BitcoinMiner, Logiciel Potentiellement Indésirable.

/ LPI, PUP, Trojan / Par / 3 minutes de lecture
1 452
5/5 - (1 vote)

BitcoinMiner, Logiciel Potentiellement Indésirable.

Le programme BitcoinMiner se classe dans la catégorie des Logiciels Optionnels Potentiellement Indésirables (LPI/PUP).

Les LPI s’installent généralement en tant que programme ou en tant qu’extension de navigateur et sont chargées à chaque démarrage du système. Certains antivirus classent ce logiciel dans la catégorie des Chevaux de Troie (Trojans).


Les Logiciel Potentiellement Indésirable (PUP/LPI) peuvent lancer des services, démarrer des tâches planifiées et créer des raccourcis sur votre Bureau. Toutes ces opérations se font avec ou sans votre consentement selon les termes de son contrat d'utilisation. Une fois installé, un LPI peut modifier certains paramètres de vos navigateurs comme par exemple les pages de recherches, la page de démarrage ou encore votre page d'erreur. Il peut recueillir vos habitudes de navigation et les communiquer à un serveur par la méthode de tracking. En cours de navigation il peut afficher des annonces (coupons) et des bannières publicitaires (popups). L'objectif de ce programme est bien souvent de gagner de l'argent en générant du trafic Web vers des sites sponsorisés.


Les logiciels potentiellement indésirables (LPI) ou Potentialy Unwanted Programs (PUP) sont à l’origine de nombreuses infections. L’exemple le plus souvent rencontré est celui des adwares InstallCore, CrossRider, Graftor ou Boxore qui polluent la Base de Registres et vos unités de stockage de données. Ils s’installent généralement à votre insu via le téléchargement de gratuiciels. En effet certains sites utilisent la méthode de repaquetage, une opération qui consiste à refaire le module d’installation du logiciel en y ajoutant des options de téléchargement. Ces options permettent d’ajouter d’autres logiciels comme par exemple des barres d’outils de navigateur, des adwares, des logiciels potentiellement indésirables, des logiciels à publicités intrusives, voire des pirates de navigateur.


Le rôle du Cheval de Troie (Trojan) est de faire entrer ce parasite sur l'ordinateur et de l'y installer à l'insu de l'utilisateur. Le programme contenu est appelé la "charge utile". Il peut s'agir de n'importe quel type de parasite : virus, keylogger, logiciel espion. C'est ce parasite, et lui seul, qui va exécuter des actions au sein de l'ordinateur victime. Le cheval de Troie n'est rien d'autre que le véhicule, celui qui fait "entrer le loup dans la bergerie". Il n'est pas nuisible en lui-même car il n'exécute aucune action, si ce n'est celle de permettre l'installation du vrai parasite.


Les logiciels espions (spywares) et les logiciels publicitaires (Adwares) indésirables, tout comme les malwares,  peuvent utiliser les failles d'écriture des logiciels légitimes ou celles des systèmes d'exploitation. Il est donc essentiel d'avoir des logiciels officiels et qu'ils disposent d'une mise à jour automatique. De même votre système d'exploitation Windows doit être programmé en mode update automatique et activé, de façon à pouvoir disposer des dernières mises à jour de failles critiques de sécurité.

  Caractéristiques

– Il s’installe en tant que processus lancé au démarrage du système (RP),
– Il s’installe dans la Base de Registres afin d’être lancé à chaque démarrage du système (O4),
– Il s’installe en tant que service pour être lancé à chaque démarrage du système (O23),(SS/SR),
– Il s’installe en tant que programme (O42),
– Il crée de multiples clés de Registre « Software »,
– Il crée des dossiers supplémentaires (O43),
– Il crée des clés de registre Tracing (O100),

Aperçu dans les rapports

Recensé le 11/11/2016
C:\Windows\bccs\csrss.exe
C:\Windows\Setup\scripts\activation.exe

Recensé le 29/04/2017
O4 – HKLM\..\Run: [vnlgp] . (…) — C:\Users\Coolman\AppData\Roaming\vnlgp\vnlgp.exe
[MD5.AD9F8CFCE6C28422A85CD631FC398F7A] – (…) — C:\Users\Coolman\AppData\Roaming\vnlgp\vnlgp.exe [1573888] [PID.6336]
O43 – CFD: 28/04/2017 – [] D — C:\Users\Coolman\AppData\Roaming\vnlgp
O61 – LFC: 2017/04/26 00:06:06 A . (..) — C:\Users\Coolman\AppData\Roaming\vnlgp\vnlgp.exe [1573888]
O61 – LFC: 2017/04/28 20:16:12 A . (..) — C:\Users\Coolman\AppData\Roaming\vnlgp\vnlgp-uninst.exe [70982]

Recensé le 02/07/2017
O4 – HKCU\..\Run: [RunSpeed.vbs] . (…) — C:\Users\Coolman\AppData\Roaming\RunSpeed\RunSpeed.vbs
O4 – HKUS\S-1-5-21-3320059701-3397161431-519700241-1001\..\Run: [RunSpeed.vbs] . (…) — C:\Users\Coolman\AppData\Roaming\RunSpeed\RunSpeed.vbs
[MD5.F91BA4D9FA68CF7C578FB80A125139F5] – (.www.xmrig.com – Monero (XMR) CPU miner.) — C:\Users\Coolman\AppData\Roaming\RunSpeed\li1ew.exe [406016] [PID.8844]
O43 – CFD: 01/07/2017 – [] D — C:\Users\Coolman\AppData\Roaming\RunSpeed
O61 – LFC: 2017/07/01 10:27:47 A . (.www.xmrig.com.) — C:\Users\Coolman\AppData\Roaming\RunSpeed\li1ew.exe [406016]

Recensé le 05/07/2017
O4 – HKCU\..\Run: [importantupdates] . (…) — C:\Users\Coolman\AppData\Roaming\importantupdates\importantupdates.exe
O4 – HKUS\S-1-5-21-50051860-661384414-3684766944-1000\..\Run: [importantupdates] . (…) — C:\Users\Coolman\AppData\Roaming\importantupdates\importantupdates.exe
[MD5.F792929A6C99E9EC2CF03CFE34282D14] – (…) — C:\Users\Coolman\AppData\Roaming\importantupdates\importantupdates.exe [18190336] [PID.1292]
O42 – Logiciel: Micro Foundation version 1.2 – (.Micro Foundation, Inc..) [HKCU] — {3d08186d-6b7a-438a-8da5-6e7f4790d3ee}_is1
O43 – CFD: 05/07/2017 – [] D — C:\ProgramData\Micro Foundation
O43 – CFD: 05/07/2017 – [] D — C:\Users\Coolman\AppData\Roaming\importantupdates
O61 – LFC: 2017/07/05 04:49:25 A . (..) — C:\Users\Coolman\AppData\Roaming\importantupdates\data.exe [5362176]
O61 – LFC: 2017/07/05 04:49:25 A . (..) — C:\Users\Coolman\AppData\Roaming\importantupdates\importantupdates.exe [18190336]
C:\Users\Coolman\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\importantupdates.vbs

Recensé le 19/07/2017
O43 – CFD: 18/07/2017 – [] D — C:\Users\acer\AppData\Roaming\smoti2

Recensé le 29/08/2017
O4 – HKCU\..\Run: [Auto1Feed.lnk] . (…) — C:\Users\Coolman\AppData\Roaming\Auto1Feed\Auto1Feed.lnk
O4 – HKUS\S-1-5-21-50051860-661384414-3684766944-1000\..\Run: [Auto1Feed.lnk] . (…) — C:\Users\Coolman\AppData\Roaming\Auto1Feed\Auto1Feed.lnk
O43 – CFD: 27/08/2017 – [] D — C:\Users\Coolman\AppData\Roaming\Auto1Feed
O61 – LFC: 2017/08/27 20:08:56 A . (.www.xmrig.com.) — C:\Users\Coolman\AppData\Roaming\Auto1Feed\lux1ory.exe [711680]

Alias

VirusTotal Analysis of vnlgp.exe
Ad-Aware Application.BitCoinMiner.PG 20170701
AhnLab-V3 Unwanted/Win64.BitCoinMiner.C2013340 20170701
Antiy-AVL RiskWare[RiskTool]/Win64.BitCoinMiner 20170630
Arcabit Application.BitCoinMiner.PG 20170701
AVware Trojan.Win32.Generic!BT 20170701
BitDefender Application.BitCoinMiner.PG 20170701
CrowdStrike Falcon (ML) malicious_confidence_100% (W) 20170420
Cyren W64/Application.WAFI-0871 20170701
DrWeb Tool.BtcMine.976 20170701
Emsisoft Application.BitCoinMiner.PG (B) 20170701
ESET-NOD32 a variant of Win64/BitCoinMiner.CS potentially unsafe 20170701
F-Secure Application.BitCoinMiner.PG 20170701
Fortinet Adware/BitCoinMiner 20170629
GData Application.BitCoinMiner.PG 20170701
K7AntiVirus Unwanted-Program ( 00510a971 ) 20170701
K7GW Unwanted-Program ( 00510a971 ) 20170701
Kaspersky not-a-virus:RiskTool.Win64.BitCoinMiner.cqa 20170701
Malwarebytes PUP.Optional.BitCoinMiner 20170701
McAfee RDN/Generic PUP.x 20170701
McAfee-GW-Edition RDN/Generic PUP.x 20170701
eScan Application.BitCoinMiner.PG 20170701
NANO-Antivirus Riskware.Win64.BtcMine.eqkonn 20170701
Palo Alto Networks (Known Signatures) generic.ml 20170701
Panda HackTool/BitCoinMiner 20170701
Symantec Trojan.Gen.2 20170701
TrendMicro TROJ_GEN.R0E2C0OFO17 20170701
TrendMicro-HouseCall TROJ_GEN.R0E2C0OFO17 20170701
VIPRE Trojan.Win32.Generic!BT 20170701
ViRobot Trojan.Win64.S.Bitcoinminer.406016.A 20170701
Webroot W32.Malware.gen 20170701
Yandex Riskware.BitCoinMiner! 20170630
ZoneAlarm by Check Point not-a-virus:RiskTool.Win64.BitCoinMiner.cqa 20170701

Editeurs associés

NTWind Software
Ufasoft
www.xmrig.com
Micro Foundation, Inc.
M/s Children Code

Quelques produits

Micro Foundation

Cryptage MD5

189F08DA1EC12901AE6D77F17277B14D
D722CD14F93275A5A831A7ED42A3D6FB
C7D96A006E2EEDF5C289FCABAC78F95E

Comment supprimer BitcoinMiner ?

Supprimer avec Windows

Supprimer avec ZHPCleaner

   Supprimer avec ZHPSuite

Responsabilité :   Le principe d'absence de responsabilité du site d'origine, au regard des contenus des sites cibles pointés, est rappelé par l'arrêt du 19 septembre 2001 de la Cour d'Appel de Paris. Les propos que je tiens ici reflètent mon opinion et sont des suggestions - le visiteur n'est pas obligé de les suivre.

Share
Tweet
whatsapp
Share
Pin it

A propos de l'auteur

Nicolas Coolman est un expert en informatique et en sécurité informatique français diplômé en ingénierie logicielle. Il est spécialisé dans l'analyse et la désinfection de logiciels malveillants, notamment les adwares, les ransomwares, les chevaux de Troie et autres types de logiciels indésirables. Nicolas Coolman est également le créateur de plusieurs outils de sécurité informatique, tels que "ZHPCleaner" et "ZHPDiag", qui sont largement utilisés par les utilisateurs pour analyser et nettoyer des logiciels malveillants de leurs systèmes d'exploitation Windows . Nicolas Coolman est très actif dans la communauté de la sécurité informatique et partage régulièrement ses connaissances et ses découvertes sur son site Web et sur les forums dédiés à la sécurité. Son expertise est reconnue par de nombreux utilisateurs et professionnels de l'informatique, et il est considéré comme une référence dans le domaine de la lutte contre les logiciels malveillants.

Publications similaires

Retour en haut