Analyse von: Joshua John Bantayan   
 

Win64:CoinminerX-gen [Trj] (AVAST); HEUR:Trojan.Win32.Miner.vho (KASPERSKY)

 Plattform:

Windows

 Risikobewertung (gesamt):
 Schadenspotenzial::
 Verteilungspotenzial::
 reportedInfection:
 Trend Micro Lösungen:
Niedrig
Mittel
Hoch
Kritisch

  • Malware-Typ:
    Coinminer

  • Zerstrerisch?:
    Nein

  • Verschlsselt?:
    Ja

  • In the wild::
    Ja

  Überblick

Infektionsweg: Aus dem Internet heruntergeladen

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

  Technische Details

Dateigröße: 1,439,744 bytes
Dateityp: DLL
Speicherresiden: Ja
Erste Muster erhalten am: 16 Oktober 2020
Schadteil: Connects to URLs/IPs

Übertragungsdetails

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Installation

Fügt die folgenden Mutexe hinzu, damit nur jeweils eine ihrer Kopien ausgeführt wird:

  • Samplexn07

Andere Details

Es macht Folgendes:

  • Supported algorithm options:
    • cryptonight-aeonv7
    • cryptonight-bittube2
    • cryptonight-heavy
    • cryptonight-heavy/0
    • cryptonight-heavy/tube
    • cryptonight-heavy/xhv
    • cryptonight-light
    • cryptonight-lite
    • cryptonight-lite/0
    • cryptonight-lite/1
    • cryptonight/double
    • cryptonight/half
    • cryptonight/msr
    • cryptonight/rto
    • cryptonight/rwz
    • cryptonight/xao
    • cryptonight/zls
    • RandomARQ
    • RandomWOW
    • RandomX
    • randomx/arq
    • randomx/loki
    • randomx/test
    • randomx/wow
    • RandomXL
    • rx/loki


  • Supported coin options:
    • monero
    • arqma
  • Accepts the following Parameters:
    • --algo=ALGO - mining algorithm
    • --coin=COIN - specify coin instead of algorithm
    • --api-worker-id=ID - custom worker-id for API
    • --api-id=ID - custom instance ID for API
    • --http-enabled - enable HTTP API
    • --http-host=HOST bind host for HTTP API
    • --http-access-token=T access token for HTTP API
    • --http-port=N bind port for HTTP API
    • --http-no-restricted - enable full remote access to HTTP API (only if access token set)
    • --daemon - use daemon RPC instead of pool for solo mining
    • --daemon-poll-interval=N - daemon poll interval in milliseconds (default: 1000)
    • --self-select=URL - self-select block templates from URL
    • --background - run the miner in the background
    • --config=FILE - load a JSON-format configuration file
    • --cpu-affinity - set process affinity to CPU core(s), mask 0x3 for cores 0 and 1
    • --cpu-priority - set process priority (0 idle, 2 normal to 5 highest)
    • --donate-level=N donate level, default 5%% (5 minutes in 100 minutes)
    • --donate-over-proxy=N control donate over xmrig-proxy feature
    • --dry-run - test configuration and exit
    • --keepalive send keepalived packet for prevent timeout (needs pool support)
    • --log-file=FILE - log all output to a file
    • --nicehash enable nicehash.com support
    • --no-color - disable colored output
    • --no-huge-pages - disable huge pages support
    • --pass=PASSWORD - password for mining server
    • --print-time=N - print hashrate report every N seconds
    • --retries=N - number of times to retry before switch to backup server (default: 5)
    • --retry-pause=N - time to pause between retries (default: 5)
    • --syslog - use system log for output messages
    • --threads=N - number of CPU threads
    • --user=USERNAME username for mining server
    • --cpu-max-threads-hint=N - maximum CPU threads count (in percentage) hint for autoconfig
    • --cpu-memory-pool=N - number of 2 MB pages for persistent memory pool, -1 (auto), 0 (disable)
    • --cpu-no-yield prefer maximum hashrate rather than system response/stability
    • --tls-fingerprint=HEX - pool TLS certificate fingerprint for strict certificate pinning
    • --randomx-init=N - threads count to initialize RandomX dataset
    • --randomx-no-numa - disable NUMA support for RandomX
    • --randomx-mode=MODE RandomX mode: auto, fast, light
    • --randomx-1gb-pages use 1GB hugepages for dataset (Linux only)
    • --randomx-wrmsr=N write custom value (0-15) to Intel MSR register 0x1a4 or disable MSR mod (-1)
    • --opencl - enable OpenCL mining backend
    • --opencl-devices=N - list of OpenCL devices to use
    • --opencl-platform=N- OpenCL platform index or name
    • --opencl-loader=PATH - path to OpenCL-ICD-Loader (OpenCL.dll or libOpenCL.so)
    • --opencl-no-cache - disable OpenCL cache
    • --cuda enable CUDA mining backend
    • --cuda-loader=PATH path to CUDA plugin (xmrig-cuda.dll or libxmrig-cuda.so)
    • --cuda-devices=N comma separated list of CUDA devices to use
    • --cuda-bfactor-hint=N bfactor hint for autoconfig (0-12)
    • --cuda-bsleep-hint=N bsleep hint for autoconfig
    • --no-nvml-disable NVML (NVIDIA Management Library) support
    • --health-print-time=N - print health report every N seconds
    • --help - display this help and exit
    • --version - output version information and exit
    • --export-topology - export hwloc topology to a XML file and exit
    • --print-platforms - print available OpenCL platforms and exit

  Lösungen

Mindestversion der Scan Engine: 9.800
Erste VSAPI Pattern-Datei: 16.296.05
Erste VSAPI Pattern veröffentlicht am: 19 Oktober 2020
VSAPI OPR Pattern-Version: 16.297.00
VSAPI OPR Pattern veröffentlicht am: 20 Oktober 2020

Step 2

Für Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.

Step 3

Dateien erkennen und deaktivieren, die als Coinminer.Win64.MALXMR.GAIM entdeckt wurden

[ learnMore ]
  1. Für Windows 98 und ME Benutzer: Der Windows Task-Manager zeigt möglicherweise nicht alle aktiven Prozesse an. Verwenden Sie in diesem Fall einen Prozess-Viewer eines Drittanbieters, vorzugsweise Process Explorer, um die Malware-/Grayware-/Spyware-Datei zu beenden. Dieses Tool können Sie hier.
    2. herunterladen.
  2. Wenn die entdeckte Datei im Windows Task-Manager oder Process Explorer angezeigt wird, aber nicht gelöscht werden kann, starten Sie Ihren Computer im abgesicherten Modus neu. Klicken Sie auf diesen Link, um alle erforderlichen Schritte anzuzeigen.
  3. Wenn die entdeckte Datei nicht im Windows Task-Manager oder im Process Explorer angezeigt wird, fahren Sie mit den nächsten Schritten fort.

Step 4

Durchsuchen Sie Ihren Computer mit Ihrem Trend Micro Produkt, und löschen Sie Dateien, die als Coinminer.Win64.MALXMR.GAIM entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem Trend Micro Produkt gesäubert, gelöscht oder in Quarantäne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarantäne können einfach gelöscht werden. Auf dieser Knowledge-Base-Seite finden Sie weitere Informationen.


Nehmen Sie an unserer Umfrage teil