Trend Micro Security

Coinminer.Linux.KINSING.A

2020年5月15日
 解析者: Joshua John Bantayan   
 別名:

Trojan.Linux.Agent (IKARUS); ELF/Agent.HN!tr (FORTINET)

 プラットフォーム:

Linux

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: 仮想通貨発掘ツール(コインマイナー)
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  概要

感染経路 他のマルウェアからの作成, インターネットからのダウンロード

コインマイナーは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

コインマイナーは、特定のWebサイトにアクセスし、情報を送受信します。 概要:プログラムは、コンピュータのCPUおよびGPUのリソースを利用して仮想通貨を発掘します。

  詳細

ファイルサイズ 16,687,104 bytes
タイプ ELF
メモリ常駐 はい
発見日 2020年5月8日
ペイロード プロセスの強制終了, URLまたはIPアドレスに接続

侵入方法

コインマイナーは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

コインマイナーは、以下のファイルを作成し実行します。

  • /tmp/salt-minions

プロセスの終了

コインマイナーは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。

  • salt-minions

その他

コインマイナーは、以下のWebサイトにアクセスし、情報を送受信します。

  • {BLOCKED}.{BLOCKED}.87.231
  • {BLOCKED}.{BLOCKED}.153.85
  • {BLOCKED}.{BLOCKED}.123.206
  • {BLOCKED}.{BLOCKED}.178.195
  • {BLOCKED}.{BLOCKED}.129.111
  • {BLOCKED}.{BLOCKED}.152.69
  • {BLOCKED}.{BLOCKED}.201.62

コインマイナーは、以下を実行します。

  • It reads the following system info:
    • Product Name
    • Product Version
    • Product Serial
    • Product UUID
    • Board Vendor
    • Board Name
    • Board Version
    • Board Serial
    • Board Asset Tag
    • Chassis Vendor
    • Chassis Type
    • Chassis Version
    • Chassis Serial
    • Chassis Asset Tag
    • Bios Vendor
    • Bios Version
    • Bios Date
    • Sys Vendor
    • Kernel Version

  • Reads the following information from /sys:
    • /sys/devices/system/cpu/possible
    • /sys/fs/cgroup/cpuset//cpuset.cpus
    • /sys/fs/cgroup/cpuset//cpuset/mems
    • /sys/devices/system/cpu/online
    • /sys/bus/cpu/devices/cpu{0-4}/topology/package_cpus
    • /sys/bus/cpu/devices/cpu{0-4}/topology/core_cpus
    • /sys/bus/cpu/devices/cpu{0-4}/topology/thread_siblings
    • /sys/bus/node/devices/node{0-4}/cpumap
    • /sys/bus/cpu/devices
    • /sys/bus/cpu/devices/cpu{0-4}/topology
    • /sys/bus/cpu/devices/cpu{0-4}/topology/core_siblings
    • /sys/bus/cpu/devices/cpu{0-4}/online
    • /sys/bus/cpu/devices/cpu{0-4}/topology/physical_package_id
    • /sys/bus/cpu/devices/cpu{0-4}/topology/die_cpu
    • /sys/bus/cpu/devices/cpu{0-4}/topology/core_id
    • /sys/bus/cpu/devices/cpu{0-4}/topology/book_siblings
    • /sys/bus/cpu/devices/cpu{0-4}/cache/Index{0-4}/level
    • /sys/bus/cpu/devices/cpu{0-4}/cache/Index{0-4}/size
    • /sys/bus/cpu/devices/cpu{0-4}/cache/Index{0-4}/coherency_line_size
    • /sys/bus/cpu/devices/cpu{0-4}/cache/Index{0-4}/number_of_sets
    • /sys/bus/cpu/devices/cpu{0-4}/cache/Index{0-4}/physical_line_partition
    • /sys/bus/cpu/devices/cpu{0-4}/cache/Index{0-4}/shared_cpu_map
    • /sys/bus/cpu/devices/cpu{0-4}/cache/Index{0-4}/type
    • /sys/kernel/mm/hugepages
    • /sys/bus/node/devices
    • /sys/bus/node/devices/node{0-4}/hugepages

  • Reads the following information from /proc:
    • /proc/cpuinfo
    • /proc/self/cgroup
    • /proc/mounts
    • /proc/meminfo

詳細:プログラムは、コンピュータのCPUおよびGPUのリソースを利用して仮想通貨を発掘します。その結果、感染コンピュータの動作が非常に遅くなります。

  対応方法

対応検索エンジン: 9.850
初回 VSAPI パターンバージョン 15.858.01
初回 VSAPI パターンリリース日 2020年5月8日
VSAPI OPR パターンバージョン 15.859.00
VSAPI OPR パターンリリース日 2020年5月9日

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Coinminer.Linux.KINSING.A」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください