解析者: Joshua John Bantayan   
 別名:

Generic.Application.CoinMiner.1.F8C53C97 (BITDEFENDER); Win64:CoinminerX-gen [Trj] (AVAST)

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:

  • マルウェアタイプ:
    ワーム

  • 破壊活動の有無:
    なし

  • 暗号化:
    はい

  • 感染報告の有無 :
    はい

  概要

感染経路 ソフトウェアの脆弱性を利用した感染活動

ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

  詳細

ファイルサイズ 3,251,200 bytes
タイプ EXE
メモリ常駐 はい
発見日 2021年4月1日
ペイロード URLまたはIPアドレスに接続, プロセスの強制終了

侵入方法

ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

ワームは、以下のファイルを作成します。

  • {Malware Directory}\Packet.dll
  • {Malware Directory}\wpcap.dll
  • %User Temp%\npf.sys
  • %User Temp%\.{Random Characters}\[kthreaddi].exe -> xmrig
  • %User Temp%\.{Random Characters}\config.json -> xmrig config

(註:%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local\Temp" です。)

ワームは、以下のプロセスを追加します。

  • %System%\cmd.exe /c "sc stop npf"
  • %System%\cmd.exe /c "sc delete npf"
  • %System%\cmd.exe /c "sc create npf type= kernel start= auto binpath= %User Temp%\npf.sys"
  • %System%\cmd.exe /c "sc start npf"
  • route print 0.0.0.0
  • %System%\cmd.exe /c start %User Temp%\.{Random Characters}\[kthreaddi].exe

(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local\Temp" です。)

プロセスの終了

ワームは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。

  • apaceha.exe
  • apachiii.exe
  • cpuset.exe
  • crond64.exe
  • cryptonight.exe
  • devtool.exe
  • devtools.exe
  • haveged.exe
  • irqbalanc1.exe
  • jawa.exe
  • kdevtmpfsi.exe
  • kinsing.exe
  • ksoftirqds.exe
  • kthrotlds.exe
  • kworker34.exe
  • kworkerds.exe
  • linux32.exe
  • Loopback.exe
  • miner-cpu.exe
  • miner-notls.exe
  • miner.exe
  • minerd.exe
  • minergate.exe
  • mixnerdx.exe
  • monerohash.exe
  • mstxmr.exe
  • nanoWatch.exe
  • netdns.exe
  • nginxk.exe
  • nqscheduler.exe
  • nullcrew.exe
  • performedl.exe
  • phpguard.exe
  • phpupdate.exe
  • pnscan.exe
  • pythno.exef
  • redis2.exe
  • solrd.exe
  • sourplum.exe
  • stratum.exe
  • suppoie.exe
  • sustse.exe
  • sustse3.exe
  • svcguard.exe
  • svcupdate.exe
  • svcupdates.exe
  • sysguard.exe
  • sysstats.exe
  • systemctI.exe
  • systemten.exe
  • systemxlv.exe
  • sysupdate.exe
  • vmlinuz.exe
  • voltuned.exe
  • watchbog.exe
  • watchd0g.exe
  • watchdogs.exe
  • xmr-stak.exe

その他

ワームは、以下を実行します。

  • It uses the following default details on its coin mining routine (from config.json):
    • Algo: rx/0
    • Url: xmr-eu1.nanopool.org:14444
    • User: 49dnvYkWkZNPrDj3KF8fR1BHLBfiVArU6Hu61N9gtrZWgbRptntwht5JUrXX17ZeofwPwC6fXNxPZfGjNEChXttwWE3EGUEa.W
    • Password: x
  • If exploitation is successful, connects to the following URL to download and execute a malicious file:
    • http://{BLOCKED}.{BLOCKED}.227.21
  • It may use the following exploits to aid its propagation:
    • XXL-JOB unauthorized access
    • WebLogic Unauthorized Access (CVE-2020-14882)
    • ThinkPhp5Rce
    • Hadoop unauthorized access
    • Jupyter unauthorized access
    • Nexus unauthorized access
    • Tomcat unauthorized access
    • WordPress unauthorized access
    • Jenkins RCE
    • CVE-2017-11610
    • CVE-2019-10758
    • CVE-2020-16846
    • CVE-2021-3129
  • It scans the following ports to be used in exploitation and propagation:
    • 8088
    • 8081
    • 7001
    • 9001
  • It uses the following credentials to bruteforce a system:
    • Username:
      • admin1234
      • admin@123
      • Admin@123
      • admin
      • Admin123
      • mfgproadmin
      • root
      • test
      • user
      • tomcat
    • Password:
      • 12345678
      • 123456
      • Admin123
      • P@ssw0rd
      • admin123
      • password
      • admin
      • tomcat
      • root
      • test
      • user
      • secret
      • tomcat123
      • oracle
  • It tries to bruteforce the following systems:
    • Wordpress
    • Tomcat
    • Nexus
    • Jupyter
    • Jenkins

  対応方法

対応検索エンジン: 9.800
初回 VSAPI パターンバージョン 16.632.02
初回 VSAPI パターンリリース日 2021年4月2日
VSAPI OPR パターンバージョン 16.633.00
VSAPI OPR パターンリリース日 2021年4月3日

手順 1

Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。

手順 3

Windowsをセーフモードで再起動します。

[ 詳細 ]

手順 4

以下のファイルを検索し削除します。

[ 詳細 ]
コンポーネントファイルが隠しファイル属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。  
  • {Malware Directory}\Packet.dll
  • {Malware Directory}\wpcap.dll
  • %User Temp%\npf.sys
  • %User Temp%\.{Random Characters}\[kthreaddi].exe
  • %User Temp%\.{Random Characters}\config.json

手順 5

コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「Worm.Win32.MALXMR.TIAOODFW」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください