• Email
• Facebook
• Twitter
• Google+
• Linkedin

Coinminer.Linux.KINSING.D

---

• マルウェアタイプ: 仮想通貨発掘ツール（コインマイナー）
• 破壊活動の有無: なし
• 暗号化: はい
• 感染報告の有無: はい

---

  概要

コインマイナーは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

コインマイナーは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。

概要:プログラムは、コンピュータのCPUおよびGPUのリソースを利用して仮想通貨を発掘します。

---

  詳細

侵入方法

コインマイナーは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

コインマイナーは、以下のフォルダを追加します。

• /tmp/.ICEd-unix

コインマイナーは、以下のファイルを作成します。

• /tmp/.ICEd-unix/uuid

コインマイナーは、以下のファイルを作成し実行します。

• /tmp/kdevtmpfsi

バックドア活動

コインマイナーは、不正リモートユーザからの以下のコマンドを実行します。

• Download and execute a file
• Update downloaded files
• Execute a command
• Execute a command and send output to server
• Create an HTTP request
• Create a TCP request
• Brute-force Redis instances
• Execute MASSCAN IP Port Scanner
  • Drops firewire.sh to download and execute the masscan tool

プロセスの終了

コインマイナーは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。

• kdevtmpfsi

情報漏えい

コインマイナーは、以下の情報を収集します。

• OS Version
• OS Name
• OS Architecture
• Product Name
• Product Version
• Product Serial
• Product UUID
• Board Vendor
• Board Name
• Board Version
• Board Serial
• Board Asset Tag
• Chassis Vendor
• Chassis Type
• Chassis Version
• Chassis Serial
• Chassis Asset Tag
• Bios Vendor
• Bios Version
• Bios Date
• Sys Vendor
• Kernel Version

その他

コインマイナーは、以下を実行します。

• This backdoor checks for the connection to the following URL to choose which C2 server to send and receive information:
  • {BLOCKED}.53.140
  • {BLOCKED}102.77
  • {BLOCKED}48.183
  • {BLOCKED}77.79
  • {BLOCKED}179.88
  • {BLOCKED}154.208
  • {BLOCKED}.150.99
  • {BLOCKED}46.81
  • {BLOCKED}2.107
  • {BLOCKED}.224.182
  • {BLOCKED}.179.225
  • {BLOCKED}.224.21
  • {BLOCKED}.23.210
  • {BLOCKED}238.176
  • {BLOCKED}159.2
  • {BLOCKED}220.193
• This backdoor receives its commands via HTTP GET to the following URL:
  • {Server}/GET

詳細:プログラムは、コンピュータのCPUおよびGPUのリソースを利用して仮想通貨を発掘します。その結果、感染コンピュータの動作が非常に遅くなります。

---

  対応方法

ご利用はいかがでしたか？　アンケートにご協力ください