COINMINER.LINUX.KORKERDS.AB

2018年10月30日

解析者: Kiyoshi Obuchi

プラットフォーム:

Linux

危険度:

ダメージ度:

感染力:

感染確認数:

システムへの影響:

情報漏えい:

マルウェアタイプ:
仮想通貨発掘ツール（コインマイナー）
破壊活動の有無:
なし
暗号化:
はい
感染報告の有無 :
はい

概要

感染経路インターネットからのダウンロード, 他のマルウェアからの作成

コインマイナーは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

概要:プログラムは、コンピュータのCPUおよびGPUのリソースを利用して仮想通貨を発掘します。

詳細

ファイルサイズ 487,424 bytes

タイプ ELF

メモリ常駐なし

発見日 2018年10月25日

ペイロード URLまたはIPアドレスに接続

侵入方法

その他

マルウェアは、以下のパラメータを受け取ります。

- -h, --help -> show help
- -v, --version ->show version number
- -V, --version-long ->show long version number
- -c, --config FILE ->common miner configuration file
- -C, --poolconf FILE ->pool configuration file
- --benchmark BLOCKVERSION ->ONLY do a benchmark and exit
- --benchwait WAIT_SEC -> benchmark wait time
- --benchwork WORK_SEC ->benchmark work time
- --noCPU -> disable the CPU miner backend
- --cpu FILE ->CPU backend miner config file
The following options can be used for automatic start without a guided config, If config exists then this pool will be top priority.
- -o, --url URL ->pool url and port, e.g. {BLOCKED}.{BLOCKED}ool.com:3333
- -O, --tls-url URL ->TLS pool url and port, e.g. {BLOCKED}.{BLOCKED}ool.com:10443
- -u, --user USERNAME ->pool user name or wallet address
- -r, --rigid RIGID ->rig identifier for pool-side statistics (needs pool support)
- -p, --pass PASSWD ->pool password, in the most cases x or empty ""
- --use-nicehash ->the pool should run in nicehash mode
- --currency NAME ->currency to mine
Supported coin options:
- - aeon7
- - bbscoin
- - bittube
- - cryptonight
- - cryptonight_bittube2
- - cryptonight_masari
- - cryptonight_haven
- - cryptonight_heavy
- - cryptonight_lite
- - cryptonight_lite_v7
- - cryptonight_lite_v7_xor
- - cryptonight_v7
- - cryptonight_v7_stellite
- - graft
- - haven
- - intense
- - masari
- - monero7
- - ryo
- - stellite
- - turtlecoin

詳細:プログラムは、コンピュータのCPUおよびGPUのリソースを利用して仮想通貨を発掘します。その結果、感染コンピュータの動作が非常に遅くなります。

<補足>

マルウェアは、以下を実行します。

マルウェアは、仮想通貨の発掘活動に以下の詳細を使用します。
- アルゴリズム: "cryptonight"
- ユーザ名: "46FtfupUcayUCqG7Xs7YHREgp4GW3CGvLN4aHiggaYd75WvHM74Tpg1FVEM8fFHFYDSabM3rPpNApEBY4Q4wcEMd3BM4Ava.ten_y"
- パスワード: "CN2"
- URL
  - {BLOCKED}m+tcp://{BLOCKED}.{BLOCKED}mr.ru:56415
- コインマイナーは、仮想通貨の発掘活動の一環として、以下のURLに接続します。
  - {BLOCKED}m+tcp://{BLOCKED}.{BLOCKED}mr.ru:56415
マルウェアは、以下のパラメータを受け取ります。
- -h, --help → ヘルプの表示
- -v, --version → バージョン番号の表示
- -V, --version-long → ロングバージョン番号の表示
- -c, --config FILE → 一般的なマイナーの設定ファイル
- -C, --poolconf FILE → プールの設定ファイル
- --benchmark BLOCKVERSION → ベンチマークと終了のみ実行
- --benchwait WAIT_SEC → ベンチマークの待機時間
- --benchwork WORK_SEC → ベンチマークの実行時間
- --noCPU → CPUマイナーのバックエンドの無効化
- --cpu FILE → CPUのバックエンドにあるマイナーの設定ファイル
以下のオプションは、guided configurationがなくても自動的に起動します。環境設定が存在する場合、以下のプールの起動が最優先になります。
- -o, --url URL → プールURLやポート番号 {BLOCKED}.{BLOCKED}ool.com:3333
- -O, --tls-url URL → TLS プール URLやポート番号 {BLOCKED}.{BLOCKED}ool.com:10443
- -u, --user USERNAME → プールユーザ名、またはウォレットアドレス
- -r, --rigid RIGID → プールサイド統計のリグ識別子（プールサポートが必要）
- -p, --pass PASSWD → プールパスワードは、多くの場合、x または空白
- --use-nicehash → プールはnicehashモードで実行される必要があります。
- --currency NAME → currency to mine
サポートされているコインオプション:
- - aeon7
- - bbscoin
- - bittube
- - cryptonight
- - cryptonight_bittube2
- - cryptonight_masari
- - cryptonight_haven
- - cryptonight_heavy
- - cryptonight_lite
- - cryptonight_lite_v7
- - cryptonight_lite_v7_xor
- - cryptonight_v7
- - cryptonight_v7_stellite
- - graft
- - haven
- - intense
- - masari
- - monero7
- - ryo
- - stellite
- - turtlecoin

対応方法

対応検索エンジン: 9.850

初回 VSAPI パターンバージョン 14.588.05

初回 VSAPI パターンリリース日 2018年10月26日

VSAPI OPR パターンバージョン 14.589.00

VSAPI OPR パターンリリース日 2018年10月27日

最新のバージョン（エンジン、パターンファイル）を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「COINMINER.LINUX.KORKERDS.AB」と検出したファイルはすべて削除してください。検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

ご利用はいかがでしたか？　アンケートにご協力ください