Coinminer.PS1.MALXMR.MPN
別名:
N/A
プラットフォーム:
Windows
危険度:
ダメージ度:
感染力:
感染確認数:
情報漏えい:
マルウェアタイプ:
仮想通貨発掘ツール(コインマイナー)
破壊活動の有無:
なし
暗号化:
なし
感染報告の有無 :
はい
概要
感染経路 インターネットからのダウンロード, 他のマルウェアからの作成
コインマイナーは、他のマルウェアに作成され、コンピュータに侵入します。
詳細
ファイルサイズ 72,473 bytes
タイプ PS1
メモリ常駐 はい
発見日 2020年5月31日
ペイロード URLまたはIPアドレスに接続, ファイルの削除, サービスの無効, 情報収集, ファイルのダウンロード, メッセージの送信, ファイルの作成, プロセスの強制終了
侵入方法
コインマイナーは、以下のマルウェアに作成され、コンピュータに侵入します。
インストール
コインマイナーは、以下のフォルダを追加します。
- %Application Data%\url
- %Application Data%\InfectUSB
- %Application Data%\InfectOUTLOOK
- {Drive Letter}:\System
(註:%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming" です。)
コインマイナーは、以下のファイルを作成します。
- %Application Data%\Network
- %Application Data%\InfectMacro
- %Application Data%\sendContacts.txt
- Copies %Application Data%\CV.accde to the following directories:
- %User Profile%\SharePoint\
- %User Profile%\SharePoint\personal\
- %User Profile%\Dropbox\Public\
- %User Profile%\OneDrive\Public\
- %User Profile%\Google Drive\
- {Drive Letter}:\System\
- {Drive Letter}:\System\CheckIN.bat
- {Drive Letter}:\System\Autorun.inf → executes CheckIN.BAT
(註:%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming" です。. %User Profile%フォルダは、現在ログオンしているユーザのプロファイルフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>" です。)
コインマイナーは、以下のプロセスを追加します。
- For 32-bit:
- "%All Users Profile%\x32\xmrig.exe -o stratum+tcp://xmr.crypto-pool.fr:9999 -u 4AHjQydQzMZeMT9BdokLCeVgdipLDM2UA8mvGti8mx33K7jXdTcMS2GBMH5BUBhHVTchV3uJCidgKWiWEmnYexbAPgdwZ5h -p n -k -B --max-cpu-usage=90 --donate-level=0"
- For 64-bit:
- "%All Users Profile%\x64\xmrig.exe -o stratum+tcp://xmr.crypto-pool.fr:9999 -u 4AHjQydQzMZeMT9BdokLCeVgdipLDM2UA8mvGti8mx33K7jXdTcMS2GBMH5BUBhHVTchV3uJCidgKWiWEmnYexbAPgdwZ5h -p n -k -B --max-cpu-usage=90 --donate-level=0"
- Disable Windows Auto Update:
- "%System%\sc.exe" config wuauserv start=disabled
- "%System%\sc.exe" query wuauserv
- "%System%\sc.exe" stop wuauserv
- "%System%\sc.exe" query wuauserv
- "%System%\reg.exe" QUERY HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv /v Start
(註:%All Users Profile%フォルダは、ユーザの共通プロファイルフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\All Users” です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\ProgramData” です。. %System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)
他のシステム変更
コインマイナーは、以下のファイルを削除します。
- For 32-bit:
- %All Users Profile%\x32\start.cmd
- For 64-bit:
- %All Users Profile%\x64\start.cmd
(註:%All Users Profile%フォルダは、ユーザの共通プロファイルフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\All Users” です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\ProgramData” です。)
感染活動
上記INFファイルには、以下の文字列が含まれています。
[autorun]
open=/System/CheckIN.BAT
[autorun.alpha]
open=/System/CheckIN.BAT
[AutoRun]
shellexecute=/System/CheckIN.BAT
プロセスの終了
コインマイナーは、感染コンピュータ上で確認した以下のサービスを終了します。
- AVAST
- avg
- mpssvc
- SamSs
- SecurityHealthService
- WdNisSvc
- WinDefend
- wscsvc
- wuauserv
コインマイナーは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。
- _avp32.exe
- _avpcc.exe
- _avpm.exe
- aAvgApi.exe
- AAWTray.exe
- abmainsv.exe
- ackwin32.exe
- Ad-Aware.exe
- adaware.exe
- advxdwin.exe
- agentsvr.exe
- agentw.exe
- alertsvc.exe
- alevir.exe
- alogserv.exe
- amon9x.exe
- andnavapw32.exe
- anti-trojan.exe
- antivirservice.exe
- antivirus.exe
- ants.exe
- apimonitor.exe
- aplica32.exe
- apvxdwin.exe
- arr.exe
- atcon.exe
- atguard.exe
- atro55en.exe
- atupdater.exe
- atwatch.exe
- au.exe
- aupdate.exe
- auto-protect.nav80try.exe
- autodown.exe
- autotrace.exe
- autoupdate.exe
- avconsol.exe
- ave32.exe
- AVENGINE.EXE
- aveservice.exe
- avgcc32.exe
- avgctrl.exe
- avgemc.exe
- avgemc.exe
- avgnt.exe
- avgrsx.exe
- avgserv.exe
- avgserv9.exe
- avguard.exe
- avgw.exe
- avkpop.exe
- avkproxy.exe
- avkserv.exe
- avkservice.exe
- avkwctl9.exe
- avltmain.exe
- avnt.exe
- avp.exe
- avp.exe
- avp32.exe
- avpcc.exe
- avpdos32.exe
- avpm.exe
- avptc32.exe
- avpupd.exe
- avsched32.exe
- avsynmgr.exe
- avwin.exe
- avwin95.exe
- avwinnt.exe
- avwupd.exe
- avwupd32.exe
- avwupsrv.exe
- avxmonitor9x.exe
- avxmonitornt.exe
- avxquar.exe
- backweb.exe
- bargains.exe
- bd_professional.exe
- bdss.exe
- beagle.exe
- belt.exe
- bidef.exe
- bidserver.exe
- bipcp.exe
- bipcpevalsetup.exe
- bisp.exe
- blackd.exe
- blackice.exe
- blink.exe
- blss.exe
- bootconf.exe
- bootwarn.exe
- borg2.exe
- bpc.exe
- brasil.exe
- bs120.exe
- bundle.exe
- bvt.exe
- ccapp.exe
- ccevtmgr.exe
- ccEvtMrg.exe
- ccpxysvc.exe
- ccSetMgr.exe
- cdp.exe
- cfd.exe
- cfgwiz.exe
- cfiadmin.exe
- cfiaudit.exe
- cfinet.exe
- cfinet32.exe
- cfp.ex
- clamav.exe
- claw95.exe
- claw95cf.exe
- clean.exe
- cleaner.exe
- cleaner3.exe
- cleanpc.exe
- click.exe
- cmd.exe
- cmd32.exe
- cmesys.exe
- cmgrdian.exe
- cmon016.exe
- connectionmonitor.exe
- cpd.exe
- cpf9x206.exe
- cpfnt206.exe
- ctrl.exe
- cv.exe
- cwnb181.exe
- cwntdwmo.exe
- datemanager.exe
- dcomx.exe
- defalert.exe
- defscangui.exe
- defwatch.exe
- deputy.exe
- divx.exe
- dllcache.exe
- dllreg.exe
- doors.exe
- dpf.exe
- dpfsetup.exe
- dpps2.exe
- drwatson.exe
- drweb32.exe
- drwebupw.exe
- dssagent.exe
- dvp95.exe
- dvp95_0.exe
- ecengine.exe
- efpeadm.exe
- ekrn.exe
- emsw.exe
- ent.exe
- esafe.exe
- escanhnt.exe
- escanv95.exe
- espwatch.exe
- ethereal.exe
- etrustcipe.exe
- evpn.exe
- exantivirus-cnet.exe
- exe.avxw.exe
- expert.exe
- explore.exe
- f-agnt95.exe
- f-prot.exe
- f-prot95.exe
- f-stopw.exe
- fameh32.exe
- fast.exe
- fch32.exe
- fih32.exe
- findviru.exe
- firewall.exe
- fnrb32.exe
- fp-win.exe
- fp-win_trial.exe
- fpavserver.exe
- fprot.exe
- frw.exe
- fsaa.exe
- fsav.exe
- fsav32.exe
- fsav32.exe
- fsav530stbyb.exe
- fsav530wtbyb.exe
- fsav95.exe
- fsdfwd.exe
- fsgk32.exe
- fsguiexe.exe
- fsm32.exe
- fsma.exe
- fsma32.exe
- fsmb32.exe
- gator.exe
- gbmenu.exe
- gbpoll.exe
- generics.exe
- gmt.exe
- guard.exe
- guarddog.exe
- hacktracersetup.exe
- hbinst.exe
- hbsrv.exe
- hotactio.exe
- hotpatch.exe
- htlog.exe
- htpatch.exe
- hwpe.exe
- hxdl.exe
- hxiul.exe
- iamapp.exe
- iamserv.exe
- iamstats.exe
- ibmasn.exe
- ibmavsp.exe
- icload95.exe
- icloadnt.exe
- icmon.exe
- icsupp95.exe
- icsuppnt.exe
- idle.exe
- iedll.exe
- iedriver.exe
- iexplorer.exe
- iface.exe
- ifw2000.exe
- ikarus-guardx.exe
- immunetprotect.exe
- inetlnfo.exe
- infus.exe
- infwin.exe
- init.exe
- intdel.exe
- intren.exe
- iomon98.exe
- istsvc.exe
- jammer.exe
- jdbgmrg.exe
- jedi.exe
- kavlite40eng.exe
- kavpers40eng.exe
- kavpf.exe
- kazza.exe
- keenvalue.exe
- kerio-pf-213-en-win.exe
- kerio-wrl-421-en-win.exe
- kerio-wrp-421-en-win.exe
- kernel32.exe
- killprocesssetup161.exe
- klblmain.exe
- launcher.exe
- ldnetmon.exe
- ldpro.exe
- ldpromenu.exe
- ldscan.exe
- lnetinfo.exe
- loader.exe
- localnet.exe
- lockdown.exe
- lockdown2000.exe
- lookout.exe
- lordpe.exe
- lsetup.exe
- luall.exe
- luau.exe
- lucomserver.exe
- luinit.exe
- luspt.exe
- mapisvc32.exe
- mcagent.exe
- mcmnhdlr.exe
- MCODS
- MCSHELL
- mcshield.exe
- MCSHIELDnisum.exe
- mctool.exe
- mcupdate.exe
- mcvsrte.exe
- mcvsshld.exe
- md.exe
- mfin32.exe
- mfw2en.exe
- mfweng3.02d30.exe
- mgavrtcl.exe
- mgavrte.exe
- mghtml.exe
- mgui.exe
- minilog.exe
- mmod.exe
- monitor.exe
- moolive.exe
- mostat.exe
- MPFAGENT
- mpfagent.exe
- MPFSERVICE
- mpfservice.exe
- mpftray.exe
- mrflux.exe
- msapp.exe
- MSASCui.exe
- msbb.exe
- msblast.exe
- mscache.exe
- msccn32.exe
- mscman.exe
- msconfig.exe
- msdm.exe
- msdos.exe
- msiexec16.exe
- msinfo32.exe
- mslaugh.exe
- msmgt.exe
- msmpeng.exe
- msmpsvc.exe
- msmsgri32.exe
- MSSCLLI
- mssmmc32.exe
- mssys.exe
- msvxd.exe
- mu0311ad.exe
- mwatch.exe
- n32scanw.exe
- nav.exe
- navap.navapsvc.exe
- navapsvc.exe
- navapsvc.exe
- navapw32.exe
- navdx.exe
- navlu32.exe
- navnt.exe
- navstub.exe
- navw32.exe
- navwnt.exe
- nc2000.exe
- ncinst4.exe
- ndd32.exe
- neomonitor.exe
- neowatchlog.exe
- netarmor.exe
- netd32.exe
- netinfo.exe
- netmon.exe
- netscanpro.exe
- netspyhunter-1.2.exe
- netstat.exe
- netutils.exe
- nisserv.exe
- nisum.exe
- nmain.exe
- nod32.exe
- normist.exe
- norton_internet_secu_3.0_407.exe
- notstart.exe
- npf40_tw_98_nt_me_2k.exe
- npfmessenger.exe
- nprotect.exe
- npscheck.exe
- npssvc.exe
- nsched32.exe
- nssys32.exe
- nstask32.exe
- nsupdate.exe
- nt.exe
- ntrtscan.exe
- ntrtscan.exe
- ntvdm.exe
- ntxconfig.exe
- nui.exe
- nupgrade.exe
- nvarch16.exe
- nvc95.exe
- nvsrvc32.exe
- nvsvc32.exe
- nwinst4.exe
- nwservice.exe
- nwtool16.exe
- ollydbg.exe
- onsrvr.exe
- optimize.exe
- ostronet.exe
- otfix.exe
- outpost.exe
- outpostinstall.exe
- outpostproinstall.exe
- padmin.exe
- panixk.exe
- patch.exe
- pavcl.exe
- pavproxy.exe
- pavsched.exe
- pavsrv.exe
- pavw.exe
- pccwin98.exe
- pcfwallicon.exe
- pcip10117_0.exe
- pcscan.exe
- pdsetup.exe
- periscope.exe
- persfw.exe
- persfw.exe
- perswf.exe
- pf2.exe
- pfwadmin.exe
- pgmonitr.exe
- pingscan.exe
- platin.exe
- pop3trap.exe
- poproxy.exe
- popscan.exe
- portdetective.exe
- portmonitor.exe
- powerscan.exe
- ppinupdt.exe
- pptbc.exe
- ppvstop.exe
- prizesurfer.exe
- prmt.exe
- prmvr.exe
- procdump.exe
- processmonitor.exe
- procexplorerv1.0.exe
- programauditor.exe
- proport.exe
- protectx.exe
- pshost.exe
- pspf.exe
- purge.exe
- qconsole.exe
- qserver.exe
- rapapp.exe
- rav7.exe
- rav7win.exe
- rav8win32eng.exe
- ray.exe
- rb32.exe
- rcsync.exe
- realmon.exe
- reged.exe
- regedit.exe
- regedt32.exe
- rescue.exe
- rescue32.exe
- rrguard.exe
- rshell.exe
- rtvscan.exe
- rtvscn95.exe
- rulaunch.exe
- run32dll.exe
- rundll.exe
- rundll16.exe
- ruxdll32.exe
- safeweb.exe
- sahagent.exe
- save.exe
- savenow.exe
- savscan.exe
- savservice.exe
- SBAMSvc.exe
- sbserv.exe
- sc.exe
- scam32.exe
- scan32.exe
- scan95.exe
- scanpm.exe
- scrscan.exe
- serv95.exe
- setup_flowprotector_us.exe
- setupvameeval.exe
- sfc.exe
- sgssfw32.exe
- sh.exe
- shellspyinstall.exe
- shn.exe
- showbehind.exe
- shServ.exe
- smc.exe
- sms.exe
- smss32.exe
- soap.exe
- sofi.exe
- sperm.exe
- spf.exe
- sphinx.exe
- spoler.exe
- spoolcv.exe
- spoolsv32.exe
- spyxx.exe
- srexe.exe
- srng.exe
- ss3edit.exe
- ssg_4104.exe
- ssgrate.exe
- st2.exe
- start.exe
- stcloader.exe
- supftrl.exe
- support.exe
- supporter5.exe
- svc.exe
- svchostc.exe
- svchosts.exe
- svshost.exe
- sweep95.exe
- sweepnet.sweepsrv.sys.swnetsup.exe
- symproxysvc.exe
- symtray.exe
- sysedit.exe
- system.exe
- system32.exe
- sysupd.exe
- taskmg.exe
- taskmgr.exe
- taskmo.exe
- taskmon.exe
- taumon.exe
- tbscan.exe
- tc.exe
- tca.exe
- tcm.exe
- tds-3.exe
- tds2-98.exe
- tds2-nt.exe
- teekids.exe
- tfak.exe
- tfak5.exe
- tgbob.exe
- titanin.exe
- titaninxp.exe
- tmntsrv.exe
- tracert.exe
- trickler.exe
- trjscan.exe
- trjsetup.exe
- trojantrap3.exe
- tsadbot.exe
- tvmd.exe
- tvtmd.exe
- undoboot.exe
- updat.exe
- update.exe
- upgrad.exe
- utpost.exe
- vbcmserv.exe
- vbcons.exe
- vbservprof.exe
- vbust.exe
- vbwin9x.exe
- vbwinntw.exe
- vcsetup.exe
- vet32.exe
- vet95.exe
- vettray.exe
- vfsetup.exe
- vir-help.exe
- virusmdpersonalfirewall.exe
- vnlan300.exe
- vnpc3000.exe
- vpc32.exe
- vpc42.exe
- vpfw30s.exe
- vptray.exe
- vscan40.exe
- vscenu6.02d30.exe
- vsched.exe
- vsecomr.exe
- vshwin32.exe
- vsisetup.exe
- vsmain.exe
- vsmon.exe
- vsstat.exe
- vswin9xe.exe
- vswinntse.exe
- vswinperse.exe
- w32dsm89.exe
- w9x.exe
- watchdog.exe
- webdav.exe
- webscanx.exe
- webtrap.exe
- wfindv32.exe
- whoswatchingme.exe
- wimmun32.exe
- win-bugsfix.exe
- win32.exe
- win32us.exe
- winactive.exe
- windefend.exe
- window.exe
- windows.exe
- wininetd.exe
- wininitx.exe
- winlogin.exe
- winmain.exe
- winnet.exe
- winppr32.exe
- winrecon.exe
- winservn.exe
- winssk32.exe
- winstart.exe
- winstart001.exe
- wintsk32.exe
- winupdate.exe
- wkufind.exe
- wnad.exe
- wnt.exe
- wradmin.exe
- wrctrl.exe
- wsbgate.exe
- wupdater.exe
- wupdt.exe
- wyvernworksfirewall.exe
- xpf202en.exe
- zapro.exe
- zapsetup3001.exe
- zatutor.exe
- ZLCLIENT
- zonalm2601.exe
- zonealarm.exe
- zmrig
ダウンロード活動
コインマイナーは、以下のWebサイトにアクセスし、不正なファイルをダウンロードして実行します。
- For 32-bit:
- https://github.com/xmrig/xmrig/releases/download/{BLOCKED}/xmrig{BLOCKED}gcc-win32.zip
- For 64-bit:
- https://github.com/xmrig/xmrig/releases/download/{BLOCKED}/xmrig{BLOCKED}gcc-win64.zip
コインマイナーは、以下のファイル名でダウンロードしたファイルを保存します。
- For 32-bit:
- %All Users Profile%\win32.zip
- Extracts downloaded file's contents to:
- %All Users Profile%\x32\
- Containing the following files:
- config.json → coinminer configuration file
- start.cmd → executes xmrig.exe
- xmrig.exe → Detected as Coinminer.Win32.TOOLXMR.VJODM
- For 64-bit:
- %All Users Profile%\win64.zip
- Extracts downloaded file's contents to:
- %All Users Profile%\x64\
- Containing the following files:
- config.json → coinminer configuration file
- start.cmd → executes xmrig.exe
- xmrig.exe → Detected as Coinminer.Win64.TOOLXMR.AT
情報漏えい
コインマイナーは、収集したEメールアドレス情報を以下のファイルに保存します。
- %Application Data%\Contacts.txt
(註:%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming" です。)
コインマイナーは、保存されている以下のEメール認証情報を収集します。
- Microsoft Outlook
その他
コインマイナーは、以下の不正なWebサイトにアクセスします。
- https://{BLOCKED}d.ly/{BLOCKED}dia
コインマイナーは、以下を実行します。
- It disables the Windows Auto Update
- It modifies the Windows Defender settings which does the following:
- It allows threat detections to be ignored
- It disables the following features:
- Archive scanning
- Auto-scan on downloaded files and attachments
- Auto-update of definition updates on start-up
- Behavior monitoring
- Block at first seen
- Microsoft Active Protection Service
- Network protection against exploitation of known vulnerabilities
- Privacy mode
- Real-time monitoring
- Script scanning
- It adds the following directories to exclude during scheduled and real-time scanning:
- %Public%\Libraries
- For 32-bit:
- %All Users Profile%\win32.zip
- %All Users Profile%\x32\
- %All Users Profile%\x32\xmrig-2.3.1-gcc-win32\xmrig-2.3.1-gcc-win32\xmrig-2.3.1
- For 64-bit:
- %All Users Profile%\win64.zip
- %All Users Profile%\x64\
- %All Users Profile%\x64\xmrig-2.3.1-gcc-win64\xmrig-2.3.1-gcc-win64\xmrig-2.3.1
- It adds the following processes to exclude during scheduled and real-time scanning:
- zmrig
- zmrig.exe
- It adds the following file extensions to exclude during scheduled and real-time scanning:
- exe
- .exe
- It disables Windows Defender by modifying the following registry entry::
- In HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender
- DisableAntiSpyware = 1
- DisableAntiSpyware = 1
- Adds the following registry keys to allow macro to be inserted on document files:
- In HKEY_CURRENT_USER\Software\Microsoft\Office\{Version}\Excel\Security
- AccessVBOM = 1
- AccessVBOM = 1
- Adds the following registry keys to enable macros on document files:
- In HKEY_CURRENT_USER\Software\Microsoft\Office\{Version}\Excel\Security
- VBAWarnings = 1
- VBAWarnings = 1
- It sends the following email to the gathered email addresses:
- Subject: Job Application
- Body: Good Morning.
- Attachment/s: %Application Data%\CV.accde
I'm interesed in a job.
I've attached a copy of my resume.
Good Morning - Infect .docx and .xlsx files found on the affected machine by adding macros that:
- Connects to the following URL(s) and downloads its component file:
- http://{BLOCKED}xrkbiepyylgdcwrcjimxnfsrbgravivgbannnpnubawpdvekzbdbuqrd.{BLOCKED}.com.ua/uac.txt
- Copies %Application Data%\CV.accde as %Application Data%\CVaccde
- It creates an lnk file of the following extensions found on the Removable Drive:
- .doc
- .xls
- .ppt
- {Original Filename}.lnk
- Target Path: "%System%\WindowsPowerShell\v1.0\powershell.exe"
- Argument: '-noprofile -windowstyle hidden -executionpolicy bypass Invoke-Item -Path "{Original Filename}"; Invoke-Item -Path \System\CheckIN.BAT'
- After creating the .lnk version of the file, it will hide the original file by changing its attribute to Hidden.
対応方法
対応検索エンジン: 9.850
初回 VSAPI パターンバージョン 15.904.06
初回 VSAPI パターンリリース日 2020年6月1日
VSAPI OPR パターンバージョン 15.905.00
VSAPI OPR パターンリリース日 2020年6月2日
手順 1
Windows XP、Windows Vista 、Windows 7、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。
手順 3
「Coinminer.PS1.MALXMR.MPN」で検出したファイル名を確認し、そのファイルを終了します。
[ 詳細 ]
- すべての実行中プロセスが、Windows のタスクマネージャに表示されない場合があります。この場合、"Process Explorer" などのツールを使用しマルウェアのファイルを終了してください。"Process Explorer" については、こちらをご参照下さい。
- 検出ファイルが、Windows のタスクマネージャまたは "Process Explorer" に表示されるものの、削除できない場合があります。この場合、コンピュータをセーフモードで再起動してください。
セーフモードについては、こちらをご参照下さい。 - 検出ファイルがタスクマネージャ上で表示されない場合、次の手順にお進みください。
手順 4
変更されたレジストリ値を修正します。
[ 詳細 ]
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender
- From: DisableAntiSpyware = 1
To: DisableAntiSpyware = 0
- From: DisableAntiSpyware = 1
手順 5
以下のレジストリキーを削除します。
[ 詳細 ]
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。レジストリの編集前にこちらをご参照ください。
- In HKEY_CURRENT_USER\Software\Microsoft\Office\{Version}\Excel\Security
- AccessVBOM = 1
- AccessVBOM = 1
- In HKEY_CURRENT_USER\Software\Microsoft\Office\{Version}\Excel\Security
- VBAWarnings = 1
- VBAWarnings = 1
手順 6
- コマンドプロンプトを起動します。
- Windows 2000、XP および Server 2003 の場合:
[スタート]-[ファイル名を指定して実行]を選択し、cmd と入力し、Enter を押します。
- Windows Vista、7、Server 2008 の場合:
[スタート]をクリックし、検索入力欄に cmd と入力し、Enter を押します。 - Windows 8、8.1 および Server 2012 の場合:
[スタート]-[プログラムとファイルの検索]に cmd と入力し、Enter を押します。画面の左下隅を右クリックし、[コマンド プロンプト]を選択します。
※cmd は半角英数字で入力する必要があります(大文字/小文字は区別されません)。
- Windows 2000、XP および Server 2003 の場合:
- コンソールウィンドウに以下を入力します。
- ATTRIB -H D:\* /S /D
- 他のドライブやディレクトリ内のフォルダおよびファイルに対して、手順 3.)を繰り返してください。
ATTRIB [+R | -R] [+A | -A ] [+S | -S] [+H | -H] [+I | -I] [ドライブ:][パス][ファイル名] [/S [/D] [/L]]
各コマンドの意味は以下のとおりです。+:属性の設定
-:属性の解除
R:読み取り専用属性
A:アーカイブ属性
S:システムファイル属性
H:隠しファイル属性
I:非インデックス対象ファイル属性
[drive:][path][filename]
[ドライブ:][パス][ファイル名]:attribで処理するファイルの指定
/S:現在のフォルダとすべてのサブフォルダ内で一致するファイルの処理
/D:フォルダも処理
/L:Symbolic Link(シンボリックリンク)のターゲットに対するシンボリックリンク属性での動作
コマンド例:
Dドライブ内のサブフォルダを含むすべてのフォルダおよびファイルの隠しファイル属性を解除する場合。
手順 7
Microsoft Office 製品のマクロウイルス保護機能を有効にします。
[ 詳細 ]
手順 8
以下のファイルを検索し削除します。
[ 詳細 ]
コンポーネントファイルが隠しファイル属性の場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。 - %Application Data%\Network
- %Application Data%\InfectMacro
- %Application Data%\sendContacts.txt
- %Application Data%\Contacts.txt
- %Application Data%\CV.accde
- %User Profile%\SharePoint\CV.accde
- %User Profile%\SharePoint\personal\CV.accde
- %User Profile%\Dropbox\Public\CV.accde
- %User Profile%\OneDrive\Public\CV.accde
- %User Profile%\Google Drive\CV.accde
- {Drive Letter}:\System\CV.accde
- {Drive Letter}:\System\CheckIN.bat
- {Drive Letter}:\System\Autorun.inf
- {Drive Letter}:\{Original Filename}.lnk
手順 9
以下のフォルダを検索し削除します。
[ 詳細 ]
フォルダが隠しフォルダ属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。 - %Application Data%\url
- %Application Data%\InfectUSB
- %Application Data%\InfectOUTLOOK
- {Drive Letter}:\System
手順 10
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Coinminer.PS1.MALXMR.MPN」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください