Hidden Cryptominers in Game torrents. en

By Biersteker on Friday 19 June 2015 21:17 - Comments (15)
Category: -, Views: 7.051

Hiding coinminers in popular programs is something that is going on for quite some time now.
We have seen cryptominers as Javascript on website and how DVRs and NAS devices have been turned into Dogecoin miners. But the most used variant is just hiding the miner in torrent releases. In this article we will be looking at one torrent in specific.
GTA V !

Why are we looking at GTA V?

Well there are some good reasons for that.
1. If you can play GtaV on your pc, you have a rather modern system. With enough cpu/gpu power.
2. It is one of the biggest gametorrents at this time.
3. It's big. So most people will download one version, but won't redownload 60 gb to find a second/third version.
4. It has a hidden miner in it.
Where is the miner hidden, what does it do?
http://i.imgur.com/XNoe7RV.png
In this case the miner is hidden in your steamfolder. (A file mbm and some .cl kernelfiles). This is a modified version of sgminer.
http://i.imgur.com/lSQb8Y5.png
After some searching in the file. I found out that the workername is overltcx.<randomnumbers> and the algorithm was x11 and it connects to steam22865.net which is a stratum-proxy. Redirecting from pool to pool.

And of course the output of mdm file.

code:
1
2
3
4
5
6
7
8
9
mdm --kernel x11mod -o stratum+tcp://steam22865.net:9001 -u overxltc.2161 -p x -I 13 
[16:37:09] Started sgminer                     
[16:37:10] WARNING: GPU_MAX_ALLOC_PERCENT is not specified!                    
[16:37:10] WARNING: GPU_USE_SYNC_OBJECTS is not specified!                    
[16:37:10] Kernel x11mod is experimental.                    
[16:37:10] Probing for an alive pool                    
[16:37:10] Pool 0 difficulty changed to 0.015                    
[16:37:11] Network diff set to 3.2K                    
(5s):502.8K (avg):1.295Mh/s | A:0  R:0  HW:0  WU:0.000/m



If you find a miner on your computer you can get the output even if it's a background program by changing the file extention to exe. Then open the folder in command. And just run filename > output.txt.

Back to the output: x11mod ?!?

X11 is a fairly wide used mining algorithm, but the coin with the biggest marketcap and anonymity seemed like a good place to start. So assuming it was mining Dash/DarkCoin, lets try a google search on overxltc.
http://i.imgur.com/3T1IXnU.png

This resulted in the finding a worker called overltcx at dash.coinmine.pl (and some very simillar names). We also see overxltc and aliasses mentioned in BSTY2 (GlobalBoost-Y) and Uro threads.

http://i.imgur.com/859rhAC.png
This is some scary hashrate.

As you can see these workers produce an insane hashrate. So lets make a hardware calculation:

The used miner is sgminer, And the used kernel is darkcoin-mod-X11

Lets take an average mid-high end gpu like the AMD RADEON R280x that will produce around 4.2 Mh/s using darkcoinmod-x11 kernel. (The kernel is important to know to estimate the amount of rigs that are mining, If this miner was using Wolf` X11 kernel, we would have to assume a 280x would do 6 Mh/s)

5.857 Mh/s divided by 4.2 Mh/s, the average hashrate of a 280x, makes little under 1400 280xlike GPUs.
Normally your GPU power usage for a 280x would be idle 15 watt. But for mining, it will use around 250 watt.
(Source: http://www.tomshardware.c...270x-r7-260x,3635-18.html)

That means that every day since the malicious GTAV torrent was released, 235 watt x 1400 GPU's around 0,33 MegaWatt is needed. With powercosts of 0.20 $ per kWh, the powercosts for this amount of GPU's would be around $65,80 an hour, or $1579,20 daily.

What can you do against unwanted miners?

1. First of all, you probably shouldn’t download shady torrents that will cost you more then you buying the game. (power-costs , hardware wear, PSU units that are not capable of handling the continuous load).
2. Run you own miner, and check you hashrate. The sgminer miner in the torrent does not take priority over your own miners.
3. Check you GPU load!. If you GPU load is high, and you clockspeeds are in Performance mode, without running anything heavy, that could be a sign that you have picked up a unwanted miner.
4. Removal instructions:
https://www.reddit.com/r/...ng_bitcion_miners_isssue/


In the end is a question of who do you like to support, gamedevelopers that made a good game or the cracker / releasegroup or repacker that abuses your gpu and that does over 1500 dollar daily in economic damages?


Volgende: RouterKeyGen - Waarom werkt zoiets nog? 06-'12 RouterKeyGen - Waarom werkt zoiets nog?

Comments


By Tweakers user Frozen, Friday 19 June 2015 21:48

What can you do again unwanted miners? -> against

By Tweakers user Biersteker, Friday 19 June 2015 21:50

Frozen wrote on Friday 19 June 2015 @ 21:48:
What can you do again unwanted miners? -> against
There are probably more typos. :Y)

By Tweakers user JoWannes, Friday 19 June 2015 21:52

Interessant stukje.
Worden dergelijke miners ook opgemerkt door de betere antivirus programma's?

Als je programma's van internet haalt, weet je nooit wat je binnen krijgt. Tijdje geleden werd er nog een miner gebundeld met ĶTorrent. Prima freeware (ad-supported) trorrent client voorheen... Je hoeft dus nog niet illegaal bezig te zijn om zulke zooi binnen te krijgen.

[Comment edited on Friday 19 June 2015 21:55]


By Tweakers user Eagle Creek, Saturday 20 June 2015 12:30

Nice! Dank voor schrijven en delen.

Het verstoppen van miningsoftware an sich is in mijn ogen een logische stap. Elke "maatschappelijke ontwikkeling" waar geld mee te verdienen is wil je onder water binnen kunnen sluizen.

Dit kan zijn individuele virri, spionagesoftware, botnetsoftware t.b.v. ddos en nu cryptocoinmining.

Wat je bij elke ontwikkeling lijkt te zien is dat de impact steeds groter wordt en het steeds meer nut heeft om het te doen. Waar iemands pc infecteren met een virus de veroorzaker misschien weinig directe baten geeft, is opname in een botnet al lucratiever en is cryptocoinmining gewoon money 1-0-1.

[Comment edited on Saturday 20 June 2015 12:32]


By Tweakers user Nature, Sunday 21 June 2015 20:13

JoWannes wrote on Friday 19 June 2015 @ 21:52:
Interessant stukje.
Worden dergelijke miners ook opgemerkt door de betere antivirus programma's?

Als je programma's van internet haalt, weet je nooit wat je binnen krijgt. Tijdje geleden werd er nog een miner gebundeld met ĶTorrent. Prima freeware (ad-supported) trorrent client voorheen... Je hoeft dus nog niet illegaal bezig te zijn om zulke zooi binnen te krijgen.
Ja, ESET Nod32 detecteert ze is mijn ervaring.

By Tweakers user RadioKies, Monday 22 June 2015 11:10

Grappig, wel een slimme zet van ze.
Loopt zo'n miner alleen als je aan het spelen bent of ook buiten het spelen om? Is installeren al voldoende om hem actief te krijgen?

By Tweakers user Biersteker, Monday 22 June 2015 11:52

RadioKies wrote on Monday 22 June 2015 @ 11:10:
Grappig, wel een slimme zet van ze.
Loopt zo'n miner alleen als je aan het spelen bent of ook buiten het spelen om? Is installeren al voldoende om hem actief te krijgen?
De miner loopt juist het hardst op het moment dat je niet aan het spelen bent, na X minuten inactiviteit van je muis bijvoorbeeld.

By Tweakers user Yuregenu, Monday 22 June 2015 13:55

Ben ik even blij dat ik GTA V legaal op de pc kon kopen voor maar §35 :) Heb er een nieuwe videokaart voor gekocht, stel je voor dat die nu al naar de klote zou zijn geholpen door zo'n miner.

Ik had eerlijk gezegd niet eerder gehoord over miners verstopt in torrents; ik dacht eerst dat dit artikel ging over die keer dat uTorrent werd geleverd met een geÔntegreerde miner. Deze sneaky methode zou dus ook kunnen worden toegepast op andere software, zoals het zeer populaire Photoshop?

By Tweakers user NightFox89, Monday 22 June 2015 16:47

Tja, aan de andere kant. Als je bewust illegale software aan het downloaden bent mag je ook niet klagen.

By Tweakers user Biersteker, Monday 22 June 2015 20:14

Yuregenu wrote on Monday 22 June 2015 @ 13:55:
Deze sneaky methode zou dus ook kunnen worden toegepast op andere software, zoals het zeer populaire Photoshop?
Ja. Alles wat jij rechten genoeg geeft, kan zonder problemen als achtergrond process draaien. Niet alle virusscanners vinden deze miner op het moment.
Ik post zo wel even een virustotal ervan.
NightFox89 wrote on Monday 22 June 2015 @ 16:47:
Tja, aan de andere kant. Als je bewust illegale software aan het downloaden bent mag je ook niet klagen.
Ben ik het niet mee mee eens. Het risico van illegaal downloaden, is dat je troep meekrijgt. Maar als je de stratumproxy neer kan halen, stop het aanbod van "work" en gaan miners naar idle, dus het stoppen van het aanbieden van work bespaar je zoveel misbruikte stroom/rekenkracht/gpus etc, niet ingrijpen maak het juist aantrekkelijk om dit soort grappen uit te halen.

By Tweakers user Deruijter, Tuesday 23 June 2015 17:07

Plot twist, het account overxltc is van Rockstar Games

By Tweakers user Biersteker, Tuesday 23 June 2015 17:18

Deruijter wrote on Tuesday 23 June 2015 @ 17:07:
Plot twist, het account overxltc is van Rockstar Games
Lijkt mij niet ;)

By Tweakers user TheNephilim, Tuesday 23 June 2015 17:23

Interessant stukje! Als je zit zo ziet, zullen anti-virus scanners ook miners moeten gaan vinden. Dat is tegenwoordig bijna net zo lucratief als malware en word nauwelijks gevonden.

By Tweakers user Biersteker, Tuesday 23 June 2015 18:23

TheNephilim wrote on Tuesday 23 June 2015 @ 17:23:
Interessant stukje! Als je zit zo ziet, zullen anti-virus scanners ook miners moeten gaan vinden. Dat is tegenwoordig bijna net zo lucratief als malware en word nauwelijks gevonden.
Klopt. Sterker nog. Dagelijks doet dit botnet om en nabij de 2 bitcoin in DASH/Darkcoin. Ik kan me niet voorstellen dat er mallware is die meer oplevert. (buiten randsomware dan natuurlijk).

Dat is om en nabij de 400 euro per dag. Miners worden vaak wel opgepikt door virusscanners. Deze in dit specifieke geval toch een stuk later. (niet een helemaal standaard miner). Terwijl cgminer/sphminer/sgminer/cudaminer allemaal wel herkent worden door de meeste virusscanners. (Vaak als PoP).

By Tweakers user _ferry_, Thursday 25 June 2015 08:36

Best slim, en uiteindelijk ook gewoon heel logish dat iemand met de juiste kennis er zo'n miner in stopt. Fijne bron van extra inkomsten lijkt mij zo. Eenmalig de software wijzigen, verspreiden, en cashen maar.

Comments are closed