Gridinsoft Logo

Qu'est-ce que le Malware Coin Miner? Explication du Trojan CoinMiner

Coin Miner est un logiciel malveillant qui se concentre sur la génération de cryptomonnaies en les minant sur le CPU ou le GPU des victimes.

Vous pourriez être intéressé par nos autres outils antivirus:
Trojan Killer, and Online Virus Scanner.

Qu'est-ce que Coin Miner? | Malware CoinMiner | Gridinsoft

Malware CoinMiner

January 14, 2024

Le minage de cryptomonnaie est devenu une ruée vers l'or du XXIe siècle. Tout le monde en a entendu parler, et de nombreuses personnes ont commencé à l'utiliser comme source de revenus supplémentaires, voire principale. Cependant, les grosses sommes d'argent attirent non seulement les riches, mais aussi les voyous qui visent à s'approprier cet argent ou à faire travailler quelqu'un d'autre pour s'enrichir.

Coin Miner est un type de logiciel malveillant qui utilise les éléments matériels de l\'ordinateur de la victime pour miner des cryptomonnaies. Le plus souvent, les criminels qui contrôlent ce virus de minage (Monero (XMR) ou (Litecoin par exemple), car ce sont les plus faciles à miner. Ils peuvent utiliser un logiciel similaire ou même identique à celui utilisé pour le minage légitime, mais avec une différence clé: les personnes dont le matériel est utilisé n'ont jamais donné leur accord.

En général, les malwares de minage de cryptomonnaie visent principalement le CPU de l'utilisateur. Cela se produit parce qu'il y a un assez grand nombre d'ordinateurs, en particulier dans les bureaux, où aucun GPU n'est présent. Même si le minage avec GPU est beaucoup plus efficace de plusieurs ordres de grandeur, il est important pour les criminels de le lancer avec succès sur chaque ordinateur qu'ils envahissent. Ils substituent la qualité par la quantité, ce qui est assez efficace avec les cryptomonnaies choisies.

Comment fonctionne le Malware CoinMiner?

Comme mentionné précédemment, les mineurs de cryptomonnaie font presque les mêmes choses que les mineurs légitimes, et utilisent parfois le même code source - à partir d'outils open source. Ils se concentrent sur le calcul d'un hachage de bloc de transaction en utilisant le matériel. Selon la cryptomonnaie, le hachage peut comporter 64, 128, 256 caractères ou plus. Cette opération est nécessaire pour ajouter les informations de transaction à une blockchain, un grand livre mondial unique pour chaque cryptomonnaie.

Schéma de minage de cryptomonnaie

Les GPU sont bien plus efficaces que les CPU pour cette tâche, car ils possèdent des milliers de cœurs d'exécution, contrairement aux CPU qui en ont généralement de 4 à 8. C'est pourquoi vous avez probablement entendu parler de l'augmentation du prix des cartes graphiques lors de la dernière flambée des cryptomonnaies. Vous pouvez toujours effectuer le minage avec un processeur, mais la tâche de calcul du hachage est sensible au temps. Si vous ne le terminez pas à temps, quelqu'un d'autre recevra une récompense pour l'avoir fait plus rapidement. Pour atténuer ce problème des deux côtés, les criminels optent pour des cryptomonnaies faciles à miner et piratent des centaines d'ordinateurs pour les ajouter à leur réseau. Ainsi, même avec d'anciens et faibles CPU, leur nombre compensera leur puissance.

Les malwares de minage de cryptomonnaie subordonnent généralement le serveur de commande, n'ayant que de petites choses à décider de manière autonome. Cependant, la configuration initiale du mineur de cryptomonnaie se produit presque toujours indépendamment du serveur - car la propagation est à grande échelle. Après sa configuration, le malware se connecte au serveur, récupère les instructions unifiées et commence à s'exécuter. Pour rendre cette connexion plus furtive, les criminels louent un serveur sur un hébergement bien connu - heureusement pour eux, ils utilisent les paiements en cryptomonnaie de nos jours.

Échantillons de Trojan CoinMiner trouvés en 2024:

Trojan.Win32.CoinMiner.cc605003d50ab9468473ab3a24c6462be3cf02a5bb83e23cd6d7ed8238dd2ccb69
Trojan.Win32.CoinMiner.nsde2d17dcc2b8c55cc0c100c93b19d5b8e73896f67bcc7b144244bfbb809af513
Trojan.Win64.CoinMiner.oa!s1af36bb1797146886b03ff5c1baaa112e5a096fe44fdaeb8c3697c69312cd5611
Trojan.Win64.CoinMiner.dd!s1e138a195780a9d12308a70be78d4f796aa0718f5c3017a31f6785382bf56c9f4
Trojan.Win64.CoinMiner.ca41de08416967de58073203a4a231c2b6d93511a1880d1ec5786a3cb0c1b63f42
Trojan.Win32.CoinMiner.clddfc306f2b44e1bc8a7e7a8a69ae2e8d369b20d80bd69b8193c204d1ef5b622e8
Risk.Win64.CoinMiner.sd!nibb2a99f47c0b61fdb158b13ea673cdc2661a665c1a201ed7d0a9dca89db2d110
Trojan.Win64.CoinMiner.ca00748d7ea4ccfb6fc6ff59e3fe24c46b862ab3dd9c562ff6b13b5dfb31326bc6
Trojan.Win32.CoinMiner.nsbc2c60349051bed87ef9a8cea28984a498f1b0f3b868868315b67c0dfd9ecf81
Trojan.Win64.CoinMiner.caa67109836839f25002d6a6e56666d6f94f7aafbd9a57c344b03b7ce55c69a32e

Comment attrape-t-on un virus Coin Miner?

La plupart des mineurs de cryptomonnaie s'introduisent dans votre PC sous forme de chevaux de Troie - déguisés en applications ou outils légitimes. La manière exacte dont ils se propagent peut différer en fonction de la décision d'un criminel qui gère la distribution. Mais en général, vous rencontrerez le mineur de cryptomonnaie dans des applications piratées, des outils pour des actions peu légitimes et dans des courriels indésirables. Dans certains cas, il vous sera recommandé de désactiver votre antivirus - ce qui devrait déjà être considéré comme une menace. Cependant, comme mentionné précédemment, il existe des moyens de le rendre plus discret même sans manipulation des paramètres de sécurité de l'utilisateur.

Le courrier indésirable par e-mail est l'un des moyens populaires de propagation du malware Coin Miner
Le courrier indésirable par e-mail est l'un des moyens populaires de propagation du malware Coin Miner

Le courrier indésirable par e-mail comme moyen de distribution du mineur de cryptomonnaie est assez récent et semble avoir moins de succès de nos jours. Au début de l'été 2022, il y a eu une importante épidémie de tels mineurs, principalement dirigée vers les pays hispanophones. Le malware était contenu dans des fichiers .docx, .xlsx, .pdf ou .txt factices, qui étaient attachés à l'e-mail. Au lieu du schéma classique avec un script macro malveillant à l'intérieur d'un document, les criminels ont utilisé un autre schéma, plus ancien - la double extension. Par défaut, Windows désactive l'affichage des extensions de fichiers, de sorte que les victimes ne voyaient que l'extension "légitime" du document. En réalité, tous ces fichiers étaient exécutables - l'extension .exe se cachait derrière les paramètres de l'interface.

Le Malware CoinMiner est-il dangereux?

En général, le malware de minage de cryptomonnaie entraîne de nombreux désagréments lors de l'utilisation d'un PC. Le minage de cryptomonnaie est un processus très intensif en ressources, il est donc presque impossible d'utiliser l'ordinateur qui y est impliqué. Lorsque votre CPU ou GPU est chargé au maximum, de sorte qu'il est à peine suffisant pour faire fonctionner le système d'exploitation (~75-80%), cela signifie que vous aurez probablement du mal à même lancer un navigateur web. Le minage exploite autant de puissance que possible, et comme il est contrôlé par des pirates, vous n'avez aucun moyen de gérer cette charge.

Cependant, ce n'est pas le seul danger du minage. Le calcul efficace du hachage suppose une charge constante sur votre matériel, et les pirates ne manquent jamais une occasion d'exploiter le système qu'ils ont infecté aussi longtemps que possible. Pour les CPU, les charges à long terme ne sont pas très critiques - elles peuvent dysfonctionner uniquement en cas de défaut de cristal de silicium ou de dissipateur de chaleur défectueux. En revanche, les GPU subissent une usure importante lors du minage - certains modèles peuvent perdre plus de 20% de leurs performances en un mois, en fonction du logiciel et de la gestion de la charge. Cela se produit généralement lorsque la température et la charge matérielle ne sont pas correctement gérées, mais encore une fois, quand les cybercriminels ont-ils prêté attention à l'état du PC des victimes?

Il existe également un risque dont on parle rarement. Les mineurs de cryptomonnaie peuvent collecter des paquets de données qui sont plus courants pour les logiciels espions et les voleurs. Les informations sur l'emplacement, l'adresse IP réelle de la victime, la configuration de l'ordinateur, les informations personnelles - ces éléments collectés dans une base de données peuvent valoir cher sur le Darknet. Et les voyous qui diffusent des mineurs malveillants ne manqueront jamais une occasion de recevoir une prime monétaire. Intégrer la fonctionnalité de logiciel espion est une question de quelques minutes, et les résultats peuvent être alarmants pour une victime.

Comment détecter le Malware CoinMiner?

Le signe clé de l'activité d'un mineur de cryptomonnaie est la lenteur générale du système. Il est évident que tout système sera difficile à utiliser lorsque l'élément clé du système est occupé par une autre tâche. Le malware CoinMiner draine toute la puissance disponible, indépendamment de vos actions sur le PC. De plus, vous entendrez certainement la vitesse de votre ventilateur atteindre son maximum. Cependant, de telles situations peuvent se produire lorsque vous effectuez vos tâches quotidiennes, il est donc important de faire des recherches supplémentaires.

Quelque chose charge le processeur à 100%
Quelque chose charge le processeur à 100%

Contrairement aux logiciels espions mentionnés précédemment, le malware de minage de cryptomonnaie ne cache jamais sa présence. En fait, c'est impossible, car il y a un signe non supprimable de sa présence - la charge matérielle extrême. Comme ils ne peuvent pas s'en débarrasser, ils essaient de dissimuler le processus malveillant (il sera certainement présent dans le Gestionnaire des tâches) en le faisant passer pour quelque chose de connu et de légitime. La forme la plus répandue de dissimulation est de prendre le nom d'un certain processus système. La plupart des utilisateurs n'ont aucune idée des mécanismes internes de Windows et ne peuvent donc pas juger de l'adéquation des processus s'exécutant en arrière-plan.

Voir un processus comme "winlogon.exe" ou "msmpeng.exe" qui prend plus de 70% de la puissance de leur matériel ne leur dit rien, et une recherche sur Google montrera probablement que ces processus font partie de Windows. Cependant, il n'y a aucune situation où ces processus peuvent prendre autant de puissance CPU. Il existe plusieurs exceptions, apparemment, mais elles sont très rares et la présence d'un tel processus signifie très probablement que vous avez un malware de minage de cryptomonnaie dans votre système.

Signes typiques de l'exécution d'un virus Coin Miner dans votre système

  • Charge élevée du CPU ou du GPU, présente quelles que soient vos actions sur le PC;
  • Un processus système présent dans l'arborescence des processus de l'utilisateur;
  • Impossible de résoudre la situation avec des redémarrages, c'est-à-dire que la charge CPU apparaît dès le démarrage de l'ordinateur;
  • Windows Defender est désactivé;

Néanmoins, la meilleure façon d'être sûr que vous avez exactement ce problème est d'utiliser un logiciel antivirus. Vous pouvez deviner, bien sûr, et les chances de réussite peuvent être assez élevées, mais dans cette situation, miser sur le hasard n'est pas une option. Un logiciel spécialisé doté de plusieurs systèmes de détection vous montrera certainement tous les détails de ce qui se passe et supprimera l'intrus s'il est présent.

Comment protéger son PC du Malware CoinMiner?

Les mineurs de cryptomonnaie ne sont pas aussi faciles à prédire et à supprimer, car leurs vagues de propagation correspondent rarement à l'activité d'autres malwares. Ce type de malware est davantage orienté vers les valeurs de cryptomonnaie - et elles sont bien moins prévisibles que d'autres logiciels malveillants. Par conséquent, vous devez vous attendre à de nouvelles astuces et méthodes avec la prochaine vague de ruée vers la cryptomonnaie.

La meilleure façon de réduire les risques est d'éviter les sources potentielles de malware. Bien sûr, vous ne pouvez pas interdire l'utilisation de sa principale source - Internet - mais vous pouvez certainement arrêter de visiter les endroits dangereux et d'utiliser des logiciels susceptibles de nuire à votre système. Les sites de téléchargement proposant des versions piratées d'applications populaires, les forums ou les communautés Discord partageant des outils faits maison, les e-mails de destinataires inconnus - ils ne devraient pas être dignes de confiance. Même si vous êtes convaincu que cette source ne propage pas de choses malveillantes, il est préférable de la vérifier avant l'installation - vous ne pouvez jamais être sûr que la prochaine chose ne sera pas malveillante.

La méthode ultime, qui devrait toujours agir comme un dernier argument, est un logiciel antivirus efficace avec une protection proactive. Avec des applications moins complexes, vous pouvez certainement détecter les mineurs de cryptomonnaie déjà en cours d'exécution, mais une protection proactive peut les arrêter avant même qu'ils ne puissent rien faire. Et n'oubliez pas que les virus de minage de cryptomonnaie peuvent facilement agir comme des logiciels espions - et leur laisser plus de temps pour agir signifie divulguer tous vos détails personnels. GridinSoft Anti-Malware fera tout comme il se doit - rapidement et en ne laissant aucune chance au malware.

Foire Aux Questions

Comment savoir si votre ordinateur est utilisé pour le minage de cryptomonnaie?
Le principal signe d'une infection par un logiciel malveillant de minage de cryptomonnaie est une lenteur extrême de votre système. Étant donné que les logiciels malveillants de minage exploitent votre processeur, cela rend le système lent, car il ne peut pas gérer les tâches habituelles à une vitesse adéquate. Les logiciels malveillants de minage de cryptomonnaie ne laissent que 10 à 15 % de la puissance du processeur pour faire fonctionner le système, ce qui rend les tâches de l'utilisateur plus lentes. Vous pouvez également remarquer un signe auxiliaire de présence de logiciels malveillants - mais cela est presque identique à tout processus malveillant. Celui-ci aura probablement un nom douteux ou un nom similaire à celui d'un processus système. Cependant, les processus système ne monopolisent que rarement 80 % de la puissance du processeur - donc un processus de cette qualité appartient à un logiciel malveillant.
Comment détecter les mineurs de cryptomonnaie?
Essayer de supprimer manuellement un logiciel malveillant de minage de cryptomonnaie est une mauvaise idée. Bien sûr, vous pourriez réussir, mais cela sera effacé en quelques heures lorsque les résidus du logiciel malveillant que vous avez probablement manqués contacteront le C&C (command and control) et téléchargeront à nouveau le logiciel malveillant. Il est donc préférable d'utiliser une solution anti-malware appropriée pour résoudre rapidement et complètement les problèmes. GridinSoft Anti-Malware est le meilleur choix à cet effet, car il peut détecter les mineurs de cryptomonnaie à la fois en mode proactif et lors des analyses.
Comment prévenir le minage de cryptomonnaie?
La principale méthode de propagation des logiciels malveillants de minage de nos jours est l'utilisation de courriers indésirables. Les escrocs déguisent leurs messages en notifications légitimes, joignent un fichier infecté et les victimes mordent à l'hameçon et infectent ainsi leurs ordinateurs. Par conséquent, il est très important d'être prudent avec les courriers électroniques, en particulier avec leurs pièces jointes, afin d'éviter les logiciels malveillants de minage.