Поймал вирус vannersh-smi.exe и стал жертвой майнера!

Начинаю с ходу. Ночью компьютер попросил перезагрузки после установки одной программы (она никак не связана с темой). После того как комп ожил и я вошел в систему, а это Win10, мой комп дал такого жару, что я заметил капельки пота на его корпусе, комп начал свистеть, шипеть и почти загорелся (немного утрировал). Я быстренько схватил огнетушитель, мало ли что в жизни бывает, и открыл диспетчер задач. Процессор был загружен стабильно под 70%. Имя тому виновнику-процессу 464464… Что немного как бы заставляет задуматься.

Что ты такое?

В диспетчере задач в свойствах процесса посмотрел имя и расположение файла, который его запускает. Им оказался файл vannersh-smi.exe, и лежал он на диске ЦЫ в папке lan. При этом он там появился еще месяц назад. Вместе с ним в папке есть еще два интересных файла Xot.exe (о нем мы еще поговорим) и текстовый файл, его название и содержимое можно посмотреть на картинке ниже.

vannersh-smi.exe
vannersh-smi.exe

Удаление!!! Что?! Если это вирус, то зачем писать инструкцию, как его удалить. Но тем не менее. В файле указаны пути к папкам автозагрузки. Туда помещаются ярлыки несистемных приложений, которые запускаются в момент входа пользователя в систему. В папке с автозагрузкой лежал еще один ярлык – с тем самым Xot.exe. Да и в запущенных процессах Xot.exe тоже висел.

TrayIt! Helper
TrayIt! Helper

Откуда ты взялось?

Оказалось, что за Xot.exe скрыта утилита TrayIt! Helper. Она позволяет свернуть программу в системный трей, т.е. запущенное приложение не будет отображаться в панели задач, а улетит в трей, который находится справа на панели задач и разворачивается при клике на маленькую стрелочку. Обычно там размещаются фоновые приложения.

TrayIt! Helper

В трее видно иконку защитника Виндовс, его такая обстановка вполне устраивает, и он не жалуется. Других антивирусов у меня нет. Если у вас встречалась подобная ситуация, напишите комментарий, возможно, антивирусы ловят такие штучки.

TrayIt! Helper

Само приложение очень простое, список открытых окон, выбираешь нужное и сворачиваешь в трей. Свернуть окошко можно также нажав на крестик в углу окна не левой кнопкой мыши, как это обычно, а правой. Ниже скрин с информацией о приложении, может кому будет интересно потренить свой пёрфэктинглишь.

TrayIt! Helper

Так все-таки – что ты такое?

Что касается самого файлика vannersh-smi.exe, то поисковики выдали всего одну страничку на мэйл-ответах. При этом она довольно свеженькая, всего двухнедельной давности. Ответы знатоков не порадовали, кроме одного: «Подозреваю, что это вирус майнер», — сказал этот святой человек. И да он оказался прав. Примерно так они и работают. Понятия не имею как вирусняк попал на мой комп, но скорее всего с каким-то софтом. Криптовирус запускался при входе в систему и сразу сворачивался в трей, затем раб-процессор майнил своему хозяину денежку, ну или что ему там нужно. Как процессору, так и бедному компьютеру от этого естественно нехорошо, да и как-то майнить за кого-то – дело неблагодарное.

Я сначала подумал мало ли это архивчик. Но .zip и .rar отказались открываться. Потом попробовал посмотреть файлик подробнее через дедовский hex-редактор hiew (он довольно функционален, там нет ничего лишнего, советую). По-видимому это исполняемый файл, к тому же с сигнатурой MZ. Значит это и есть исполняемый файл. Изначально в DOS системах MZ пришел на замену COM-файлам. Сейчас от обычного исполняемого PE он отличается тем, что используется в качестве заглушки для запуска на MS-DOS для вывода сообщения «This program cannot be run in DOS mode».

vannersh-smi.exe
vannersh-smi.exe

Избавляемся от нелегала

Удаляется все это дело очень просто и безобидно кнопочкой Del (лучше Shift+Del), но предварительно удалив процессы, связанные с vannersh-smi.exe и TrayIt!, ярлыки из автозапуска тоже удаляем.

Папочку с майнером засейвил. Кто хочет поиграться с ней пишите в комменты, поделюсь с удовольствием. Кто шарит за это – дайте знать. Ну а кто просто хочет помочь майнерам, то милости прошу – запускайте🙃


Не болейте вирусами!)))

И подписывайтесь на нас в Яндекс.Дзен


Ключевые слова: вирус, криптовирус, системный трей, майнинг

Возможно, Вам понравится:

guest
10 комментариев
Старые
Новые Популярные
Межтекстовые Отзывы
Посмотреть все комментарии
Сид
Сид
7 месяцев назад

Интересненько

Хлебник
Хлебник
7 месяцев назад

А появился он откуда? Какие софты и скрипты были скачаны?

qustax
qustax
5 месяцев назад
Ответить на  macsoun

скорее всего визио, у меня тоже после установки паленого визио этот паразит появился

мимо_крокодил
мимо_крокодил
7 месяцев назад

Хешик в VT не засылали?

Иван
Иван
1 месяц назад

Хочу поиграть с папкой, подскажите как

10
0
Оставьте комментарий! Напишите, что думаете по поводу статьи.x
()
x