COINMINER.LINUX.MALXMR.ATNF
プラットフォーム:
Linux
危険度:
ダメージ度:
感染力:
感染確認数:
情報漏えい:
マルウェアタイプ:
仮想通貨発掘ツール(コインマイナー)
破壊活動の有無:
なし
暗号化:
感染報告の有無 :
はい
概要
感染経路 インターネットからのダウンロード, 他のマルウェアからの作成
コインマイナーは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
概要:プログラムは、コンピュータのCPUおよびGPUのリソースを利用して仮想通貨を発掘します。
詳細
ペイロード ファイルの作成
侵入方法
コインマイナーは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
コインマイナーは、以下のファイルを作成します。
- /tmp/.yam.pid - contains Process ID for Yam Miner
- /tmp/.xmrig.pid - contains Process ID of XMRig Miner
その他
コインマイナーが自身の不正活動を実行するためには、以下のファイルが必要になります。
- {parameter1}/.yam - Yam Miner, or
- {parameter1}/.xmrig - XMRig Miner
詳細:プログラムは、コンピュータのCPUおよびGPUのリソースを利用して仮想通貨を発掘します。その結果、感染コンピュータの動作が非常に遅くなります。
<補足>
インストール
コインマイナーは、以下のファイルを作成します。
- /tmp/.yam.pid - Yam MinerのプロセスIDが含まれる
- /tmp/.xmrig.pid - XMRig MinerのプロセスIDが含まれる
その他
コインマイナーが自身の不正活動を実行するためには、以下のファイルが必要になります。
- {parameter1}/.yam - Yam Miner、または
- {parameter1}/.xmrig - XMRig Miner
コインマイナーは以下を実行します。
- YAM minerは、プロキシ設定のため以下のファイルにアクセスします。
- /usr/bin/.proxy
- /tmp/.proxy
上記のファイルが存在しない場合、プロキシは使用されません。
- 以下のコマンドを使用して XMRig miner を実行します。
- {parameter2}/.xmrig --url={BLOCKED}.{BLOCKED}.146.35:4444/xmr --user={95 zeros}.{parameter1} -p x -k --url={BLOCKED}.{BLOCKED}.146.35:5555/xmr --user={95 zeros}.{parameter1} -p x -k --url={BLOCKED}.{BLOCKED}.146.35:3333/xmr --user={95 zeros}.{parameter1} -p x -k --url={BLOCKED}.{BLOCKED}.146.35:7777/xmr --user={95 zeros}.{parameter1} -p x -k --url={BLOCKED}.{BLOCKED}.146.35:80/xmr --user={95 zeros}.{parameter1} -p x -k --url={BLOCKED}.{BLOCKED}.146.35:443/xmr --user={95 zeros}.{parameter1} -p x -k --url={BLOCKED}.{BLOCKED}.146.35:6666/xmr --user={95 zeros}.{parameter1} -p x -k --max-cpu-usage=100 --donate-level=1 -B
- マルウェアは、仮想通貨の発掘活動に以下の詳細を使用します。
- ユーザ名: "{95 zeroes}.{parameter 1}"
- パスワード: "x"
- URL
- {BLOCKED}.{BLOCKED}.146.35:80/xmr
- {BLOCKED}.{BLOCKED}.146.35:443/xmr
- {BLOCKED}.{BLOCKED}.146.35:3333/xmr
- {BLOCKED}.{BLOCKED}.146.35:4444/xmr
- {BLOCKED}.{BLOCKED}.146.35:5555/xmr
- {BLOCKED}.{BLOCKED}.146.35:6666/xmr
- {BLOCKED}.{BLOCKED}.146.35:7777/xmr
- 以下のコマンドを使用して Yam miner を実行します。
- {parameter2}/.yam --cpu-load 100 -c x -M stratum+tcp://{95 zeros}.{parameter1}:x@{BLOCKED}.{BLOCKED}.146.35:4444/xmr -M stratum+tcp://{95 zeros}.{parameter1}:x@{BLOCKED}.{BLOCKED}.146.35:5555/xmr -M stratum+tcp://{95 zeros}.{parameter1}:x@{BLOCKED}.{BLOCKED}.146.35:3333/xmr -M stratum+tcp://{95 zeros}.{parameter1}:x@{BLOCKED}.{BLOCKED}.146.35:7777/xmr -M stratum+tcp://{95 zeros}.{parameter1}:x@{BLOCKED}.{BLOCKED}.146.35:80/xmr -M stratum+tcp://{95 zeros}.{parameter1}:x@{BLOCKED}.{BLOCKED}.146.35:443/xmr -M stratum+tcp://{95 zeros}.{parameter1}:x@{BLOCKED}.{BLOCKED}.146.35:6666/xmr {プロキシファイルの内容(あれば)}
対応方法
対応検索エンジン: 9.850
初回 VSAPI パターンバージョン 14.514.05
初回 VSAPI パターンリリース日 2018年9月19日
VSAPI OPR パターンバージョン 14.515.00
VSAPI OPR パターンリリース日 2018年9月20日
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「COINMINER.LINUX.MALXMR.ATNF」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください