Coinminer.Win64.CRYPTONIGHT.AT
Trojan:Win32/CoinMiner(MICROSOFT); Miner.XMRig!gen1(NORTON); Win32:CryptoMiner-L [Trj](AVAST)
Windows
マルウェアタイプ:
仮想通貨発掘ツール(コインマイナー)
破壊活動の有無:
なし
暗号化:
なし
感染報告の有無 :
はい
概要
コインマイナーは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
コインマイナーは、ファイル感染する機能を備えていません。
コインマイナーは、ワーム活動の機能を備えていません。
コインマイナーは、バックドア活動の機能を備えていません。
コインマイナーは、情報収集する機能を備えていません。
ただし、情報公開日現在、このWebサイトにはアクセスできません。
詳細
侵入方法
コインマイナーは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
感染ポイント
コインマイナーは、ファイル感染する機能を備えていません。
感染活動
コインマイナーは、ワーム活動の機能を備えていません。
バックドア活動
コインマイナーは、バックドア活動の機能を備えていません。
ルートキット機能
マルウェアは、ルートキット機能を備えていません
情報漏えい
コインマイナーは、情報収集する機能を備えていません。
その他
ただし、情報公開日現在、このWebサイトにはアクセスできません。
マルウェアは、以下のパラメータを受け取ります。
- -a, --algo=ALGO cryptonight (default) or cryptonight-lite
-o, --url=URL URL of mining server
-O, --userpass=U:P username:password pair for mining server
-u, --user=USERNAME username for mining server
-p, --pass=PASSWORD password for mining server
-t, --threads=N number of miner threads
-v, --av=N algorithm variation, 0 auto select
-k, --keepalive send keepalived for prevent timeout (need pool suppt)
-r, --retries=N number of times to retry before switch to backup seer (default: 5)
-R, --retry-pause=N time to pause between retries (default: 5)
--cpu-affinity set process affinity to CPU core(s), mask 0x3 for ces 0 and 1
--cpu-priority set process priority (0 idle, 2 normal to 5 highest
--no-huge-pages disable huge pages support
--no-color disable colored output
--variant algorithm PoW variant
--donate-level=N donate level, default 5% (5 minutes in 100 minutes)
--user-agent set custom user-agent string for pool
-B, --background run the miner in the background
-c, --config=FILE load a JSON-format configuration file
-l, --log-file=FILE log all output to a file
--max-cpu-usage=N maximum CPU usage for automatic threads mode (defau 75)
--safe safe adjust threads and av settings for current CPU
--nicehash enable nicehash/xmrig-proxy support
--print-time=N print hashrate report every N seconds
--api-port=N port for the miner API
--api-access-token=T access token for API
--api-worker-id=ID custom worker-id for API
-h, --help display this help and exit
-V, --version output version information and exit
マルウェアは、脆弱性を利用した感染活動を行いません。
<補足>
その他
マルウェアは、以下を実行します。
- 仮想通貨発掘活動のために、以下のWebサイトにアクセスして自身の環境設定ファイルをダウンロードします。
- https://{BLOCKED}.{BLOCKED}.25.202
マルウェアは、以下のパラメータを受け取ります。
- -a, --algo=ALGO → cryptonight(初期設定)またはcryptonight-lite
-o, --url=URL → マイニングサーバのURL
-O, --userpass=U:P → マイニングサーバの"ユーザ名:パスワード"のペア
-u, --user=USERNAME → マイニングサーバのユーザ名
-p, --pass=PASSWORD → マイニングサーバのパスワード
-t, --threads=N → マイナーのスレッドの数
-v, --av=N → アルゴリズム変動、0が自動的に選択される
-k, --keepalive → タイムアウトにならないよう"keepalived"を送信(プールサポートが必要)
-r, --retries=N → バックアップサーバに切り替える前のリトライ回数(初期設定:5)
-R, --retry-pause=N → リトライ間の中断時間(初期設定:5)
--cpu-affinity → CPUコアにプロセス親和性を設定し、cores 0および1に mask 0x3を設定
--cpu-priority → プロセス優先度の設定 (初期設定:アイドル0 、ノーマル2 から最高5まで)
--no-huge-pages → Huge Page機能の無効
--no-color → カラー出力の無効
--variant → アルゴリズム(PoW)変動
--donate-level=N → 寄付、初期設定:5% (100分中5分間分は寄付)
--user-agent → プール用にカスタムされたuser-agent文字列を設定
-B, --background → バックグラウンドでマイナーの実行
-c, --config=FILE → JSONフォーマットの環境設定ファイルを読み込み
-l, --log-file=FILE → すべての出力をファイルへ記録
--max-cpu-usage=N → 自動スレッドのためにCPU使用率を最大化(初期設定:75)
--safe → 現在のCPUのスレッドやav設定を安全に調整する
--nicehash → 「nicehash.com」のサポートを有効
--print-time=N → N秒ごとにハッシュレートをプリント
--api-port=N → マイナーのAPIのポート
--api-access-token=T → APIのアクセストークン
--api-worker-id=ID → APIのカスタムWorkerID
-h, --help → ヘルプの表示および終了
-V, --version → バージョン情報の表示および終了
対応方法
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Coinminer.Win64.CRYPTONIGHT.AT」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください