Alors que les cryptomineurs récents se font généralement discrets de manière à miner des cryptodevises sur le dos des utilisateurs le plus longtemps possible, "WinstarNssmMiner" met au contraire les systèmes à genoux. Particulièrement retord, le programme exploite le processus Service Host (svchost.exe) des différentes versions de Windows pour forcer le système à charger un fichier .dll malveillant. Les utilisateurs qui n'ont pas un antivirus digne de ce nom subissent alors d'énormes ralentissements auxquels succède une série d'écrans bleus. Les chercheurs de 360 Total Security disent avoir intercepté plus de 500 000 attaques en trois jours. C'est la première fois qu'ils font face à un cryptomineur aussi coriace.

Attrape-moi si tu peux !

Après avoir injecté le code malveillant dans svchost.exe, le malware crée deux processus : le premier exploite la puissance de calcul du système pour miner des cryptodevises, tandis que le second se charge de surveiller le système pour détecter un éventuel logiciel antivirus. Il se fait passer pour un processus critique du système afin de provoquer le plantage du système lorsque l'utilisateur ou un logiciel de protection tente de l'arrêter. Si l'on en croit les chercheurs, le programme effectuerait un scan du système pour détecter la présence d'une solution antivirus avant de débuter ses activités minières. Dans la majorité des cas, le programme privilégierait les machines non protégées pour éviter toute confrontation avec les antivirus. L'éditeur recommande par conséquent aux utilisateurs d'installer une solution antivirus et d'effectuer un scan complet du système pour se protéger des cryptomineurs.