Так произошло и в данном случае с попыткой незадачливого автора скрыто установить трояна на компьютеры тысяч пользователей через программу монетизации файлового трафика Installmonster.ru.

Для сборки трояна из готовых модулей он использовал язык автоматизации выполнения задач AutoIt, не требующий практически никаких знаний в области программирования. В коде остались строки, свидетельствующие о разработке основных компонентов трояна другим человеком:

Сам заказчик не удалил свой псевдоним, оставив при сборке дроппера характерную строку:

В файле конфигурации содержится также его логин «tonycraft». По этим данным через сеть «ВКонтакте» легко находится пользователь Tonycoin, зазывающий всех на протрояненный сайт bitchat.org.

Главная цель, преследуемая авторами современных троянов, — заставить кого-то другого зарабатывать им деньги. Очень желательно, чтобы процесс происходил незаметно и длительно. С появлением в 2009 году криптовалюты BitCoin интерес к ней возник и в криминальной сфере.

Новые трояны, ориентированные на этот источник дохода, построены по общей модульной схеме. Они содержат оригинальную программу — биткойн-майнер — или её модифицированный вариант, а также средства их скрытого автозапуска. Маскировка у большинства из них предельно примитивная: авторы ограничиваются простым переименованием имён файлов и использованием утилит вроде Hidden Start (hstart.exe) для сокрытия окна консоли.

Все компоненты, кроме командных файлов на создание скрытого автозапуска, вполне легальные. Антивирусным программам сложно определить такой троян на уровне эвристики, поэтому обычно они детектируются по прямому сигнатурному совпадению с записями в вирусных базах.

Средства самостоятельного размножения у большинства троянов отсутствуют (что отличает их от класса собственно компьютерных вирусов), а для их распространения авторы прибегают к методам социальной инженерии. Активно эксплуатируется жажда халявы, сексуальное влечение и другие вечные стимулы, заставляющие людей делать глупости.

Трояны класса биткойн-майнеров маскируются под бесплатные программы, ускорители работы компьютера и сетевого подключения. Они заражают систему при кликах на порно-баннерах и скачиваются «в нагрузку» к известным легитимным программам, включая такие популярные компоненты, как флеш-плеер или Java RE.

В описываемом случае Trojan.BtcMine.218 распространялся под видом утилиты Small Weather, демонстрирующей метеопрогноз в тулбаре.

Версии семейства Trojan.BtcMine попадались мне в диком виде с осени 2010 года. В согласии с известной пословицей «Беда не приходит одна», за ресурсы одной системы нередко соперничают разные трояны. Несколько активных троянских биткойн-майнеров превращает последнюю модель компьютера с Core-i7 в едва шевелящегося динозавра. Загрузка процессора постоянно держится на уровне ста процентов, свободной оперативной памяти ноль, а кулер воет громче пылесоса. Системные блоки и ноутбуки с такими характерными признаками заражения приносят практически постоянно. Как же они обеспечивают прибыль своим авторам?

Заработать в системе BitCoin можно двумя основными путями — выполняя ограниченную эмиссию новых биткойнов или получая вознаграждение за быструю обработку чужих транзакций — подтверждение переводов виртуальной валюты между аккаунтами.

Первый путь называется майнингом. Он более предсказуем по результатам, так как не зависит от совершения сделок с использованием биткойнов другими участниками. Однако действительно актуальным он оставался лишь в самом начале, когда «штамповать» новые биткойны было относительно просто. 

Первоначальная лёгкость генерирования биткойнов компенсировалась их низкой платёжной способностью. Пока криптовалюта делала первые шаги, в обмен на товары или услуги её принимали единичные энтузиасты. Курс биткойна тогда был настолько низким, что на его разнице в то время и сейчас уже можно было бы сделать состояние.