В отчете сообщается, что Norman был случайно обнаружен при аудите компании, которая подверглась атаке. Главная особенность вируса-майнера в том, что при открытии диспетчера задач в ОС Windows программа завершает процесс майнинга, так что пользователь и не догадывается о том, что его компьютер подвергся заражению. После закрытия диспетчера задач добыча криптовалюты снова запускается.
Отметим, что Norman добывает криптовалюту Monero с помощью популярного майнера XMRig. Вирус написан на языке программирования .NET и был обфусцирован с помощью Agile. Для установки используется решение для создания инсталляционных пакетов Nullsoft Scriptable Install System, а для запуска самого вируса – системный процесс svchost. Интересно, что вирус также общается с удаленным сервером, используя код на языке PHP.
После глубокого анализа вируса исследователи пришли к выводу, что страна происхождения Norman – Франция или любая другая франкоговорящая страна, так как в коде были найдены фразы на французском.
Напомним, что в середине июня компания Trend Micro сообщила об обнаружении целого ботнета хакерской группы Outlaw, который распространяет компонент для майнинга Monero.