COINMINER.LINUX.KORKERDS.AB
2018年10月30日
プラットフォーム:
Linux
危険度:
ダメージ度:
感染力:
感染確認数:
システムへの影響:
情報漏えい:
マルウェアタイプ:
仮想通貨発掘ツール(コインマイナー)
破壊活動の有無:
なし
暗号化:
はい
感染報告の有無 :
はい
概要
感染経路 インターネットからのダウンロード, 他のマルウェアからの作成
コインマイナーは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
概要:プログラムは、コンピュータのCPUおよびGPUのリソースを利用して仮想通貨を発掘します。
詳細
ファイルサイズ 487,424 bytes
タイプ ELF
メモリ常駐 なし
発見日 2018年10月25日
ペイロード URLまたはIPアドレスに接続
侵入方法
コインマイナーは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
その他
マルウェアは、以下のパラメータを受け取ります。
- -h, --help -> show help
- -v, --version ->show version number
- -V, --version-long ->show long version number
- -c, --config FILE ->common miner configuration file
- -C, --poolconf FILE ->pool configuration file
- --benchmark BLOCKVERSION ->ONLY do a benchmark and exit
- --benchwait WAIT_SEC -> benchmark wait time
- --benchwork WORK_SEC ->benchmark work time
- --noCPU -> disable the CPU miner backend
- --cpu FILE ->CPU backend miner config file
- The following options can be used for automatic start without a guided config, If config exists then this pool will be top priority.
- -o, --url URL ->pool url and port, e.g. {BLOCKED}.{BLOCKED}ool.com:3333
- -O, --tls-url URL ->TLS pool url and port, e.g. {BLOCKED}.{BLOCKED}ool.com:10443
- -u, --user USERNAME ->pool user name or wallet address
- -r, --rigid RIGID ->rig identifier for pool-side statistics (needs pool support)
- -p, --pass PASSWD ->pool password, in the most cases x or empty ""
- --use-nicehash ->the pool should run in nicehash mode
- --currency NAME ->currency to mine
- Supported coin options:
- - aeon7
- - bbscoin
- - bittube
- - cryptonight
- - cryptonight_bittube2
- - cryptonight_masari
- - cryptonight_haven
- - cryptonight_heavy
- - cryptonight_lite
- - cryptonight_lite_v7
- - cryptonight_lite_v7_xor
- - cryptonight_v7
- - cryptonight_v7_stellite
- - graft
- - haven
- - intense
- - masari
- - monero7
- - ryo
- - stellite
- - turtlecoin
詳細:プログラムは、コンピュータのCPUおよびGPUのリソースを利用して仮想通貨を発掘します。その結果、感染コンピュータの動作が非常に遅くなります。
<補足>
マルウェアは、以下を実行します。
- マルウェアは、仮想通貨の発掘活動に以下の詳細を使用します。
- アルゴリズム: "cryptonight"
- ユーザ名: "46FtfupUcayUCqG7Xs7YHREgp4GW3CGvLN4aHiggaYd75WvHM74Tpg1FVEM8fFHFYDSabM3rPpNApEBY4Q4wcEMd3BM4Ava.ten_y"
- パスワード: "CN2"
- URL
- {BLOCKED}m+tcp://{BLOCKED}.{BLOCKED}mr.ru:56415
- コインマイナーは、仮想通貨の発掘活動の一環として、以下のURLに接続します。
- {BLOCKED}m+tcp://{BLOCKED}.{BLOCKED}mr.ru:56415
マルウェアは、以下のパラメータを受け取ります。
- -h, --help → ヘルプの表示
- -v, --version → バージョン番号の表示
- -V, --version-long → ロングバージョン番号の表示
- -c, --config FILE → 一般的なマイナーの設定ファイル
- -C, --poolconf FILE → プールの設定ファイル
- --benchmark BLOCKVERSION → ベンチマークと終了のみ実行
- --benchwait WAIT_SEC → ベンチマークの待機時間
- --benchwork WORK_SEC → ベンチマークの実行時間
- --noCPU → CPUマイナーのバックエンドの無効化
- --cpu FILE → CPUのバックエンドにあるマイナーの設定ファイル
- 以下のオプションは、guided configurationがなくても自動的に起動します。環境設定が存在する場合、以下のプールの起動が最優先になります。
- -o, --url URL → プールURLやポート番号 {BLOCKED}.{BLOCKED}ool.com:3333
- -O, --tls-url URL → TLS プール URLやポート番号 {BLOCKED}.{BLOCKED}ool.com:10443
- -u, --user USERNAME → プールユーザ名、またはウォレットアドレス
- -r, --rigid RIGID → プールサイド統計のリグ識別子(プールサポートが必要)
- -p, --pass PASSWD → プールパスワードは、多くの場合、x または空白
- --use-nicehash → プールはnicehashモードで実行される必要があります。
- --currency NAME → currency to mine
- サポートされているコインオプション:
- - aeon7
- - bbscoin
- - bittube
- - cryptonight
- - cryptonight_bittube2
- - cryptonight_masari
- - cryptonight_haven
- - cryptonight_heavy
- - cryptonight_lite
- - cryptonight_lite_v7
- - cryptonight_lite_v7_xor
- - cryptonight_v7
- - cryptonight_v7_stellite
- - graft
- - haven
- - intense
- - masari
- - monero7
- - ryo
- - stellite
- - turtlecoin
対応方法
対応検索エンジン: 9.850
初回 VSAPI パターンバージョン 14.588.05
初回 VSAPI パターンリリース日 2018年10月26日
VSAPI OPR パターンバージョン 14.589.00
VSAPI OPR パターンリリース日 2018年10月27日
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「COINMINER.LINUX.KORKERDS.AB」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください