo prematuro del hardware y deterioro general del rendimiento..
¿Qué es el proceso Hellminer.exe??
Este es un proceso asociado con un minero de monedas malicioso.. Este tipo de malware tiene como objetivo explotar el hardware del sistema para extraer criptomonedas., principalmente DarkCoin y Monero. Para maximizar las ganancias, Los piratas informáticos que están detrás de este malware establecen enormes redes de ordenadores infectados.. Hellminer toma hasta 80% de potencia de CPU para obtener un rendimiento minero sustancial, haciendo que el sistema sea lento e incómodo de usar.
Los mineros maliciosos como este normalmente ingresan a los sistemas de los usuarios a través de publicidad maliciosa en la Web., o con el uso de malware cuentagotas. Aunque ambos se están extendiendo son comúnmente utilizados por otro malware, lo que significa el riesgo de que Hellminer no sea la única infección que se ejecuta en el sistema.
Este malware parece ser diferente de otros mineros., como no está basado en XMRig, un popular software de minería de código abierto. En cambio, parece estar escrito en Python, y es probable que sea un desarrollo privado. Veamos otras cosas interesantes. He encontrado durante el análisis.
Análisis de malware Hellminer
No está del todo claro cómo ingresa Hellminer al sistema.; Sospecho que no es muy diferente de cómo los mineros de malware suelen propagarse: a través de malware y publicidad maliciosa.. Después del lanzamiento, el malware comienza con una selección de comprobaciones anti-VM y anti-depuración.
Usando las llamadas a WMI, obtiene la información sobre la CPU, tratando de encontrar cualquier signo de virtualización. La razón por la que no creo que sea sólo una recopilación de información inmediata es porque el siguiente paso es enumerar los servicios y procesos. Hellminer busca específicamente rastros del entorno de virtualización VMWare. Después de estos controles, la carga útil principal está desplegada. Aunque, El malware también puede utilizar la información recopilada en esta etapa., para configurar el proceso de minería o como parte de la huella digital del sistema.
wmic cpu get Name,CurrentClockSpeed,L2CacheSize,L3CacheSize,Description,Caption,Manufacturer /format:list
La toma de huellas dactilares comienza con otra llamada a WMIC, wmic os obtener versión. El malware intenta recibir una información bastante básica., si no escaso, conjunto de datos: solo la información sobre el sistema operativo. Después de eso, El malware gana persistencia mediante la manipulación. con otro comando y serie de cambios en el registro de Windows.
%windir%\System32\svchost.exe -k WerSvcGroup – iniciar el servicio de informes de errores de Windows para que ejecute el malware. Esto aumenta el nivel de privilegios que tiene el programa malicioso., proporcionándole también un disfraz.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_USE_IETLDLIST_FOR_DOMAIN_DETERMINATION
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Security – cambiar las políticas de seguridad de la red.
La ronda final de perseverancia implica otra llamada a WMI, específicamente a su Servicio de Adaptación. Hellminer lo obliga a lanzar recursivamente la carga útil, asegurando la ejecución continua. Este comando específico también es parte de la asignación de recursos para el proceso de minería..
wmiadap.exe /F /T /R
Conectividad del servidor de comandos
Igual que otros mineros de malware, Hellminer no tiene ninguna comunicación C2 extensa. Después de terminar los pasos anteriores, envía el blob de información del sistema al servidor de comandos, notificándole efectivamente sobre la preparación. C2 devuelve el archivo de configuración, que especifica el grupo de minería y la dirección IP para conectarse a.
Aún, hay una cosa que llama la atención – la forma de servidores de comando utilizados por este malware. No parecen C2 de un modelo clásico., en lugar de ser uno de igual a igual. En tal red, el papel de servidor de comando se asigna a una de las computadoras infectadas. El servidor "real" se comunica esporádicamente con uno, recuperar la información sobre los nuevos dispositivos y asignar el siguiente sistema para obtener el rol C2. Esto aumenta drásticamente la sostenibilidad de la red., haciendo que sea particularmente difícil interrumpir a través de la interrupción del servidor de comando.
Durante el análisis, He detectado estos servidores de comando:
- 20.99.184.37:443
- 20.99.186.246:443
- 23.216.147.64:443
- 192.229.211.108:80
- 20.99.133.109:443
Guía de eliminación de Hellminer.exe
Eliminación del malware Hellminer requiere escaneo de software antimalware. Estas amenazas suelen duplicarse en numerosas carpetas del sistema., cada uno actúa como respaldo. GridinSoft Anti-Malware es lo que eliminaría el minero malicioso y todas sus copias en cuestión de minutos.. Iniciar un análisis completo, y deja que termine - esto asegurará que su sistema esté como nuevo.
La actividad del malware minero siempre se correlaciona con los precios de las criptomonedas. En este momento, estan en aumento, lo que significa que cada vez más estafadores optarán por este malware. La forma típica de propagación de los mineros maliciosos es la publicidad maliciosa., particularmente aquellos en los motores de búsqueda. Evitarlo requiere atención del usuario: Por lo general, imitan sitios legítimos que difunden software gratuito., pero siempre tiene una diferente, URL destrozada.
