Киберпрестъпниците, които заразиха компютрите на потребителите на Yahoo в Европа, са планирали да създадат мащабна мрежа за генериране на бит-монети, пише CNET. Специалисти от компанията по сигурността Light Cyber разкриха тази седмица една от зловредните програми, насочена към използването на ресурсите на компютрите за извършването на изчисления за генериране на бит-монети, предаде Фокус.

Опасността беше открита по-рано този месец от компанията Fox IT. Вирусът е използвал слабост в Java, за да се инсталира в компютрите на потребителите, посетили рекламната страница на Yahoo ads.yahoo.com.

Компютърният „добив” на бит-монети не е рентабилен, защото разходите за електричество са по-високи от печалбата, обясняват от Light Cyber. Авторът на атаката всъщност е откраднал ресурсите на инфектираните компютри и го е направил в такъв голям мащаб, за да има печалба. Според наличната информация, атаката е продължила от 31 декември до 3 януари, когато Yahoo е свалил „заразните” реклами.

Засега компанията не е разкрила детайли за заразените устройства, нито е дала публично съвет какво да предприемат засегнатите потребители. Според фирмата по сигурността Surfright не всяка реклама в Yahoo е била заразна, но ако сме в Европа, имаме стара версия на Java и сме ползвали Yahoo Mail в последните дни, то компютърът ни може да е заразен.

Прочетете повече на: Най-опасният компютърен вирус на 2013 г.

От Light Cyber посочват, че комуникацията със следните интернет домейни е индикация, че компютърът е заразен:

• kmymmeiaoooigke.org

• bgdjstkwkbhagnp.org

• ceigqweqwaywiqgu.org

• smsfuzz.com

Комуникацията със следните интернет домейни и IP адреси може да означава, че компютърът е заразен:

blistartoncom.org

doesexisted.in

formsgained.in

funnyboobsonline.org

goodsdatums.in

locationmaking.in

mejudge.in

operatedalone.in

original-filmsonline.com

preferringbad.in

savedesiring.in

slaptoniktons.net

slaptonitkons.net

stopsadvise.in

yagerass.org

192.133.137.100

192.133.137.247

192.133.137.56

192.133.137.59

192.133.137.63

193.169.245.74

193.169.245.76

Наличието на следните файлове също е индикация, че устройството е заразено:

%windows%Installer{4A74FBA7-71A0-BEA1-F538-72E3D519AA4F}syshost.exe

%localappdata%cygwin1.dll

%localappdata%wuauclt.exe

%localappdata% emp????????.lnk (8 hex characters)

%localappdata% emp????????.exe (8 hex characters)

%localappdata% empvedefuzunwi.exe

%programdata%btmp0jtkyygiu.exe

c: empzcompute.exe

Потребителите със заразени компютри трябва да извършат антивирусно сканиране и да блокират домейните от списъка.