Trend Micro Security

Coinminer.SH.MALXMR.ATNP

2019年2月28日
 解析者: Warren Adam Sto. Tomas   
 別名:

Trojan.Linux.Coinminer (Ikarus)

 プラットフォーム:

Linux

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: 仮想通貨発掘ツール(コインマイナー)
  • 破壊活動の有無: なし
  • 暗号化: なし
  • 感染報告の有無: はい

  概要

感染経路 他のマルウェアからの作成, インターネットからのダウンロード

コインマイナーは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

  詳細

タイプ Other
メモリ常駐 なし
発見日 2019年2月21日
ペイロード プロセスの強制終了, URLまたはIPアドレスに接続

侵入方法

コインマイナーは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

バックドア活動

コインマイナーは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。

  • {BLOCKED}.{BLOCKED}.70.143:8888

プロセスの終了

コインマイナーは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。

  • processes with the following strings in its command:
    • {BLOCKED}.moneropool.com
    • {BLOCKED}.t00ls.ru
    • {BLOCKED}.crypto-pool.fr:8080
    • {BLOCKED}.crypto-pool.fr:3333
    • {BLOCKED}bcn@yahoo.com
    • {BLOCKED}hash.com
    • /tmp/a7b104c270
    • {BLOCKED}.crypto-pool.fr:6666
    • {BLOCKED}.crypto-pool.fr:7777
    • {BLOCKED}.crypto-pool.fr:443
    • {BLOCKED}.f2pool.com:8888
    • {BLOCKED}ool.eu
    • xiaoyao
    • xiaoxue
    • stratum
  • processes with process name:
    • jenkins
    • {digit numbers} -c
    • biosetjenkins
    • Loopback
    • apaceha
    • cryptonight
    • stratum
    • mixnerdx
    • performedl
    • JnKihGjn
    • irqba2anc1
    • irqba5xnc1
    • irqbnc1
    • ir29xc1
    • conns
    • irqbalance
    • crypto-pool
    • minexmr
    • XJnRj
    • mgwsl
    • pythno
    • jweri
    • lx26
    • NXLAi
    • BI5zj
    • askdljlqw
    • minerd
    • minergate
    • Guard.sh
    • ysaydh
    • bonns
    • donns
    • kxjd
    • Duck.sh
    • bonn.sh
    • conn.sh
    • kworker34
    • kw.sh
    • pro.sh
    • polkitd
    • acpid
    • icb5o
    • nopxi
    • irqbalanc1
    • minerd
    • i586
    • gddr
    • mstxmr
    • ddg.2011
    • wnTKYg
    • deamon
    • disk_genius
    • sourplum
    • polkitd
    • nanoWatch
    • zigw
  • processes found in /tmp or with more than 40% cpu usage and does not contain any of the following in its command line:
    • devtool
    • update.sh
    • systemctI

ダウンロード活動

コインマイナーは、以下のWebサイトにアクセスし、ファイルをダウンロードします。

  • http://{BLOCKED}.{BLOCKED}.70.143:8506/IOFoqIgyC0zmf2UR/config.json

コインマイナーは、以下のWebサイトにアクセスし、不正なファイルをダウンロードして実行します。

  • http://{BLOCKED}.{BLOCKED}.70.143:8506/IOFoqIgyC0zmf2UR/devtool
  • http://{BLOCKED}.{BLOCKED}.70.143:8506/IOFoqIgyC0zmf2UR/update.sh
  • http://{BLOCKED}.{BLOCKED}.70.143:8506/IOFoqIgyC0zmf2UR/systemctI

コインマイナーは、以下のファイル名でダウンロードしたファイルを保存します。

  対応方法

対応検索エンジン: 9.850
初回 VSAPI パターンバージョン 14.828.06
初回 VSAPI パターンリリース日 2019年2月21日
VSAPI OPR パターンバージョン 14.829.00
VSAPI OPR パターンリリース日 2019年2月22日

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Coinminer.SH.MALXMR.ATNP」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください