TROJ_COINMINER.WINQ

マルウェアは、Windowsのタスクスケジューラを用いて、「スケジュールされたタスク」を作成します。これにより、作成されたコピーが実行されます。

マルウェアは、特定のWebサイトにアクセスし、情報を送受信します。

インストール

マルウェアは、異なるファイル名を用いて以下のフォルダ内に自身のコピーを作成します。

• %All Users Profile%\UpdateService\UpdateService.exe

(註：%All Users Profile%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\All Users”、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\ProgramData” です。.)

マルウェアは、以下のコンポーネントファイルを作成します。

• %Application Data%\AppCache\1\cygcom_err-2.dll
• %Application Data%\AppCache\1\cygcrypto-1.0.0.dll
• %Application Data%\AppCache\1\cygcurl-4.dll
• %Application Data%\AppCache\1\cyggcc_s-1.dll
• %Application Data%\AppCache\1\cyggssapi_krb5-2.dll
• %Application Data%\AppCache\1\cygiconv-2.dll
• %Application Data%\AppCache\1\cygidn-11.dll
• %Application Data%\AppCache\1\cygintl-8.dll
• %Application Data%\AppCache\1\cygk5crypto-3.dll
• %Application Data%\AppCache\1\cygkrb5-3.dll
• %Application Data%\AppCache\1\cygkrb5support-0.dll
• %Application Data%\AppCache\1\cyglber-2-4-2.dll
• %Application Data%\AppCache\1\cygldap-2-4-2.dll
• %Application Data%\AppCache\1\cygnghttp2-14.dll
• %Application Data%\AppCache\1\cygpsl-5.dll
• %Application Data%\AppCache\1\cygsasl2-3.dll
• %Application Data%\AppCache\1\cygssh2-1.dll
• %Application Data%\AppCache\1\cygssl-1.0.0.dll
• %Application Data%\AppCache\1\cygunistring-2.dll
• %Application Data%\AppCache\1\cygwin1.dll
• %Application Data%\AppCache\1\cygz.dll

(註：%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。.)

マルウェアは、以下のファイルを作成し実行します。

• %Application Data%\AppCache\1\java.exe←detected by Trend Micro as TROJ_COINMINER.AUSF

(註：%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。.)

マルウェアは、以下のプロセスを追加します。

• "%System%\schtasks.exe" /Delete /TN "UpdateService" /F
• "%System%\schtasks.exe" /Create /RU SYSTEM /SC ONSTART /TN "UpdateService" /TR "\"%All Users Profile%\UpdateService\UpdateService.exe\" -t"
• "%System%\schtasks.exe" /Run /TN "UpdateService"
• "%System%\schtasks.exe" /Delete /TN "UpdateService" /F
• "%System%\schtasks.exe" /Create /RU SYSTEM /SC ONSTART /TN "UpdateService" /TR "\"%All Users Profile%\UpdateService\UpdateService.exe\" -t"

(註：%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %All Users Profile%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\All Users”、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\ProgramData” です。.)

マルウェアは、Windowsのタスクスケジューラを用いて、「スケジュールされたタスク」を作成します。これにより、作成されたコピーが実行されます。

マルウェアは、以下のフォルダを作成します。

• %Application Data%\AppCache\1

(註：%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。.)

自動実行方法

この「スケジュールされたタスク」により、以下の時間ごとにマルウェアが実行されます。

• Windows Startup

作成活動

マルウェアは、以下のファイルを作成します。

• %Windows%\Tasks\UpdateService.job

(註：%Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.)

その他

マルウェアは、以下のWebサイトにアクセスし、情報を送受信します。

• http://{BLOCKED}op.ru/templates/beez3/html/layouts/joomla/system/log.php?url=/update/check
• {BLOCKED}op.ru
• {BLOCKED}eb.com
• xmr7.{BLOCKED}-pool.fr:3333