PUA.Win64.TOOLXMR.HF

プログラムは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

プログラムは、ワーム活動の機能を備えていません。

プログラムは、バックドア活動の機能を備えていません。

プログラムは、情報収集する機能を備えていません。

侵入方法

プログラムは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

プログラムは、以下のフォルダを追加します。

• %ProgramData%\bitmonero

(註：%ProgramData%フォルダは、マルチユーザーシステムにおいて任意のユーザがプログラムに変更を加えることができるプログラムファイルフォルダのバージョンです。これには、すべてのユーザのアプリケーションデータが含まれます。Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\ProgramData" です。Windows Server 2003(32-bit)、2000(32-bit)、XPの場合、通常 "C:\Documents and Settings\All Users" です。 )

プログラムは、以下のファイルを作成します。

• %ProgramData%\bitmonero\bitmonero.log
• %ProgramData%\bitmonero\lmdb\data.mdb
• %ProgramData%\bitmonero\lmdb\lock.mdb

(註：%ProgramData%フォルダは、マルチユーザーシステムにおいて任意のユーザがプログラムに変更を加えることができるプログラムファイルフォルダのバージョンです。これには、すべてのユーザのアプリケーションデータが含まれます。Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\ProgramData" です。Windows Server 2003(32-bit)、2000(32-bit)、XPの場合、通常 "C:\Documents and Settings\All Users" です。 )

自動実行方法

プログラムは、以下のサービスを開始します。

• Service name: Monero Daemon (executes {Malware file path and name} --install-service --run-as-service)

感染活動

プログラムは、ワーム活動の機能を備えていません。

バックドア活動

プログラムは、バックドア活動の機能を備えていません。

ルートキット機能

プログラムは、ルートキット機能を備えていません。

情報漏えい

プログラムは、情報収集する機能を備えていません。

その他

マルウェアは、以下のパラメータを受け取ります。

• --help - Produce help message
• --version - Output version information
• --os-version - OS for which this executable was compiled
• --config-file - Specify configuration file
• --install-service - Install Windows service
• --uninstall-service - Uninstall Windows service
• --start-service - Start Windows service
• --stop-service - Stop Windows service
• --log-file - Specify log file
• --max-log-file-size - Specify maximum log file size [B]
• --max-log-files - Specify maximum number of rotated log files to be saved (no limit by setting to 0)
• --max-concurrency - Max number of threads to use for a parallel job
• --public-node - Allow other users to use the node as a remote (restricted RPC mode, view-only commands) and advertise it over P2P
• --zmq-rpc-bind-ip - IP for ZMQ RPC server to listen on
• --zmq-rpc-bind-port - Port for ZMQ RPC server to listen on
• --no-zmq - Disable ZMQ RPC server
• --data-dir - Specify data directory
• --test-drop-download - Discard all blocks instead checking/saving them
• --testnet - Run on testnet
• --stagenet - Run on stagenet
• --regtest - Run in a regression testing mode.
• --fixed-difficulty - Fixed difficulty used for testing.
• --enforce-dns-checkpointing - Checkpoints from DNS server will be enforced
• --prep-blocks-threads - Max number of threads to use when preparing block hashes in groups.
• --fast-block-sync - Sync up most of the way by using embedded, known block hashes.
• --show-time-stats - Show time-stats when processing blocks/txs and disk synchronization.
• --block-sync-size - How many blocks to sync at once during chain synchronization (0 = adaptive).
• --check-updates - Check for new versions of monero: [disabled|notify|download|update]
• --fluffy-blocks - Relay blocks as fluffy blocks (obsolete, now default)
• --no-fluffy-blocks - Relay blocks as normal blocks
• --test-dbg-lock-sleep arg (=0) - Sleep time in ms, defaults to 0 (off), used to debug before/after locking mutex. Values 100 to 1000 are good for tests.
• --offline - Do not listen for peers, nor connect to any
• --disable-dns-checkpoints - Do not retrieve checkpoints from DNS
• --block-download-max-size - Set maximum size of block download queue in bytes (0 for default)
• --sync-pruned-blocks - Allow syncing from nodes with only pruned blocks
• --max-txpool-weight - Set maximum txpool weight in bytes.
• --pad-transactions - Pad relayed transactions to help defend against traffic volume analysis
• --block-notify - Run a program for each new block
• --prune-blockchain - Prune blockchain
• --reorg-notify - Run a program for each reorg
• --block-rate-notify - Run a program when the block rateundergoes large fluctuations
• --keep-alt-blocks - Keep alternative blocks on restart
• --extra-messages-file - Specify file for extra messages to include into coinbase transactions
• --start-mining - Specify wallet address to mining for
• --mining-threads - Specify mining threads count
• --bg-mining-enable - Enable background mining
• --bg-mining-ignore-battery - If true, assumes plugged in when unable to query system power status
• --bg-mining-min-idle-interval - Specify min lookback interval in seconds for determining idle state
• --bg-mining-idle-threshold - Specify minimum avg idle percentage over lookback interval
• --bg-mining-miner-target - Specify maximum percentage cpu use by miner(s)
• --db-sync-mode - Specify sync option, using format [safe|fast|fastest]:[sync|async]:[[blocks]| [bytes]].
• --db-salvage - Try to salvage a blockchain database if it seems corrupted
• --p2p-bind-ip - Interface for p2p network protocol (IPv4)
• --p2p-bind-ipv6-address - Interface for p2p network protocol (IPv6)
• --p2p-bind-port - Port for p2p network protocol (IPv4)
• --p2p-bind-port-ipv6 - Port for p2p network protocol (IPv6)
• --p2p-use-ipv6 - Enable IPv6 for p2p
• --p2p-ignore-ipv4 - Ignore unsuccessful IPv4 bind for p2p
• --p2p-external-port - External port for p2p network protocol (if port forwarding used with NAT)
• --allow-local-ip - Allow local ip add to peer list, mostly in debug purposes
• --add-peer - Manually add peer to local peerlist
• --add-priority-node - Specify list of peers to connect to and attempt to keep the connection open
• --add-exclusive-node - Specify list of peers to connect to only. If this option is given the options add-priority-node and seed-node are ignored
• --seed-node - Connect to a node to retrieve peer addresses, and disconnect
• --tx-proxy - Send local txes through proxy
• --hide-my-port - Do not announce yourself as peerlist candidate
• --no-sync - Don't synchronize the blockchain with other peers
• --no-igd - Disable UPnP port mapping
• --igd - UPnP port mapping (disabled, enabled, delayed)
• --out-peers - Set max number of out peers
• --in-peers - Set max number of in peers
• --tos-flag - Set TOS flag
• --limit-rate-up - Set limit-rate-up [kB/s]
• --limit-rate-down - Set limit-rate-down [kB/s]
• --limit-rate - Set limit-rate [kB/s]
• --rpc-bind-port - Port for RPC server
• --rpc-restricted-bind-port - Port for restricted RPC server
• --restricted-rpc - Restrict RPC to view only commands and do not return privacy sensitive data in RPC calls
• --bootstrap-daemon-address - URL of a 'bootstrap' remote daemon that the connected wallets can use while this daemon is still not fully synced. Use 'auto' to enable automatic public nodes discovering and bootstrap daemon switching
• --bootstrap-daemon-login - Specify username:password for the bootstrap daemon login
• --rpc-bind-ip - Specify IP to bind RPC server
• --rpc-bind-ipv6-address - Specify IPv6 address to bind RPC server
• --rpc-use-ipv6 - Allow IPv6 for RPC
• --rpc-ignore-ipv4 - Ignore unsuccessful IPv4 bind for RPC
• --rpc-login - Specify username[:password] required for RPC server
• --confirm-external-bind - Confirm rpc-bind-ip value is NOT a loopback (local) IP
• --rpc-access-control-origins - Specify a comma separated list of origins to allow cross origin resource sharing
• --rpc-ssl - Enable SSL on RPC connections: enabled|disabled|autodetect
• --rpc-ssl-private-key - Path to a PEM format private key
• --rpc-ssl-certificate - Path to a PEM format certificate
• --rpc-ssl-ca-certificates - Path to file containing concatenated PEM format certificate(s) to replace system CA(s).
• --rpc-ssl-allowed-fingerprints - List of certificate fingerprints to allow
• --rpc-ssl-allow-chained - Allow user (via --rpc-ssl-certificates) chain certificates
• --rpc-ssl-allow-any-cert - Allow any peer certificate
• --rpc-payment-address - Restrict RPC to clients sending micropayment to this address
• --rpc-payment-difficulty - Restrict RPC to clients sending micropayment at this difficulty
• --rpc-payment-credits - Restrict RPC to clients sending micropayment, yields that many credits per payment

マルウェアは、脆弱性を利用した感染活動を行いません。

＜補足＞
自動実行方法

プログラムは、以下のサービスを開始します。

• サービス名 - Monero Daemon（{マルウェアのファイルパスおよび名前} --install-service --run-as-serviceの実行）

その他

マルウェアは、以下のパラメータを受け取ります。

• --help - ヘルプメッセージの生成
• --version - バージョン情報の出力
• --os-version - プログラムがコンパイルされたオペレーティングシステム（OS）
• --config-file - 環境設定ファイルの指定
• --install-service - Windowsサービスのインストール
• --uninstall-service - Windowsサービスのアンインストール
• --start-service - Windowsサービスの開始
• --stop-service - Windowsサービスの停止
• --log-file - ログファイルの指定
• --max-log-file-size - 最大ログファイルサイズの指定 [B]
• --max-log-files - 保存するローテーションされたログファイルの最大数の指定（0に設定することで制限なし）
• --max-concurrency - 並列ジョブに使用するスレッドの最大数
• --public-node - 他のユーザがノードをリモートとして使用できるようにし（制限付きRPCモード、表示専用コマンド）、P2Pを介してノードをアドバタイズする
• --zmq-rpc-bind-ip - ZMQ RPCサーバが待機するIP
• --zmq-rpc-bind-port - ZMQ RPCサーバが待機するポート
• --no-zmq - ZMQ RPCサーバの無効化
• --data-dir - データディレクトリの指定
• --test-drop-download - ブロックを確認/保存する代わりに、すべてのブロックを破棄
• --testnet - testnet上で実行
• --stagenet - stagenet上で実行
• --regtest - 回帰テストモードで実行
• --fixed-difficulty - テストで使用される難易度の修正
• --enforce-dns-checkpointing - DNSサーバからのCheckpointsが適用される
• --prep-blocks-threads - グループ内でブロックのハッシュを準備する際に使用するスレッドの最大数
• --fast-block-sync - 埋め込まれた既知のブロックのハッシュを使用して、ほとんどの場合で同期
• --show-time-stats - ブロック/ 送金またはディスクを同期処理する際に処理時間の統計を表示
• --block-sync- - ブロックチェーン同期中に一度に同期するブロックの数（0 = 適応）.
• --check-updates - moneroの新しいバージョンの確認 - [無効|通知|ダウンロード|アップデート]
• --fluffy-blocks - fluffyブロックとしてブロックを中継（廃止、現在はデフォルト）
• --no-fluffy-blocks - 通常のブロックとしてブロックを中継
• --test-dbg-lock-sleep arg (=0) - スリープ時間（ミリ秒）。デフォルト設定では0（オフ）。Mutexをロックする前/後のデバッグに使用。テストに適する値は、100〜1000
• --offline - ピアの待機、または、いずれの接続も行わない
• --disable-dns-checkpoints - DNSからcheckpointsを取得しない
• --block-download-max-size - ブロックのダウンロードキューの最大サイズをbyte単位で設定（デフォルト設定では0）
• --sync-pruned-blocks - プルーニングされたブロックのみを持つノードからの同期の許可
• --max-txpool-weight - 最大txpoolの重みをbyte単位で設定
• --pad-transactions - 中継トランザクションを取得して、トラフィック量分析から防御
• --block-notify - 新しいブロックごとにプログラムの実行
• --prune-blockchain - ブロックチェーンの剪定
• --reorg-notify - reorgごとにプログラムの実行
• --block-rate-notify -ブロックレートが大きく変動した際にプログラムを実行
• --keep-alt-blocks - 再起動時に代替ブロックの保持
• --extra-messages-file - コインベーストランザクションに含める追加メッセージのファイルの指定
• --start-mining - マイニングを行うウォレットアドレスの指定
• --mining-threads - マイニングスレッド数の指定
• --bg-mining-enable - バックグラウンドでのマイニングの有効化
• --bg-mining-ignore-battery - trueの場合、コンピュータの電源状態を照会できない際にプラグインされていると見なす
• --bg-mining-min-idle-interval - アイドル状態を判別するための最小ルックバック間隔を秒単位で指定
• --bg-mining-idle-threshold - ルックバック間隔での最小平均アイドル率の指定
• --bg-mining-miner-target - コインマイナーによる最大CPU使用率の指定
• --db-sync-mode - フォーマット[safe|fast|fastest] - [sync|async] - [[blocks]| [bytes]] を使用して同期オプションの指定
• --db-salvage - ブロックチェーンデータベースが破損していると思われる場合は、サルベージを試行
• --p2p-bind-ip - p2pネットワークプロトコル（IPv4）のインターフェイス
• --p2p-bind-ipv6-address - p2pネットワークプロトコル（IPv6）のインターフェイス
• --p2p-bind-port - p2pネットワークプロトコル（IPv4）のポート
• --p2p-bind-port-ipv6 - p2pネットワークプロトコル（IPv6）のポート
• --p2p-use-ipv6 - p2pのIPv6の有効化
• --p2p-ignore-ipv4 - p2pにおいて失敗したIPv4バインドの無視
• --p2p-external-port - p2pネットワークプロトコルの外部ポート（NATを使用してポート転送される場合）
• --allow-local-ip - 主にデバッグ目的で、ローカルIPのピアリストへの追加を有効化
• --add-peer - ローカルピアリストにピアを手動で追加
• --add-priority-node - 接続するピアリストを指定し、接続を開いた状態の維持を試みる
• --add-exclusive-node - 接続するピアリストのみを指定。このオプションが指定されている場合、オプションadd-priority-nodeおよびseed-nodeは無視される
• --seed-node - ノードに接続してピアアドレスを取得し、切断
• --tx-proxy - プロキシを介してローカルtxを送信
• --hide-my-port - ピアリストの候補として自身を通知しない
• --no-sync - ブロックチェーンを他のピアと同期しない
• --no-igd - UPnPポートマッピングの無効化
• --igd - UPnPポートマッピング（無効、有効、遅延）
• --out-peers - アウトピアの最大数の設定
• --in-peers - ピア内の最大数の設定
• --tos-flag - TOSフラグの設定
• --limit-rate-up - limit-rate-up [kB/s]の設定
• --limit-rate-down - limit-rate-down [kB/s]の設定
• --limit-rate - limit-rate [kB/s]を設定
• --rpc-bind-port - RPCサーバのポート
• --rpc-restricted-bind-port - 制限付きRPCサーバのポート
• --restricted-rpc - コマンドのみを表示し、RPC呼び出しでプライバシー面に配慮が要求されるデータを返さないようにRPCを制限
• --bootstrap-daemon-address - このデーモンがまだ完全に同期されていない際に接続されたウォレットが使用可能な「bootstrap」remote daemonのURL。 「auto」を使用して、自動パブリックノード検出およびbootstrap daemonのスイッチの有効化
• --bootstrap-daemon-login - ブートストラップデーモンログインのユーザ名 - パスワードを指定
• --rpc-bind-ip - rpc-bind-ip-RPCサーバをバインドするIPの指定
• --rpc-bind-ipv6-address - RPCサーバをバインドするIPv6アドレスの指定
• --rpc-use-ipv6 - RPCにIPv6の許可
• --rpc-ignore-ipv4 - RPCの失敗したIPv4バインドを無視
• --rpc-login - RPCサーバに必要なユーザ名[ - パスワード]を指定
• --confirm-external-bind - rpc-bind-ip値がループバック（ローカル）IPでないことの確認
• --rpc-access-control-origins - オリジン間リソース共有を可能にするためにコンマ区切りリストの指定
• --rpc-ssl - RPC接続でSSLを有効化 - 有効|無効|自動検出
• --rpc-ssl-private-key - PEM形式の秘密鍵へのパス
• --rpc-ssl-certificate - PEM形式の証明書へのパス
• --rpc-ssl-ca-certificates - コンピュータのCAを置き換える連結されたPEM形式の証明書を含むファイルへのパス
• --rpc-ssl-allowed-fingerprints - 許可する証明書のフィンガープリントの一覧
• --rpc-ssl-allow-chained - ユーザに（-rpc-ssl-certificatesを介して）ブロックチェーン証明書の許可
• --rpc-ssl-allow-any-cert - すべてのピア証明書を許可
• --rpc-payment-address - このアドレスにマイクロペイメントを送信するクライアントにRPCを制限
• --rpc-payment-difficulty - この難易度でマイクロペイメントを送信するクライアントへのRPCを制限
• --rpc-payment-credits - マイクロペイメントを送信するクライアントへのRPCを制限し、支払い毎にその数のクレジットを生成