Trend Micro Security

PUA_TOOLXMR.GC-ELF

2023年4月20日
 解析者: John Anthony Banes   
 更新者 : Kiyoshi Obuchi
 プラットフォーム:

Linux

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: 仮想通貨発掘ツール(コインマイナー)
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  概要

感染経路 他のマルウェアからの作成, インターネットからのダウンロード

コインマイナーは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

  詳細

ファイルサイズ 1,215,616 bytes
タイプ ELF
メモリ常駐 はい
発見日 2018年4月11日

侵入方法

コインマイナーは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

その他

コインマイナーは、以下を実行します。

  • This is a coin miner used to generate bitcoin or other cryptocurrencies and it requires credentials for the mining server.
  • It accepts the following parameters:
    • -a, --algo=ALGO -> specify the algorithm to use cryptonight (default) or cryptonight-lite
    • -o, --url=URL -> URL of mining server
    • -O, --userpass=U:P -> username:password pair for mining server
    • -u, --user=USERNAME -> username for mining server
    • -p, --pass=PASSWORD -> password for mining server
    • -t, --threads=N -> number of miner threads
    • -v, --av=N -> algorithm variation, 0 auto select
    • -k, --keepalive -> send keepalived for prevent timeout (need pool support)
    • -r, --retries=N -> number of times to retry before switch to backup server (default: 5)
    • -R, --retry-pause=N -> time to pause between retries (default: 5)
    • --cpu-affinity -> set process affinity to CPU core(s), mask 0x3 for cores 0 and 1
    • --cpu-priority -> set process priority (0 idle, 2 normal to 5 highest)
    • --no-huge-pages -> disable huge pages support
    • --no-color -> disable colored output
    • --variant -> algorithm PoW variant
    • --donate-level=N -> donate level, default 5% (5 minutes in 100 minutes)
    • --user-agent -> set custom user-agent string for pool
    • -B, --background -> run the miner in the background
    • -c, --config=FILE -> load a JSON-format configuration file
    • -l, --log-file=FILE -> log all output to a file
    • -S, --syslog -> use system log for output messages
    • --max-cpu-usage=N -> maximum CPU usage for automatic threads mode (default 75)
    • --safe -> safe adjust threads and av settings for current CPU
    • --nicehash -> enable nicehash/xmrig-proxy support
    • --print-time=N -> print hashrate report every N seconds
    • --api-port=N -> port for the miner API
    • --api-access-token=T -> access token for API
    • --api-worker-id=ID -> custom worker-id for API
    • -h, --help -> display this help and exit
    • -V, --version -> output version information and exit
  • It uses the system's central processing unit (CPU) resources to mine for cryptocurrency. This behavior makes the system run abnormally slow.

その他

コインマイナーは以下を実行します。

  • これは、ビットコインまたは他の仮想通貨を発掘するために利用されるコインマイナーで、マイニングサーバの認証情報が必要となります。
  • コインマイナーは、以下のパラメータを受け取ります。
    • -a、--algo = ALGO → 使用するアルゴリズムを指定する{cryptonight(デフォルト)またはcryptonight-lite}
    • -o、--url = URL → マイニングサーバのURL
    • -O、--userpass = U:P → マイニングサーバのユーザ名とパスワードの組み合わせ
    • -u、--user = USERNAME → マイニングサーバのユーザ名
    • -p、--pass = PASSWORD → マイニングサーバのパスワード
    • -t、--threads = N → マイナーのスレッドの数
    • -v、--av = N → アルゴリズム変動、0が自動的に選択される
    • -k、--keepalive → タイムアウトにならないよう"keepalived"を送信(プールサポートが必要)
    • -r、--retries = N → ネットワークコールが失敗した場合のリトライ回数(デフォルト:5)
    • -R、--retry-pause = N → リトライ間の中断時間(秒)(デフォルト:5)
    • --cpu-affinity → CPUコアにプロセス親和性を設定し、cores 0および1に mask 0x3を設定
    • --cpu-priority → プロセス優先度の設定 (初期設定:アイドル0 , ノーマル2 から最高5まで)
    • --no-huge-pages → Huge Page機能の無効
    • --no-color → カラー出力の無効化
    • --variant → アルゴリズム PoW の変形
    • --donate-level = N → donate level、デフォルト5% (100分間で5分)
    • --user-agent → プール用にカスタムされたuser-agent文字列を設定
    • -B、--background → バックグラウンドでマイナーの実行
    • -c、--config = FILE → JSONフォーマットの環境設定ファイルを読み込み
    • -l、--log-file = FILE → すべての出力をファイルへ記録
    • -S、 - syslog → 出力メッセージにシステムログを使用する
    • --max-cpu-usage = N → 自動スレッドのためにCPU使用率を最大化(デフォルト:75)
    • --safe → 現在のCPUのスレッドやav設定を安全に調整する
    • --nicehash → 「nicehash」のサポートを有効
    • --print-time=N→N秒ごとにハッシュレートをプリント
    • --api-port=N→ マイナーのAPIのポート
    • --api-access-token=T→ APIのアクセストークン
    • --api-worker-id=ID→ APIのためのカスタムWorkerID
    • -h, --help → ヘルプの表示および終了
    • -V, --version→バージョン情報の表示および終了
  • コインマイナーは、コンピュータのCPUリソースを利用して仮想通貨を発掘します。その結果、感染コンピュータの動作が非常に遅くなります。

  対応方法

対応検索エンジン: 9.850
SSAPI パターンバージョン: 2.103.00
SSAPI パターンリリース日: 2018年9月13日

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「PUA_TOOLXMR.GC-ELF」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください