به گزارش اقتصادآنلاین، این کاوشگر که ارز Monero را استخراج میکند، از یکی از کدهای اکسپلویت آژانس امنیت ملی امریکا به نام EternalRomance برای انتشار خود استفاده میکند.
نحوه عملکرد این بدافزار که ارز مونرو را یدون اجازه کاربر استخراج می کند به این صورت است که پس از نفوذ این بدافزار به سیستم، یک اسکریپت VB در سیستم دانلود میشود که عملیات کاوش ارز را انجام میدهد. این اسکریپت یک حساب کاربری مدیریتی در سیستم ایجاد میکند تا از طریق آن پروتکل Remote Desktop را فعال کند و یک قانون فایروال برای باز کردن ترافیک پورت ۳۳۸۹ ایجاد کند. همچنین این اسکریپت سرویس بروزرسانی ویندوز را غیر فعال کرده و با اعمال سایر تنظیمات در سرویس مدیریت از راه دور ویندوز، سیستم را برای حملات آتی آماده میکند.
PyRoMine اولین کاوشگر ارزی نیست که از اکسپلویتهای NSA برای گسترش استفاده میکند، امّا این بدافزار سیستم را به گونهای پیکربندی میکند تا در معرض حملات بیشتر و پیچیدهتری قرار گیرد.
برای جلوگیری از آلودگی احتمالی، پیشنهاد میشود تا هر چه سریعتر سیستمهای ویندوزی خود را بروزرسانی کنید.
