Приложение для скрытого майнинга WinstarNssmMiner вызывает проблемы в работе Windows при обнаружении антивирусами. Об особенностях вредоносного ПО рассказали специалисты компании 360 Total Security.
Фактически после установки WinstarNssmMiner запускаются два процесса. Один выполняет майнинг Monero на компьютерах жертв. Второй следит за активностью антивирусного ПО.
Если WinstarNssmMiner находит антивирусы «Лаборатории Касперского» или Avast, то прекращает работу. Если же владелец компьютера запускает более мощный или специфичный антивирус, майнер начинает блокировать работу операционной системы. Он изменяет CriticalProcess, добавляя атрибут, который приводит к сбоям. Производительность компьютера падает, Windows может показать BSOD и т. д.
За три дня зафиксировано более 500 тыс. атак с применением WinstarNssmMiner. Известно, что его разработчики получили 26,5 тыс. долларов в Monero.