[Решение] Скрытые Майнеры и паранойя

[Ishogami]

Доброго времени суток бандиты!

 

Сегодня изучая от нефиг делать разные технические форумы, накопал довольно интересную на мой взгляд статью и решил поделится ей вами. Статья была посвящена "Скрытым выжирающим ресурсы системы процессам". Процессы эти в большинстве своём являлись обычными вирусами-троянами, но был момент который меня заинтересовал больше всего - как утверждал автор статьи на его компьютере почти 3 месяца молотила во всю, майнинговая программа для фарма биткоинов, при чём как говорил автор эту программу он не ставил и фармом никогда не занимался. Рассказывать про биткоины я вам не буду, ибо сам не до конца понимаю как это всё работает, а посему предлагаю вам изучить википедию если вы хотите найти ответ на свой вопрос.

 

Итак, вернёмся от общего к частному и продолжим развивать тему скрытых процессов в системе.

 

Начиналось всё довольно безобидно, у автора статьи стал немного подтормаживать комп и громко шуметь кулер. Первым делом греша на пыль и термопасту - он полез всё это чистить и менять, но как ни странно фараону не помогло. Тогда он попросил позвать еврея и велел поставить ему клизму задумался - в чём же может быть дело и в его голове всплыли слова про майнинг и биткоины, и он решив проверить свою теорию - скачал вот эту программу для просмотра всех процессов запущенных на данный момент в системе (ака  расширенный диспечер задач).

 

Ссылка: https://technet.microsoft.com/ru-ru/sysinternals/bb896653.aspx

 

 

Минигайд: По умолчанию, загрузка GPU не отображена. Кликаем правой кнопкой мыши по шапке и добавляем  все что связано с GPU, и кликнув по заголовку одной из колонок, сортируем по GPU для удобства, лучше по GPU Dediceted

 

После проделанной сортировки - автор получил примерно следующую картину:

 

http://a.icepic.ru/22776db.png

 

Став изучать подробнее - он увидел процесс которого точно в системе быть не должно и которые выжирают ресурсы GPU.

 

Им был ISSCH.EXE, в папке по пути Пользователь/AppData/Local/StardewValley(???)/ISSC

 

http://a.icepic.ru/af53392.jpeg

 

 

Далее автор статьи открыл место расположения файла и увидел что в папке находится (кстати сам файл опознавался как легальный процесс) ещё один файл - decredGeForce GTX 770gw256l4tc4032.bin, который явно наводил на некоторые мысли. Теперь перейду к самому интересному, по утверждениям автора эти файлы были созданы именно в тот день, когда все радостно пиратили продукты со свежевзломанной защитой Denuvo. Сам автор признался что скачал с Prirate Bay: Inside, TombRaider, Doom и Just Cause 3. C какой из этих программ он получил подарок - точно уже было не определить. Но он ясно помнил что для того что бы мега репак заработал, от него потребовали снять штаны (в лице аваста), и повернутся к лесу жопой. Самое интересное что поставилась программа в совершенно рандомную папку с игрой - которая не запускалась более года.

 

Если данной информации вам показалось мало - то вот вам ещё немного паранойи в ленту:

 

Не так давно засралась игра BDO (Black Desert Online). Но ещё на ЗБТ этой мега игры участники жаловались на серьёзное ухудшение производительности игры, которое наблюдалось даже у владельцев мощных компьютеров. Анализ системных процессов, которые нагружают GPU, показал, что всему виной стал непримечательный на первый взгляд системный файл Thorn.exe, который устанавливался вместе с клиентом игры (скачанным с официального сайта) от издателя GameNet. По своему поведению файл Thorn.exe - являлся типичным Bitcoin-майнером, заставляющим компьютеры игроков работать над просчётами бикоин-блоков, что позволяло мошенникам в лице издателя получить в свои кошельки дополнительную прибыль.

 

Комьюнити-менеджер GameNet отвечая на вопрос разгневанных игроков - прокомментировала ситуацию так: "Thorn.exe безобидный файл помогающий сделать игру лучше и более комфортной. Изменения в нем были сделаны корейцами не по нашей просьбе, уточним у разработчиков почему и планируют ли они так и оставлять."

 

Но многие игроки уже давно сошлись в том что: "Thorn - программа ГН, в которую корейцы ничего не добавляли, да и не могли. Это программа вообще к корейцам отношения не имеет никакого. Но на первый взгляд весьма подозрительна, потому что запускается со стартом системы и не выключается при закрытии ланчера ГН. Не завершается процесс и через диспетчер. Завершить можно только через командную строку." и  "Производительность игры и правда сильно падает с каждым патчем на РуЗБТ, но самое забавное, что точно тоже самое происходит и с версией корейского ОБТ."

___________________________

 

После сказанного, что бы хоть как-то успокоить параноиков, скажу вот что - вероятность крайне мала, поймать такую хрень на российских торрентах (в отличие от Pirate Bay и не приведи господь Tor) но она всё же есть (не считая случая с GameNet).

 

А потому проверяйтесь почаще и само собой не забывайте предохраняться......

 

UPD: Я проверил свою систему и ничего подозрительно не нашел (может потому что игры я предпочитаю покупать), не считая двух программ которые установились в стандартной сборке с драйверами и были абсолютно не нужны.

Изменено 3 мая, 2017 пользователем Ishogami

[mzpcrvwv]

Можно просто занять за что отвечает каждый процесс и служба.

В противном случае, если пользователь не имеет таких знаний, это просто пальцем в небо ( ага, вот непонятный процесс - значит будем выключать и удалять) и как показывает практика "положенная" система.

Свое мнение основываю на многолетнем опыте сим админа и куче пользователей, которым проще ничего не объяснять и не рассказывать.

Так что данная статья, имхо, больше навредит не сведущим чем поможет.