解析者: Bren Matthew Ebriega   
 別名:

Riskware/CoinMiner (FORTINET); HEUR:RiskTool.Linux.BitCoinMiner.n (KASPERSKY)

 プラットフォーム:

Linux

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:

  • マルウェアタイプ:
    仮想通貨発掘ツール(コインマイナー)

  • 破壊活動の有無:
    なし

  • 暗号化:
    なし

  • 感染報告の有無 :
    はい

  概要

感染経路 インターネットからのダウンロード, 他のマルウェアからの作成

コインマイナーは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

  詳細

ファイルサイズ 10,561,096 bytes
タイプ ELF
メモリ常駐 はい
発見日 2021年4月30日
ペイロード プロセスの強制終了, URLまたはIPアドレスに接続

侵入方法

コインマイナーは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

コインマイナーは、以下のファイルを作成します。

  • /tmp/systemd_conjestion_helper → Detected as Trojan.SH.MALXMR.UWEKW
  • /tmp/systemd_conjestion/systemd_conjestion → detected as Coinminer.Linux.MALXMR.SMDSL64
  • /tmp/systemd_conjestion/config.json → Contains mining parameters to be used.
  • /tmp/{username}/run_script/{random}.sh -> Drops one for every command it runs.
  • /tmp/.d
  • /tmp/ds
  • /tmp/.tmpEcwPCf
  • /tmp/.syslogdmn_lck

コインマイナーは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • var/tmp/syslogdmn
  • /tmp/syslogdmn
  • /home/{username}/.syslogdmn
  • If ran as a super user:
    • /etc/cron.monthly/log
    • /etc/cron.weekly/crontabtimer
    • /etc/cron.daily/logrotatedmn
    • /etc/cron.hourly/rootd
    • /usr/local/sbin/syslogdmn
    • /usr/local/bin/syslogdmn
    • /sbin/syslogdmn
    • /bin/syslogdmn
    • /usr/sbin/syslogdmn
    • /usr/bin/syslogdmn
    • /root/.syslogdmn

コインマイナーは、以下のプロセスを追加します。

  • sh /tmp/{username}/run_script/{random}.sh → One for every command it runs.
  • nohup /tmp/systemd_conjestion/systemd_conjestion >/dev/null 2>&1 &

コインマイナーは、以下のフォルダを作成します。

  • /tmp/{username}/
  • /tmp/{username}/run_script/
  • /tmp/systemd_conjestion/

他のシステム変更

コインマイナーは、以下のファイルを削除します。

  • /bin/kworkerds
  • /dev/shm/z1.sh
  • /etc/cron.d/system
  • /etc/cron.daily/oanacroner
  • /etc/cron.hourly/oanacroner
  • /etc/cron.monthly/oanacroner
  • /etc/init.d/nfstruncate
  • /tmp/bashf
  • /tmp/bashg
  • /tmp/conn
  • /tmp/conns
  • /tmp/crondb
  • /tmp/httpd.conf
  • /tmp/irq.sh
  • /tmp/irqbalanc1
  • /tmp/java2
  • /tmp/kworkerds
  • /tmp/libapache
  • /tmp/pools.txt
  • /tmp/root.sh
  • /tmp/systemd-private-2270f1520zse4c8a94a91c107d5b9d1b-cups.service-sjwnOy
  • /tmp/Xagent2
  • /usr/lib/libiacpkmn.so.3
  • /usr/local/lib/libdns.so
  • /usr/local/lib/libjdk.so
  • /var/tmp/config.json
  • /var/tmp/java2
  • /var/tmp/kworkerds
  • /var/tmp/systemd-private-2270f1520zse4c8a94a91c107d5b9d1b-cups.service-sjwnOy
  • /tmp/{username}/run_script/{random}.sh → After every use
  • /tmp/ds

コインマイナーは、以下のフォルダを削除します。

  • /tmp/*index_bak*
  • /tmp/*httpd.conf*
  • /tmp/*httpd.conf
  • /tmp/a7b104c270
  • /tmp/Carbon
  • /tmp/systemd_conjestion/

プロセスの終了

コインマイナーは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。

  • Processes connected to the following ports:
    • :3333
    • :4444
    • :5555
    • :6666
    • :7777
    • :3347
    • :14444
    • :14433
    • :13531
  • Processes connected to the following IP Address:
    • {BLOCKED}.{BLOCKED}.55.86:443
    • {BLOCKED}.{BLOCKED}.65.238
    • {BLOCKED}.{BLOCKED}.52.87
    • {BLOCKED}.{BLOCKED}.44.93
    • {BLOCKED}.{BLOCKED}.54.205
    • {BLOCKED}.{BLOCKED}.142.232
    • {BLOCKED}.{BLOCKED}.133.20
    • {BLOCKED}.{BLOCKED}.142.249
    • {BLOCKED}.{BLOCKED}.193.110
    • {BLOCKED}.{BLOCKED}.142.225
    • {BLOCKED}.{BLOCKED}.142.246
    • {BLOCKED}.{BLOCKED}.200.177
    • {BLOCKED}.{BLOCKED}.142.250
    • {BLOCKED}.{BLOCKED}.142.251
    • {BLOCKED}.{BLOCKED}.200.178
    • {BLOCKED}.{BLOCKED}.202.177
    • {BLOCKED}.{BLOCKED}.223.190
    • {BLOCKED}.{BLOCKED}.232.9
    • {BLOCKED}.{BLOCKED}.89.10
    • {BLOCKED}.{BLOCKED}.40.46
  • Processes with the following strings in its commandline:
    • {BLOCKED}l.eu
    • mine.{BLOCKED}pool.com
    • xmr.{BLOCKED}-pool.fr:8080
    • xmr.{BLOCKED}-pool.fr:3333
    • xmr.{BLOCKED}-pool.fr:6666
    • xmr.{BLOCKED}-pool.fr:7777
    • xmr.{BLOCKED}-pool.fr:443
    • prohash
    • 11231
    • Silence
    • wipefs
    • Xagent2
    • webchainminer
    • conjestion
    • {BLOCKED}ol.org
    • {BLOCKED}r.com
    • {BLOCKED}txmr.com
    • {BLOCKED}l.net
    • {BLOCKED}ate.com
    • {BLOCKED}r.com
    • {BLOCKED}ult.pro
    • {BLOCKED}MR.com
    • {BLOCKED}va.cc
    • {BLOCKED}Ocean.stream
    • {BLOCKED}l.de
    • {BLOCKED}o.be
    • {BLOCKED}h.net
    • xmr.{BLOCKED}l.online
    • monero.{BLOCKED}s.to
    • {BLOCKED}ool.com
    • {BLOCKED}l.xyz
    • {BLOCKED}nero.gq
    • {BLOCKED}i.cn
    • {BLOCKED}d.com
    • {BLOCKED}ool.com
    • {BLOCKED}tmining.com
    • monero.{BLOCKED}s.pro
    • berods
    • vmlinuz
    • dblaunchs
    • khugepageds
    • systemctI
    • webchainpool
    • {BLOCKED}ning.com
    • {BLOCKED}n@yahoo.com
    • {BLOCKED}hash.com
    • stratum.{BLOCKED}l.com:8888
    • nTKYg
    • qW3xT.2
    • ddgs.3013
    • ddgs.3012
    • biosetjenkins
    • AnXqV.yam
    • xmrigDaemon
    • xmrigMiner
    • xmrig
    • apaceha
    • cryptonight
    • stratum
    • performedl
    • irqba2anc1
    • irqba5xnc1
    • irqbnc1
    • ir29xc1
    • conns
    • irqbalance
    • crypto-pool
    • minexmr
    • XJnRj
    • NXLAi
    • BI5zj
    • askdljlqw
    • minerd
    • minergate
    • ysaydh
    • bonns
    • donns
    • Duck.sh
    • bonn.sh
    • conn.sh
    • kworker34
    • kw.sh
    • pro.sh
    • polkitd
    • acpid
    • icb5o
    • nopxi
    • irqbalanc1
    • mstxmr
    • deamon
    • disk_genius
    • 42HrCwmHSVyJSAQwn6Lifc3WWAWN56U8s2qAbm6BAagW6Ryh8JgWq8Q1JbZ8nXdcFVgnmAM3q86cm5y9xfmvV1ap6qVvmPe
    • 4BrL51JCc9NGQ71kWhnYoDRffsDZy7m1HUU7MRU4nUMXAHNFBEJhkTZV9HdaL4gfuNBxLPc3BeMkLGaPbF5vWtANQt989KEfGRt6Ww2Xg8
    • 46SDR76rJ2J6MtmP3ZZKi9cEA5RQCrYgag7La3CxEootQeAQULPE2CHJQ4MRZ5wZ1T73Kw6Kx4Lai2dFLAacjerbPzb5Ufg
    • 45cToD1FzkjAxHRBhYKKLg5utMGENqyamWrY8nLNkVQ4hJgLHex1KNRZcz4finRjMpAYmPxDaXVpN2rV1jMNyXRdMEaH1YA
    • 45hsTaSqTQM4K1Xeqkcy7eLzqdEuQ594fJVmQryCemQSCU878JGQdSDCxbhNyVjSkiaYat8yAfBuRTPSEUPZoARm9a5XEHZ
    • 47sghzufGhJJDQEbScMCwVBimTuq6L5JiRixD8VeGbpjCTA12noXmi4ZyBZLc99e66NtnKff34fHsGRoyZk3ES1s1V4QVcB
    • 44iuYecTjbVZ1QNwjWfJSZFCKMdceTEP5BBNp4qP35c53Uohu1G7tDmShX1TSmgeJr2e9mCw2q1oHHTC2boHfjkJMzdxumM
    • 49hNrEaSKAx5FD8PE49Wa3DqCRp2ELYg8dSuqsiyLdzSehFfyvk4gDfSjTrPtGapqcfPVvMtAirgDJYMvbRJipaeTbzPQu4
    • 4AniF816tMCNedhQ4J3ccJayyL5ZvgnqQ4X9bK7qv4ZG3QmUfB9tkHk7HyEhh5HW6hCMSw5vtMkj6jSYcuhQTAR1Sbo15gB
    • 4813za7ePRV5TBce3NrSrugPPJTMFJmEMR9qiWn2Sx49JiZE14AmgRDXtvM1VFhq

その他

コインマイナーは、以下を実行します。

  • If run as a super user, it creates the following cron jobs for persistence:
    • Path: /var/spool/cron/root
      • Schedule: Every 10 minutes
      • Command: 0,10,20,30,40,50 0-23 * * * nohup syslogdmn >/dev/null 2>&1 &
    • Path: /etc/crontab
      • Schedule: Every 10 minutes
      • Command: 0,10,20,30,40,50 0-23 * * * root nohup syslogdmn >/dev/null 2>&1 &
    • Path: /etc/cron.d/root
      • Schedule: Every 10 minutes
      • Command: 0,10,20,30,40,50 0-23 * * * nohup syslogdmn >/dev/null 2>&1 &
    • Path: /var/spool/cron/crontabs/root
      • Schedule: Every 10 minutes
      • Command: 0,10,20,30,40,50 0-23 * * * nohup syslogdmn >/dev/null 2>&1 &
  • It uses the following default details on its coin mining routine (from config.json):
    • Algo: cryptonight
    • Url: {BLOCKED}.{BLOCKED}.28.19:8080
    • User: {user or root}
    • Password: x

  対応方法

対応検索エンジン: 9.800
初回 VSAPI パターンバージョン 16.688.07
初回 VSAPI パターンリリース日 2021年4月30日
VSAPI OPR パターンバージョン 16.689.00
VSAPI OPR パターンリリース日 2021年5月1日

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Coinminer.Linux.MALXMR.PUWEMD」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください