«WinstarNssmMiner », c’est le nom qu'a donné l'équipe de 360 Total Security au dernier virus conçu dans le but de faire miner des cryptomonnaies aux appareils qu'il infecte. (1)

ð Un virus programmé afin de faire planter entièrement l'ordinateur  de la victime au cas où son propriétaire tenterait de l'arrêter dans sa tâche malfaisante.

Le mineur WinstarNssmMiner est décrit comme une menace hybride avancée disposant  à la fois d’un mineur et le code cheval de Troie.

Les créateurs du virus auraient déjà empoché plus de 28 000 $ de cette manière, grâce à Monero (1).

Plus de 500 000 attaques auraient été interceptées par la solution 360 Total Security en trois jours.

Bien que la manière dont « WinstarNssmMiner » infecte le PC de ses victimes soit encore un mystère, on peut décrire la manière dont il agit sur un ordinateur :

Il commence par scanner la solution antivirus qui y est installée.

Si l'antivirus fait partie de ceux développés par les grands fabricants (Avast, Kaspersky, Bitdefender…), le programme se met en veille de façon à ne pas être détecté.

Dans le cas d'un antivirus non développé par l'un des plus grands constructeurs, le virus le désactive, purement et simplement.

Une fois l'analyse du fichier infecté réalisée sans problème et que le virus est alors présent sur l'ordinateur cible, il crée immédiatement deux processus, y injecte du code malveillant puis définit leurs attributs comme « CriticalProcess ».

Pendant que le premier processus mine des cryptomonnaies, le second surveille le logiciel antivirus.

La procédure du premier demandant énormément de ressources à l'ordinateur infecté, le second peut immédiatement arrêter l'opération au cas où l'antivirus se réveillerait et détecterait une activité suspecte.

Le problème est que, de toute façon, les antivirus ne sont pas capables de repérer les derniers virus en date.

L’affichage du célèbre « blue screen» !

Mais surtout le gros problème est que, dans le cas où le propriétaire du PC essaierait de fermer manuellement les processus en cause via le gestionnaire de tâche (en les repérant grâce à leur consommation de ressources anormalement élevée ), la seule chose qu'il obtiendrait  serait l’affichage du célèbre « blue screen».

Il semblerait que le virus s'appuierait sur un projet d'exploitation de la cryptomonnaie open source appelé XMRig, spécialement développé pour travailler sur Monero.

Ce système aurait déjà été utilisé fin 2017 par un pirate Russe qui s'en serait servi au sein d'un mod (1) pour le jeu vidéo GTA V (Grand Theft Auto V).

Une fois que le mod était installé par un joueur, le cheval de Troie qu'il contenait cachait alors le mineur de cryptomonnaie en tant qu'application légitime au sein de la machine infectée et démarrait ensuite ses opérations de minage.

Ici encore, l'extraction demandant énormément de ressources à la machine, le programme était conçu de façon  à s'arrêter et disparaître immédiatement de la liste des processus une fois le gestionnaire de tâches ouvert par l'utilisateur, ainsi à ne pas pouvoir être stoppé !

(1) Un mod (abrév.de modification) est un jeu vidéo créé à partir de la modification d’un jeu original, sous la forme d'un greffon qui s’ajoute à l'original, le transformant parfois complètement.

Les mods les plus courants se rencontrent sur PC

Contrairement aux jeux sur consoles qui sont parfois de véritables boîtes noires, les jeux vidéo sur ordinateur sont parfois créés avec la possibilité  de pouvoir les modifier facilement. Pour cela, ils sont souvent fournis avec un kit de développement (comprenant par exemple un éditeur de carte) qui permet ainsi la création de mods.