解析者: Maria Emreen Viray   
 別名:

RiskTool.Win64.BitCoinMiner.bmi (KAPERSKY); Riskware/CoinMiner (FORTINET)

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:

  • マルウェアタイプ:
    潜在的に迷惑なアプリケーション

  • 破壊活動の有無:
    なし

  • 暗号化:
    なし

  • 感染報告の有無 :
    はい

  概要

感染経路 インターネットからのダウンロード

プログラムは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

プログラムは、ワーム活動の機能を備えていません。

プログラムは、バックドア活動の機能を備えていません。

概要:プログラムは、コンピュータのCPUおよびGPUのリソースを利用して仮想通貨を発掘します。

  詳細

ファイルサイズ 1,805,824 bytes
タイプ EXE
メモリ常駐 はい
発見日 2021年8月23日

侵入方法

プログラムは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

感染活動

プログラムは、ワーム活動の機能を備えていません。

バックドア活動

プログラムは、バックドア活動の機能を備えていません。

ルートキット機能

プログラムは、ルートキット機能を備えていません。

その他

プログラムは、以下を実行します。

  • needs specific components to continue with its routine:
    • libcurl.dll
    • msvcp120.dll
    • msvcr120.dll
    • OpenCL.dll
    • cudart64_80.dll
  • supports the following features:
    • OpenCL mining
    • Nvidia CUDA mining
    • realistic benchmarking against arbitrary epoch/DAG/blocknumber
    • on-GPU DAG generation (no more DAG files on disk)
    • stratum mining without proxy
    • OpenCL devices picking
    • farm failover (getwork + stratum)

マルウェアは、以下のパラメータを受け取ります。

  • Work farming mode:
    • -F,--farm → enable mining farm mode with the work server at URL (default: http://127.0.0.1:8545)
    • -FF,-FO, --farm-failover, --stratum-failover → failover getwork/stratum URL (default: disabled)
      • --farm-retries → # of retries until switch to failover (default:3)
      • -S, --stratum → enable stratum mode with the stratum server at host:port
      • -FS, --failover-stratum → failover stratum server at host:port
    • -O, --userpass → stratum login credentials
    • -FO, --failover-userpass → failover stratum login credentials (optional, will use normal credentials when omitted)
    • --work-timeout → reconnect/failover after n seconds of working on the same (stratum) job. (default: 180)
    • -SC, --stratum-client → stratum client version. (default: 1)
    • -SP, --stratum-protocol → choose which stratum protocol to use:
      • 0: official stratum spec: ethpool, ethermine, coinotron, mph, nanopool (default)
      • 1: eth-proxy compatible: dwarfpool, f2pool, nanopool
      • 2: EthereumStratum/1.0.0: nicehash
    • -SE, --stratum-email <[s]> → email address used in eth-proxy (optional)
    • --farm-recheck → leave n ms between checks for changed work (default: 500)
  • Benchmarking mode:
    • -M [],--benchmark [] → benchmark for mining and exit; (optional: specify block number to benchmark against specific DAG)
    • --benchmark-warmup → set the duration of warmup for the benchmark tests (default: 3)
    • --benchmark-trial → set the duration for each trial for the benchmark tests (default: 3)
    • --benchmark-trials → set the duration of warmup for the benchmark tests (default: 5)
  • Simulation mode:
    • -Z [],--simulation [] → mining test mode (optional: specify block number)
  • Mining configuration:
    • -G,--opencl → use the GPU via OpenCL in mining
    • -U,--cuda → use the GPU via CUDA in mining
    • -X,--cuda-opencl → use OpenCL + CUDA in a system with mixed AMD/Nvidia cards.
    • --opencl-platform → when mining using -G/--opencl, use OpenCL platform n (default: 0)
    • --opencl-device → when mining using -G/--opencl, use OpenCL device n (default: 0)
    • --opencl-devices <0 1 ..n> → select which OpenCL devices to mine on (default: all)
    • -t, --mining-threads → limit number of CPU/GPU miners to n (default: use everything available)
    • --allow-opencl-cpu → allows CPU to be considered as an OpenCL device if the OpenCL platform supports it
    • --list-devices → list the detected OpenCL/CUDA devices and exit (used with -G or -U flag)
    • -L, --dag-load-mode → DAG generation modes:
      • parallel → load DAG on all GPUs at the same time (default)
      • sequential → load DAG on GPUs one after another (use when the miner crashes during DAG generation)
      • single → generate DAG on device n, then copy to other devices
    • --cl-extragpu-mem → set aside memory (in MB) for other than mining (default: 0)
    • --cl-local-work → set the OpenCL local work size (default: 64)
    • --cl-global-work → set the OpenCL global work size as a multiple of the localwork size (default: 4096 * 64)
    • --cuda-extragpu-mem → set the memory (in MB) for other than mining (default: 0)
    • --cuda-block-size → set the CUDA block work size (default: 128)
    • --cuda-grid-size → set the CUDA grid size (default: 8192)
    • --cuda-streams → set the number of CUDA streams (default: 2)
    • --cuda-schedule → set the schedule mode for CUDA threads waiting for CUDA devices to finish work; modes are:
      • auto → uses a heuristic based on the number of active CUDA contexts
      • spin → instruct CUDA to actively spin when waiting for results from the device
      • yield → instruct CUDA to yield its thread when waiting for results from the device
      • sync → instruct CUDA to block the CPU thread on a synchronization primitive when waiting for the results from the device (default)
    • --cuda-devices <0 1 ..n> → select which CUDA GPUs to mine on (default: all)
  • General Options:
    • -v,--verbosity <0 - 9> → set the log verbosity from 0 to 9 (default: 8)
    • -V,--version → show the version
    • -h,--help → show help message

マルウェアは、脆弱性を利用した感染活動を行いません。

詳細:プログラムは、コンピュータのCPUおよびGPUのリソースを利用して仮想通貨を発掘します。その結果、感染コンピュータの動作が非常に遅くなります。

  対応方法

対応検索エンジン: 9.800
SSAPI パターンバージョン: 2.437.00
SSAPI パターンリリース日: 2021年8月26日

手順 1

Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「PUA.Win64.ToolETH.A」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください