解析者: Bren Matthew Ebriega   
 プラットフォーム:

Linux

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 システムへの影響:
 情報漏えい:

  • マルウェアタイプ:
    仮想通貨発掘ツール(コインマイナー)

  • 破壊活動の有無:
    なし

  • 暗号化:
    なし

  • 感染報告の有無 :
    はい

  概要

コインマイナーは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

概要:プログラムは、コンピュータのCPUおよびGPUのリソースを利用して仮想通貨を発掘します。

  詳細

ファイルサイズ 3,672,976 bytes
タイプ ELF
メモリ常駐 はい
発見日 2020年6月5日

侵入方法

コインマイナーは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

その他

コインマイナーが自身の不正活動を実行するためには、以下のコンポーネントが必要になります。

  • {Coinminer Directory}\config.json

コインマイナーは、以下を実行します。

  • Accepts the following Parameters:
    • -b, --bind=ADDR bind to specified address, example "0.0.0.0:3333"
    • -a, --algo=ALGO mining algorithm https://xmrig.com/docs/algorithms
    • --coin=COIN specify coin instead of algorithm
    • -m, --mode=MODE proxy mode, nicehash (default) or simple
    • -o, --url=URL URL of mining server
    • -O, --userpass=U:P username:password pair for mining server
    • -u, --user=USERNAME username for mining server
    • -p, --pass=PASSWORD password for mining server
    • --encin encin
    • --encout encout
    • --rig-id=ID rig identifier for pool-side statistics (needs pool support)
    • --tls-fingerprint=F pool TLS certificate fingerprint, if set enable strict certificate pinning
    • -k, --keepalive prevent timeout (needs pool support)
    • -r, --retries=N number of times to retry before switch to backup server (default: 1)
    • -R, --retry-pause=N time to pause between retries (default: 1 second)
    • --custom-diff=N override pool diff
    • --reuse-timeout=N timeout in seconds for reuse pool connections in simple mode
    • --verbose verbose output
    • --user-agent=AGENT set custom user-agent string for pool
    • --no-color disable colored output
    • --no-workers disable per worker statistics
    • --variant algorithm PoW variant
    • --donate-level=N donate level, default 2%%
    • -B, --background run the miner in the background
    • -c, --config=FILE load a JSON-format configuration file
    • -l, --log-file=FILE log all output to a file
    • -S, --syslog use system log for output messages
    • -A --access-log-file=N log all workers access to a file
    • --access-password=P set password to restrict connections to the proxy
    • --no-algo-ext disable "algo" protocol extension
    • --api-worker-id=ID custom worker-id (instance name) for API
    • --api-id=ID custom instance ID for API
    • --http-enabled enable HTTP API
    • --http-host=HOST bind host for HTTP API (by default 127.0.0.1)
    • --http-port=N bind port for HTTP API
    • --http-access-token=T access token for HTTP API
    • --http-no-restricted enable full remote access to HTTP API (only if access token set)
    • --tls enable SSL/TLS support for pool connection (needs pool support)
    • --tls-bind=ADDR bind to specified address with enabled TLS
    • --tls-cert=FILE load TLS certificate chain from a file in the PEM format
    • --tls-cert-key=FILE load TLS certificate private key from a file in the PEM format
    • --tls-dhparam=FILE load DH parameters for DHE ciphers from a file in the PEM format
    • --tls-protocols=N enable specified TLS protocols, example: "TLSv1 TLSv1.1 TLSv1.2 TLSv1.3"
    • --tls-ciphers=S set list of available ciphers (TLSv1.2 and below)
    • --tls-ciphersuites=S set list of available TLSv1.3 ciphersuites
    • -h, --help display this help and exit
    • -V, --version output version information and exit
  • Supported algo options:
    • cryptonight/0
    • cryptonight
    • cryptonight/1
    • cryptonight/2
    • cryptonight-monerov7
    • cryptonight-monerov8
    • cryptonight/r
    • cryptonight/fast
    • cryptonight/msr
    • cryptonight/half
    • cryptonight/xao
    • cryptonight_alloy,
    • cryptonight/rto
    • cryptonight/rwz
    • cryptonight/zls
    • cryptonight/double
    • cryptonight/gpu
    • cryptonight-lite/0
    • cryptonight-lite/1
    • cryptonight-lite
    • cryptonight-light
    • cryptonight_lite
    • cryptonight-aeonv7
    • cryptonight_lite_v7
    • cryptonight-heavy/0
    • cryptonight-heavy
    • cryptonight_heavy
    • cryptonight-heavy/xhv
    • cryptonight_haven
    • cryptonight-heavy/tube
    • cryptonight-bittube2
    • cryptonight-pico
    • cryptonight-pico/trtl
    • cryptonight-turtle
    • cryptonight-ultralite
    • cryptonight_turtle
    • randomx/test
    • RandomX
    • RandomWOW
    • RandomXL
    • randomx/arq
    • RandomARQ
    • randomx/loki
    • randomx/wow
    • randomx/0
    • argon2/chukwa
    • argon2/wrkz
  • Supported coin options:
    • monero
    • arqma

詳細:プログラムは、コンピュータのCPUおよびGPUのリソースを利用して仮想通貨を発掘します。その結果、感染コンピュータの動作が非常に遅くなります。

  対応方法

対応検索エンジン: 9.850
初回 VSAPI パターンバージョン 15.912.05
初回 VSAPI パターンリリース日 2020年6月5日
VSAPI OPR パターンバージョン 15.913.00
VSAPI OPR パターンリリース日 2020年6月6日

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Coinminer.Linux.MALXMR.UWEKT」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください