WORM_COINMINER.QA

2016年7月6日

解析者: Michael Jay Villanueva

別名:

Trojan:Win32/CoinMiner!rfn (Microsoft); Trojan-CoinMiner (McAfee); W32/Miner.AYF!tr (Fortinet)

プラットフォーム:

Windows

危険度:

ダメージ度:

感染力:

感染確認数:

情報漏えい:

マルウェアタイプ: ワーム
破壊活動の有無: なし
暗号化:
感染報告の有無: はい

概要

ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

詳細

ファイルサイズ 3,552,168 bytes

タイプ EXE

発見日 2016年6月2日

侵入方法

ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

ワームは、感染したコンピュータ内に以下として自身のコピーを作成し、実行します。

%Application Data%\NsMiner\IMG001.exe

(註：%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。.)

ワームは、以下のファイルを作成します。

%Application Data%\NsMiner\pools.txt
%Application Data%\NsMiner\makensis.exe
%Application Data%\NsMiner\NsCpuCNMiner32.exe
%Application Data%\NsMiner\NsCpuCNMiner64.exe

ワームは、以下のフォルダを作成します。

%Application Data%\NsMiner\

自動実行方法

ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{Default} = %Application Data%\NsMiner\IMG001.exe

ワームは、Windows起動時に自動実行されるよう＜スタートアップ＞フォルダ内に以下のファイルを作成します。

%User Startup%\Run.lnk

(註：%User Startup%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザ名＞\Start Menu\Programs\Startup" 、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、" C:\Users\＜ユーザ名＞\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup" です。.)

感染活動

ワームは、すべてのリムーバブルドライブ内に以下として自身のコピーを作成します。

{Drive Letter}:\IMG001.exe

その他

ワームは、以下の不正なWebサイトにアクセスします。

http://{string}.ru/test.html
http://{string}.ru/stat.html
http://{string}.ru/text.html
where {string} may be of the following:
- {BLOCKED}s
- {BLOCKED}ti
- {BLOCKED}ts
- {BLOCKED}est
- {BLOCKED}s
- {BLOCKED}ts
- {BLOCKED}t
- {BLOCKED}est
- {BLOCKED}sy