Este blog ha sido creado con la idea principal en mente para explicar cómo se puede quitar el NRSMiner virus de su equipo por completo.
El principal método a través del cual el NRSMiner propaga normalmente se lleva a cabo a través de un exploit que es bien conocido – Azul Eterno. Este mismo exploit fue utilizado en el 2017 WannaCry infección por el brote. El minero se propaga sistemas de vulnerabilidad de la red después de que se realiza es la primera infección, pero la buena noticia es que sólo los ataques de los equipos con la revisión.
Hasta ahora, F-Secure investigadores de malware han informado en su análisis de los siguientes dos métodos por los que una computadora puede infectarse con NRSMiner:
- A través de la descarga de un módulo de actualización a través de un sistema que ya ha sido comprometida por una versión anterior de la NRSMiner de malware.
- A través de infectar un sistema en la misma intranet que no tiene el MS17-010 revisión en contra de Azul Eterno explotar. La infección puede producirse a partir de una ya dispositivo infectado.
La infección principal actividad de este minero es el que se verifica un mutex ({502CBAF5-55E5-F190-16321A4}) para ver si el minero ya ha infectado el PC de la víctima antes y si es así, el minero de malware no se ejecuta. Si no, sin embargo, el minero gotas y ejecuta el siguiente archivo malicioso:
Una vez hecho esto, el minero puede extraer de los diferentes archivos de sus recursos, más específicamente, los siguientes archivos;
Los archivos pueden tener el lugar opuesto, pero ellos generalmente están localizados en sysWOW64 o system32. Una vez de haber bajado los archivos, NRSMiner copias de los datos de la hora de creación y LastAccessTime y LastWriteTime propiedades del sistema de proceso de svchost.exe y las actualizaciones de las propiedades de MarsTraceDiagnostics.xml y snmpstorsrv.dll los archivos.
Por último, la WUDHostUpdate.exe el archivo malicioso que se instala el snmpstorsrv y snmpstorsrv.dll la cual está registrada como servicedll. Finalmente, el virus de archivos auto-elimina.
Te recientemente proceso, llamado Snmpstorsrv.dll comienza con la siguiente Windows administrador de comandos:
Cuando se inicia, el archivo realiza las siguientes actividades maliciosas en el equipo:
- Envía el Procesador de datos.
- Envía la información del sistema.
- Se abre el puerto 60153.
- Crea MgmtFilterShim.ini
- Se Ejecuta Wininit.exe
- Descargas Updater
- Extractos de C&C y Minero de configuración
- Elimina las versiones anteriores.
- Comprueba el módulo de actualizaciones.
- Se ejecuta la nueva minero.
El servicio en primer lugar, se genera un archivo que se llama MgmtFilterShim.ini en la carpeta %systemroot%system32 carpeta, escribe el signo “+” valor en ella y, a continuación, modifica su hora de creación, LastAccessTime y LastWritetime propiedades de la misma como la en svchost.exe.
El virus utiliza los siguientes dominios de la actualización de sí mismo y para transmitir la información:
Además de la tonelada de esto, el minero se ejecuta el TurstedHostex.exe proceso y se conecta a los siguientes sitios, donde casi todos los de la red y del sistema de información de la computadora infectada se filtró:
Cuando el virus se toma en cuenta que el procesador de la PC de la víctima, a continuación, escribe varios tipos diferentes de archivos, llamado x86.dll y x64.dll en el %AppDiagnostics% directorio. Los procesos se inyecta a través de Wininit.exe archivo en sass.exe a través de la spoolsv.exe backdoor instalado antes de comenzar la minería de cryptocurrencies.
El minero componente de NRSMiner utiliza el XMRig Monero de la CPU minero con el fin de generar Monero fichas. Se ejecuta el minero con los siguientes comandos
Durante este tiempo, el equipo de la víctima comienza a disminuir y se puede congelar muy a menudo.
Otro más recomendado método de eliminación es si seguir los últimos pasos para quitar la NRSMiner mediante el escaneo de nuestro PC con un avanzado programa anti-malware, que será detectar y eliminar todos los archivos asociados y de los objetos que están relacionados con NRSMiner en su ordenador. Tenemos que saber que esto es la concesión de la opción por los expertos en seguridad, ya que no sólo los archivos de malware y se eliminan los objetos, pero también a su equipo estará protegido contra la mayoría de los archivos maliciosos e intrusivo de los objetos en el futuro.
ADVERTENCIA, varios escáneres anti-virus han detectado posible malware en NRSMiner.
| El Software antivirus | Versión | Detección |
|---|---|---|
| K7 AntiVirus | 9.179.12403 | Unwanted-Program ( 00454f261 ) |
| VIPRE Antivirus | 22224 | MalSign.Generic |
| McAfee | 5.600.0.1067 | Win32.Application.OptimizerPro.E |
| Malwarebytes | 1.75.0.1 | PUP.Optional.Wajam.A |
| McAfee-GW-Edition | 2013 | Win32.Application.OptimizerPro.E |
| Qihoo-360 | 1.0.0.1015 | Win32/Virus.RiskTool.825 |
| Tencent | 1.0.0.1 | Win32.Trojan.Bprotector.Wlfh |
| Malwarebytes | v2013.10.29.10 | PUP.Optional.MalSign.Generic |
| Baidu-International | 3.5.1.41473 | Trojan.Win32.Agent.peo |
| VIPRE Antivirus | 22702 | Wajam (fs) |
| NANO AntiVirus | 0.26.0.55366 | Trojan.Win32.Searcher.bpjlwd |
| Kingsoft AntiVirus | 2013.4.9.267 | Win32.Troj.Generic.a.(kcloud) |
Comportamiento de NRSMiner
- Modifica el escritorio y la configuración del navegador.
- Cambia la página de inicio del usuario
- Se ralentiza la conexión a internet
- Comportamiento común de NRSMiner y algún otro texto emplaining som info relacionadas al comportamiento
- Roba o utiliza sus datos confidenciales
- NRSMiner desactiva el Software de seguridad instalado.
- Anuncios, ventanas emergentes y programas de seguridad falsos alertas.
NRSMiner efectuado versiones del sistema operativo Windows
- Windows 10
- Windows 8
- Windows 7
- Windows Vista
- Windows XP
Geografía de NRSMiner
Eliminar NRSMiner de Windows
Borrar NRSMiner de Windows XP:
- Haz clic en Inicio para abrir el menú.
- Seleccione Panel de Control y vaya a Agregar o quitar programas.
- Seleccionar y eliminar programas no deseados.
Quitar NRSMiner de su Windows 7 y Vista:
- Abrir menú de Inicio y seleccione Panel de Control.
- Mover a desinstalar un programa
- Haga clic derecho en la aplicación no deseada y elegir desinstalar.
Erase NRSMiner de Windows 8 y 8.1:
- Haga clic en la esquina inferior izquierda y selecciona Panel de Control.
- Seleccione desinstalar un programa y haga clic derecho en la aplicación no deseada.
- Haga clic en desinstalar .
Borrar NRSMiner de su navegador
NRSMiner Retiro de Internet Explorer
- Haga clic en el icono de engranaje y seleccione Opciones de Internet.
- Ir a la pestaña Opciones avanzadas y haga clic en restablecer.
- Compruebe Eliminar configuración personal y hacer clic en restablecer .
- Haga clic en cerrar y seleccione Aceptar.
- Ir al icono de engranaje, elija Administrar complementos → barras de herramientas y extensionesy eliminar no deseados extensiones.
- Ir a Proveedores de búsqueda y elija un nuevo defecto motor de búsqueda
Borrar NRSMiner de Mozilla Firefox
- Introduzca "about:addons" en el campo de URL .
- Ir a extensiones y eliminar extensiones de explorador sospechosos
- Haga clic en el menú, haga clic en el signo de interrogación y abrir la ayuda de Firefox. Haga clic en la actualización botón Firefox y seleccione Actualizar Firefox a confirmar.
Terminar NRSMiner de Chrome
- Escriba "chrome://extensions" en el campo URL y pulse Enter.
- Terminar el navegador fiable extensiones
- Reiniciar Google Chrome.
- Abrir menú Chrome, haga clic en ajustes → Mostrar avanzada, seleccione restablecer configuración del explorador y haga clic en restaurar (opcional).