• Email
• Facebook
• Twitter
• Google+
• Linkedin

COINMINER.LINUX.MALXMR.ATNF

---

• マルウェアタイプ: 仮想通貨発掘ツール（コインマイナー）
• 破壊活動の有無: なし
• 暗号化:  
• 感染報告の有無: はい

---

  概要

コインマイナーは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

概要:プログラムは、コンピュータのCPUおよびGPUのリソースを利用して仮想通貨を発掘します。

---

  詳細

侵入方法

コインマイナーは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

コインマイナーは、以下のファイルを作成します。

• /tmp/.yam.pid - contains Process ID for Yam Miner
• /tmp/.xmrig.pid - contains Process ID of XMRig Miner

その他

コインマイナーが自身の不正活動を実行するためには、以下のファイルが必要になります。

• {parameter1}/.yam - Yam Miner, or
• {parameter1}/.xmrig - XMRig Miner

詳細:プログラムは、コンピュータのCPUおよびGPUのリソースを利用して仮想通貨を発掘します。その結果、感染コンピュータの動作が非常に遅くなります。

＜補足＞
インストール

コインマイナーは、以下のファイルを作成します。

• /tmp/.yam.pid - Yam MinerのプロセスIDが含まれる
• /tmp/.xmrig.pid - XMRig MinerのプロセスIDが含まれる

その他

コインマイナーが自身の不正活動を実行するためには、以下のファイルが必要になります。

• {parameter1}/.yam - Yam Miner、または
• {parameter1}/.xmrig - XMRig Miner

コインマイナーは以下を実行します。

• YAM minerは、プロキシ設定のため以下のファイルにアクセスします。
  • /usr/bin/.proxy
  • /tmp/.proxy

上記のファイルが存在しない場合、プロキシは使用されません。

• 以下のコマンドを使用して XMRig miner を実行します。
  • {parameter2}/.xmrig --url={BLOCKED}.{BLOCKED}.146.35:4444/xmr --user={95 zeros}.{parameter1} -p x -k --url={BLOCKED}.{BLOCKED}.146.35:5555/xmr --user={95 zeros}.{parameter1} -p x -k --url={BLOCKED}.{BLOCKED}.146.35:3333/xmr --user={95 zeros}.{parameter1} -p x -k --url={BLOCKED}.{BLOCKED}.146.35:7777/xmr --user={95 zeros}.{parameter1} -p x -k --url={BLOCKED}.{BLOCKED}.146.35:80/xmr --user={95 zeros}.{parameter1} -p x -k --url={BLOCKED}.{BLOCKED}.146.35:443/xmr --user={95 zeros}.{parameter1} -p x -k --url={BLOCKED}.{BLOCKED}.146.35:6666/xmr --user={95 zeros}.{parameter1} -p x -k --max-cpu-usage=100 --donate-level=1 -B

• マルウェアは、仮想通貨の発掘活動に以下の詳細を使用します。
  • ユーザ名: "{95 zeroes}.{parameter 1}"
  • パスワード: "x"
  • URL
    • {BLOCKED}.{BLOCKED}.146.35:80/xmr
    • {BLOCKED}.{BLOCKED}.146.35:443/xmr
    • {BLOCKED}.{BLOCKED}.146.35:3333/xmr
    • {BLOCKED}.{BLOCKED}.146.35:4444/xmr
    • {BLOCKED}.{BLOCKED}.146.35:5555/xmr
    • {BLOCKED}.{BLOCKED}.146.35:6666/xmr
    • {BLOCKED}.{BLOCKED}.146.35:7777/xmr

• 以下のコマンドを使用して Yam miner を実行します。
  • {parameter2}/.yam --cpu-load 100 -c x -M stratum+tcp://{95 zeros}.{parameter1}:x@{BLOCKED}.{BLOCKED}.146.35:4444/xmr -M stratum+tcp://{95 zeros}.{parameter1}:x@{BLOCKED}.{BLOCKED}.146.35:5555/xmr -M stratum+tcp://{95 zeros}.{parameter1}:x@{BLOCKED}.{BLOCKED}.146.35:3333/xmr -M stratum+tcp://{95 zeros}.{parameter1}:x@{BLOCKED}.{BLOCKED}.146.35:7777/xmr -M stratum+tcp://{95 zeros}.{parameter1}:x@{BLOCKED}.{BLOCKED}.146.35:80/xmr -M stratum+tcp://{95 zeros}.{parameter1}:x@{BLOCKED}.{BLOCKED}.146.35:443/xmr -M stratum+tcp://{95 zeros}.{parameter1}:x@{BLOCKED}.{BLOCKED}.146.35:6666/xmr {プロキシファイルの内容（あれば）}

  ---

    対応方法

  対応検索エンジン: 9.850

  初回 VSAPI パターンバージョン 14.514.05

  初回 VSAPI パターンリリース日 2018年9月19日

  VSAPI OPR パターンバージョン 14.515.00

  VSAPI OPR パターンリリース日 2018年9月20日

  最新のバージョン（エンジン、パターンファイル）を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「COINMINER.LINUX.MALXMR.ATNF」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

  
  ご利用はいかがでしたか？　アンケートにご協力ください