TROJ_COINMINE.WIOJ

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、感染したコンピュータ内に以下として自身のコピーを作成し、実行します。

• %Windows%\Prefetch\wuauser.exe

(註：%Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.)

他のシステム変更

マルウェアは、以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\WELM

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\WELM\Security

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Enum\Root\LEGACY_WELM

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Enum\Root\LEGACY_WELM\
0000

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Enum\Root\LEGACY_WELM\
0000\Control

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\WELM\Enum

マルウェアは、インストールの過程で、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\WELM
Type = "16"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Enum\Root\LEGACY_WELM\
0000
ClassGUID = {GUID}

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Enum\Root\LEGACY_WELM\
0000
DeviceDesc = "Windows Event Log Management"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\WELM\Enum
0 = "Root\LEGACY_WELM\0000"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\WELM\Enum
Count = "1"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\WELM\Enum
NextInstance = "1"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\ServiceCurrent
(Default) = "16"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Enum\Root\LEGACY_WELM\
0000\Control
ActiveService = "WELM"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\WELM
Start = "2"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\WELM
ErrorControl = "0"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\WELM
ImagePath = "%Windows%\Prefetch\wuauser.exe --server"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\WELM
DisplayName = "Windows Event Log Management"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\WELM\Security
Security = {hex values}

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\WELM
ObjectName = "LocalSystem"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\WELM
FailureActions = {hex values}

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\WELM
Description = "Windows Provides Event Log to access management information."

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Enum\Root\LEGACY_WELM
NextInstance = "1"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Enum\Root\LEGACY_WELM\
0000\Control
*NewlyCreated* = "0"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Enum\Root\LEGACY_WELM\
0000
Service = "WELM"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Enum\Root\LEGACY_WELM\
0000
Legacy = "1"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Enum\Root\LEGACY_WELM\
0000
ConfigFlags = "0"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Enum\Root\LEGACY_WELM\
0000
Class = "LegacyDriver"

作成活動

マルウェアは、以下のファイルを作成します。

• %Windows%\Prefetch\id.txt
• %Temp%\{random}_Miner_.log

(註：%Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.. %Temp%フォルダは、一時的にファイルが保存されるフォルダで、いずれのオペレーティングシステム(OS)でも通常、 "C:\Windows\Temp" です。.)

ダウンロード活動

マルウェアは、以下のファイル名でダウンロードしたファイルを保存します。

• %Windows%\security\msiexev.exe

(註：%Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.)

その他

マルウェアは、以下の不正なWebサイトにアクセスします。

• {BLOCKED}7.{BLOCKED}566.com
• {BLOCKED}ip.com