Майнинг,  Новости,  Статьи

ETHpillAN — очередной скам или прорыв в майнинге?

23 июля в интернете на ресурсе для разработчиков программного обеспечения Github выложили файл ETHpillAN, который якобы повышает хешрейт всех видеокарт при майнинге Ethereum.

Разработчик программы под псевдонимом ethpillan утверждает, что волшебная пилюля способна обеспечить повышение хешрейта на большинстве современных видеокарт, в особенности Nvidia. Декларируются следующие скорости (вероятно стоковые значения разгона), mh/s:

  • GTX1060 – 26-28;
  • GTX1070 – 30;
  • GTX1070Ti – 34;
  • GTX1080 – 40;
  • GTX1660 – 46;
  • GTX1660Ti – 52;
  • GTX1060 – 26-28;
  • GTX1060 – 26-28;
  • GTX1080Ti – 55$
  • P104-100 – 37.
  • RTX2060 – 56;
  • RTX2070 – 58-59;
  • RTX2080 – 63-67.

Цифры выглядят заманчиво, но соответствуют ли они реальности? Не является ли предлагаемый файл банальным трояном, ворующим sensitive-информацию у доверчивых пользователей?

В данной статье проводится анализ волшебного файла ETHpillAN и даются рекомендации о том, стоит ли его применять на своем компьютере.

Где можно скачать новую волшебную пилюлю для повышения хешрейта при майнинге?

Файл ETHpillAN.exe можно скачать на Github:

Ссылки на файл по изложенным ниже причинам не приводятся.

Разработчиком проекта ETHpillAN заявлен некий ethpillan, зарегистрировашийся на портале Github 23 июля 2020 года:

Суперускоритель майнинга был создан 4 июня 2020 года, что видно в его свойствах:

Возникает резонный вопрос, а почему создатель таблетки появился на Github, и сразу выложил чудо-таблетку, а также не выкладывал ее в сеть почти 2 месяца? Возможно изначально он планировал использовать новую pill только для себя? История об этом умалчивает, но файл ETHpillAN.exe может многое сказать о себе сам.

Проверка таблетки ETHpillAN

Протестировать новоявленную таблетку стоит на виртуальной машине (методика установки аналогична описанной в статье «Установка дистрибутива XUBUNTU на виртуальную машину»). На реальном компьютере подозрительные файлы запускать не стоит.

Кроме того, проанализировать поведение файла ETHpillAN без танцев с бубнами на виртуальной машине можно на одном из сервисов-песочниц, например, joesandbox.com (использование этого сервиса требует регистрации).

По результатам глубокого Malware-анализа файла ETHpillAN на сервисе joesandbox выдается следующий отчет для Windows 10 64 bit (version 1803):

Сервис joesandbox со стопроцентной вероятностью относит файл ETHpillAN в категорию Malicious:

При проверке чудодейственного средства ETHpillAN на VirusTotal сервис выдает срабатывание на 13 антивирусах:

Во время запуска файла происходит запуск процесса, соединяющегося с хостом 185.18.52.138:

Затем волшебная таблетка запускает процессы, связанные с воровством данных:

Фальшивая pill также запускает процесс ipconfig.exe, который устанавливает соединение с адресом 151.101.112.193:

В конечном итоге чудодейственное лекарство запускает еще два процесса:

  • mstsc.exe – утилита для работы с удаленным рабочим столам с использованием протокола RDP, устанавливает соединение с нидерландским сервером 46.249.62.235 для передачи ворованных данных;
  • conhost.exe – консоль программы:

Исходя из анализа поведения файла, ни в коем случае не стоит запускать ETHpillAN на своем компьютере. Кроме того, стоит заблокировать приведенные в статье сетевые адреса, используемые злоумышленниками.

С результатами тестирования таблетки ETHpillAN в песочнице joesandbox можно ознакомиться онлайн по ссылкам на странице.

Исходя из приведенной информации можно сделать однозначный вывод, что файл ETHpillAN является трояном и применять его для повышения хешрейта на майнинг фермах не стоит.

2 комментария

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

English EN French FR German DE Russian RU Spanish ES