TROJ_COINMINE.NC

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、感染したコンピュータ内に以下として自身のコピーを作成し、実行します。

• %Application Data%\NsCpuCNMiner\CNminer.exe

(註：%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。.)

マルウェアは、以下のファイルを作成します。

• %Application Data%\NsCpuCNMiner\NsCpuCNMiner32.exe - Detected as TROJ_COINMINE.NC
• %Application Data%\NsCpuCNMiner\NsCpuCNMiner64.exe - Detected as TROJ_COINMINE.NC
• %Application Data%\NsCpuCNMiner\pools.txt - contains Bitcoin Mining Pool addresses

(註：%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。.)

マルウェアは、以下の無害なファイルを作成します。

• %User Temp%\ns{random}.tmp\inetc.dll - NSIS plugin (Deleted after use)
• %User Temp%\ns{random}.tmp\System.dll - NSIS plugin (Deleted after use)

(註：%User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。.)

マルウェアは、以下のフォルダを作成します。

• %Application Data%\NsCpuCNMiner
• %User Temp%\ns{random}.tmp

(註：%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。.. %User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。.)

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
CNminer = "%Application Data%\NsCpuCNMiner\CNminer.exe"

マルウェアは、Windows起動時に自動実行されるよう＜User Startup＞フォルダ内に以下のファイルを作成します。

• %User Startup%\CNminer.lnk - shortcut pointing to the dropped copy

(註：%User Startup%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザ名＞\Start Menu\Programs\Startup" 、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、" C:\Users\＜ユーザ名＞\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup" です。.)

プロセスの終了

マルウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。

• minerd.exe
• NsCpuCNMiner32.exe
• NsCpuCNMiner64.exe

その他

マルウェアが作成する以下のファイルは、「TROJ_COINMINE.NC」として検出されます。

• %Application Data%\NsCpuCNMiner\NsCpuCNMiner32.exe
• %Application Data%\NsCpuCNMiner\NsCpuCNMiner64.exe

マルウェアが作成する以下のファイルは、「Bitcoin（ビットコイン）」のマイニングプールのアドレスを含んでいます。

• %Application Data%\NsCpuCNMiner\pools.txt

マルウェアが作成する以下の無害なファイルは、NSISプラグインで利用後、削除されます。

• %User Temp%\ns{random}.tmp\inetc.dll
• %User Temp%\ns{random}.tmp\System.dll

マルウェアは、Windows起動時に自動実行されるよう＜User Startup＞フォルダ内に作成する以下のファイルは、作成されたコピーへ誘導するショートカットです。

• %User Startup%\CNminer.lnk

マルウェアは、webサイト"http://{domain name}/test.html?{7 random numbers}"に接続して自身の環境設定ファイルを読み込みします。変数"{domain name}"には以下のいずれかが当てはまります。

• {BLOCKED}.{BLOCKED}.238.223
• {BLOCKED}test.ru
• {BLOCKED}ts.ru
• {BLOCKED}ts.ru
• {BLOCKED}t.ru
• {BLOCKED}test.ru
• {BLOCKED}sy.ru

環境設定ファイルには、作成したファイル"NsCpuCNMiner{32 or 64}.exe"を実行する際に利用するパラメータが含まれています。

マルウェアは、ファイル"%Application Data%\NsCpuCNMiner\NsCpuCNMiner{32 or 64}.exe {parameter from the configuration file}"を実行します。以下は、パラメータの例です。

-dbg -1 -o {pool address} -t 0 -u {Wallet Address} -p x

マルウェアは、CPUを利用した「CryptoNote（暗号通貨）」のマイニングに利用されます。マルウェアは、以下の通貨をマイニングすることができます。

• AeonCoin(AEON)
• Bytecoin (BCN)
• Dashcoin (DSH)
• DuckDuckCoin (DUCK)
• Fantomcoin (FCN)
• Monero (XMR)
• MonetaVerde(MCN)
• OneEvilCoin(OEC)
• ORION
• QuazarCoin (QCN)

マルウェアは、ルートキット機能を備えていません。

マルウェアは、脆弱性を利用した感染活動を行いません。