BKDR_BTMINE.MNR
Windows 2000, Windows XP, Windows Server 2003
マルウェアタイプ:
バックドア型
破壊活動の有無:
なし
暗号化:
はい
感染報告の有無 :
はい
概要
トレンドマイクロは、このマルウェアをNoteworthy(要注意)に分類しました。このマルウェアは、メディアやセキュリティ企業からの注目を集めています。
これは、電子マネー「Bitcoin(ビットコイン)」を「マイニング(採掘)」するためのパッケージに含まれています。マルウェアは、標的とする団体に対して「分散型サービス拒否(DDoS)攻撃」を行います。
マルウェアは、特定の不正なURLにアクセスします。そしてサーバのIPアドレスリストを取得し、特定のファイルに保存します。
マルウェアは、収集したIPアドレスにアクセスし、情報の送受信や他のマルウェアのダウンロード、新しいIPアドレスリストの取得を行います。また、マルウェアは、特定の形式を利用しURLを生成します。
「Bitcoin miner(ビットコインマイナー)」は、コンピュータなどで難解な数式を計算し、新規のビットコインを採掘するために利用されるソフトウェアです。マルウェアは、インターネット上で入手可能な「Phoenix」や「RPCminer」、「Ufasoft」といったビットコインマイナーをダウンロードします。そしてマルウェアは、ダウンロードしたパッケージを保存します。
マルウェアは、IPアドレスのリストを含みます。マルウェアは、このリスト内のIPアドレスにアクセスすることによって、情報の送受信や他のマルウェアのダウンロード、新しいIPアドレスリストの取得、DDoS攻撃を行う攻撃先リストの取得を行います。
マルウェアは、リモートサイトから他のマルウェア、グレイウェアまたはスパイウェアにダウンロードされ、コンピュータに侵入します。 マルウェアは、他のマルウェアに作成され、コンピュータに侵入します。 マルウェアは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。
詳細
侵入方法
マルウェアは、リモートサイトから他のマルウェア、グレイウェアまたはスパイウェアにダウンロードされ、コンピュータに侵入します。
マルウェアは、他のマルウェアに作成され、コンピュータに侵入します。
マルウェアは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。
インストール
マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %Windows%\update.5.0\svchost.exe
(註:%Windows%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows9x、Me、XP、Server 2003の場合、"C:\Window"、WindowsNT および 2000の場合、"C:\WINNT" です。)
マルウェアは、以下のフォルダを作成します。
- %Windows%\update.5.0
- %Windows%\phoenix
- %Windows%\rpcminer
- %Windows%\ufa
(註:%Windows%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows9x、Me、XP、Server 2003の場合、"C:\Window"、WindowsNT および 2000の場合、"C:\WINNT" です。)
自動実行方法
マルウェアは、以下のサービスを追加し、実行します。
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srvbtcclient
マルウェアは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリキーを追加します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\srvbtcclient
ImagePath = "%Windows%\update.5.0\svchost.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\srvbtcclient
DisplayName = "srvbtcclient"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\srvbtcclient
ObjectName = "LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\srvbtcclient\Security
Security = "{hex values}"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\srvbtcclient\Enum
0 = "Root\LEGACY_SRVBTCCLIENT\0000"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\srvbtcclient\Enum
Count = "1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\srvbtcclient\Enum
NextInstance = "1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\srvbtcclient
Type = "10"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\srvbtcclient
Start = "2"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\srvbtcclient
ErrorControl = "0"
他のシステム変更
マルウェアは、以下のレジストリキーを追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\btcclient
プロセスの終了
マルウェアは、感染コンピュータ上でプロセスが常駐されていることを確認した場合、以下のいずれかの文字列を含むプロセスまたはサービスを終了します。
- agava
- agava_start
- agnitum
- alwil
- avast
- avast_start
- avira
- avira_start
- comodo
- comodo_start
- doctor web
- drweb
- drweb_start
- eset
- ESET NOD32 Antivirus
- ESET Smart Security
- ESET SysInspector
- ESET SysRescue
- kaspersky
- Kaspersky Internet Security 2009
- Kaspersky Internet Security 2010
- Kaspersky Internet Security 2011
- Kaspersky Internet Security 7.0
- KAV_2008
- KAV_2009
- KAV_2010
- KAV_2011
- KAV_START
- KAV_TXT
- KAV_UNINSTALL
- KAV_URL
- mcafee
- mcafee_start
- NOD_AV_4_2
- NOD_AV_START
- NOD_SS_4_2
- NOD_SS_START
- NOD_SYSINSP
- NOD_SYSRESC
- NOD_TXT
- NOD_UNINSTALL
- norton
- norton_start
- outpost
- Outpost Firewall Pro 7.0
- outpost_start1
- outpost_start2
- virus
その他
マルウェアは、以下のWebサイトにアクセスしてインターネット接続を確認します。
- ya.ru
- google.com
- microsoft.com
マルウェアは、ビットコインを採掘するパッケージの1つです。このマルウェアのコンポーネントマルウェアである「BKDR_BTMINE.DDOS」は、標的とする団体に対してDDoS攻撃を行います。
マルウェアは、以下の不正なURLのいずれかにアクセスします。そしてサーバのIPアドレスをのリストを取得します。
- http://<省略>-portal-x86.com/distrib_serv/ip_list_<値>.php
- http://<省略>s-z2012.com/distrib_serv/ip_list_<値>.php
- http://<省略>vers-win7.com/distrib_serv/ip_list_<値>.php
マルウェアは、以下のファイルに取得したIPアドレスを保存します。
- %Windows%\btc_client_iplist.txt
マルウェアは、収集したリストのIPアドレスにアクセスし、情報の送受信や他のマルウェアのダウンロード、新しいIPアドレスリストの取得を行います。また、マルウェアは、以下の形式を利用しURLを生成します。
- http://<IPアドレス>/search=error
- http://<IPアドレス>/search=ip_list_<値>.txt
- http://<IPアドレス>/search=ip_list_<値>
- http://<IPアドレス>/btc/knock_client.php
- http://<IPアドレス>/btc/knock_good_2.php
- http://<IPアドレス>/search=myunrar2.exe.txt
- http://<IPアドレス>/search=myunrar2.exe
以下は、マルウェアがアクセスするIPアドレスの一部です。
- <省略>.171.247
- <省略>1.176.209
- <省略>1.130.69
- <省略>49.182
- <省略>.98.95
- <省略>185.129
- <省略>.255.172
- <省略>.92.203
- <省略>.224.93
- <省略>172.128
マルウェアは、インターネット上で入手可能な「Phoenix」や「RPCminer」、「Ufasoft」といったビットコインマイナーをダウンロードします。そしてマルウェアは、ダウンロードしたパッケージを以下として保存します。
- %Windows%\<数値>_myunrar2.exe
- %Windows%\phoenix.rar
- %Windows%\rpcminer.rar
- %Windows%\ufa.rar
そして、以下のフォルダ内にこれらのアーカイブを復元します。
- %Windows%\phoenix
- %Windows%\rpcminer
- %Windows%\ufa
マルウェアは、感染コンピュータ上でビットコインマイナーを起動させるために、以下のWebサイトから正規のGPUドライバおよびCPUドライバをダウンロードします。
- http://<省略>ad2developer.amd.com
- http://<省略>2.ati.com
- http://<省略>s.amd.com
対応方法
手順 1
Windows XP および Windows Server 2003 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 3
Windowsをセーフモードで再起動します。
手順 4
このレジストリキーを削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- srvbtcclient
- srvbtcclient
- In HKEY_LOCAL_MACHINE\SOFTWARE
- btcclient
- btcclient
手順 5
以下のフォルダを検索し削除します。
- %Windows%\update.5.0
- %Windows%\phoenix
- %Windows%\rpcminer
- %Windows%\ufa
手順 6
以下のファイルを検索し削除します。
- %Windows%\{number}_myunrar2.exe
- %Windows%\phoenix.rar
- %Windows%\rpcminer.rar
- %Windows%\ufa.rar
手順 7
コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「BKDR_BTMINE.MNR」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください