TROJ64_WMINE.A
Windows
- マルウェアタイプ: トロイの木馬型
- 破壊活動の有無: なし
- 暗号化: はい
- 感染報告の有無: はい
概要
マルウェアは、他のマルウェアのパッケージとともにコンポーネントとしてコンピュータに侵入します。 マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
マルウェアは、作成されたファイルを実行します。
マルウェアは、特定のWebサイトにアクセスし、情報を送受信します。
詳細
侵入方法
マルウェアは、他のマルウェアのパッケージとともにコンポーネントとしてコンピュータに侵入します。
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、以下のフォルダを作成します。
- %Windows%\SpeechsTracing
(註:%Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.)
マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。
- {E2088B81F-2A96-43E8-B9F522B}
- {E2077B81F-2A96-43E8-B9F522B}
- {E2066B81F-2A96-43E8-B9F522B}
- {E2044B81F-2A96-43E8-B9F522B}
- {5EC0AC33D-E23D-C8A2-A92C833}
- {CI59C45E-F19A-Z07C-565B17CO}
- {6B2089804-F412-CB72-7C027E6}
- {3EC1AC33D-E55D-C8A2-A92C822}
- {N33821F9E-F215-34AA-721269D}
- {F86E2D648-EF7B-6054-D43FC41}
作成活動
マルウェアは、以下のファイルを作成します。
- %System%\HalPluginsServices.dll - coinminer component, obtained from the file %System%\EnrollCertXaml.dll
- %Windows%\SpeechsTracing\spoolsv.exe - component used for propagation, obtained from the file %System%\EnrollCertXaml.dll
- %System%\SmssServices.exe - coinminer component, obtained from the file %System%\EnrollCertXaml.dll
- %System%\WMASTrace.ini
(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.)
マルウェアは、作成されたファイルを実行します。
ダウンロード活動
マルウェアは、以下のWebサイトにアクセスして自身のコンポーネントファイルをダウンロードします。
- http://{domain name}/resource
- http://{domain name}/modules.dat
その他
マルウェアは、以下のWebサイトにアクセスし、情報を送受信します。
- http://{domain name}/testing.php?mac={mac address}&ip={ip address}&host={computer name}&tick={value}&os={os version}&cpu={cpu}&gpu={gpu}
- http://{domain name}/found.php?mac={mac address}&ip={ip address}&host={computer name}&tick={value}&os={os version}&cpu={cpu}&{string}
- {domain name}:8080
マルウェアが自身の不正活動を実行するためには、以下のコンポーネントが必要になります。
- %System%\EnrollCertXaml.dll - configuration file, may contain the following data:
- C&C URLs including {domain name}
- Coinminer files and arguments
- Files required for Eternalblue-Doublepulsar exploit
(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)
<補足>
マルウェアは、以下のファイルを作成します。
- %System%\HalPluginsServices.dll - %System%\EnrollCertXaml.dllファイルから取得した、コインマイナーのコンポーネント
- %Windows%\SpeechsTracing\spoolsv.exe - %System%\EnrollCertXaml.dllファイルから取得した、拡散に利用されるコンポーネント
- %System%\SmssServices.exe - %System%\EnrollCertXaml.dllファイルから取得した、コインマイナーのコンポーネント。
- %System%\WMASTrace.ini
(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。%Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。)
マルウェアが自身の不正活動を実行するためには、以下のコンポーネントが必要になります。
- %System%\EnrollCertXaml.dll - 以下の情報を含む設定ファイル
- {domain name}を含むC&CサーバのURL
- コインマイナーのファイルおよび引数
- 脆弱性攻撃ツール「Eternalblue-Doublepulsar」が必要とするファイル
(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。)
マルウェアは、以下を実行します。
- %User Temp%\tmp{random}.{exe/tmp}として保存された任意のファイルをダウンロードして実行するコマンドの受信
- 以下のサービスの終了および削除
- vmichapagentsrv
- MaintenancesServices
- tpmagentservice
- 一般的なコインマイナーのファイルの削除
- %Windows%\IME\Microsoft\Svchost.exe
- %Windows%\IME\Microsoft\Spoolsv.exe
- %Windows%\IME\Crypt\Svchost.exe
- %Windows%\IME\Crypt\Spoolsv.exe
- %Windows%\IME\Daps\Svchost.exe
- %Windows%\System32\SysprepThemes\spoolsv.exe
- %Windows%\SysprepThemes\Microsoft\svchost.exe
- %Windows%\SysprepThemes\Microsoft\spoolsv.exe
- %Windows%\System32\SecureBootThemes\spoolsv.exe
- %Windows%\SecureBootThemes\Microsoft\svchost.exe
- %Windows%\SecureBootThemes\Microsoft\spoolsv.exe
- %Windows%\System32\SecUpdateHost.exe
- %Windows%\System32\ServicesHost.exe
- %Windows%\System32\WUDHostServices.exe
- %Windows%\System32\TrustedHostServices.exe
- %System%\vmichapagentsrv.dll
- %System%\MaintenancesServices.dll
- %System%\tpmagentservice.dll
- %System%\settings7283.dat
- %System%\dnsclientprovider_userdata.mof
- %System%\D0T73Z
- %System%\NrsDataCache.tlb
- %System%\ProximityUntilCache32.tlb
- %System%\MsraReportDataCache32.tlb
- 以下のプロセスの終了
- taskmgr.exe
- 以下のコマンドの実行
- schtasks.exe /End /TN "\Microsoft\Windows\UPnP\Services"
- schtasks.exe /Delete /TN "\Microsoft\Windows\UPnP\Services" /F
- schtasks.exe /End /TN "\Microsoft\Windows\UPnP\TPMangerAgentTask"
- schtasks.exe /Delete /TN "\Microsoft\Windows\UPnP\TPMangerAgentTask" /F
- schtasks.exe /End /TN "\Microsoft\Windows\Tcpip\TcpipReportingServices"
- schtasks.exe /Delete /TN "\Microsoft\Windows\Tcpip\TcpipReportingServices" /F"
(註:%User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、""C:\Documents and Settings\<ユーザー名>\Local Settings\Temp""、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、""C:\Users\<ユーザ名>\AppData\Local\Temp"" です。 %System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、""C:\Windows\System32"" です。)
マルウェアは、以下の情報を収集し、自身のサーバに送信します。
- MACアドレス
- IPアドレス
- コンピュータ名
- オペレーティングシステム(OS )のバージョン情報
- CPU名およびGPU名
注:
{Domain name}の値は、%System%\EnrollCertXaml.dll ファイルによって異なります。このファイルには複数のURLが含まれる場合があります。
対応方法
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。
手順 3
Windowsをセーフモードで再起動します。
手順 4
以下のファイルを検索し削除します。
- %System%\HalPluginsServices.dll
- %Windows%\SpeechsTracing\spoolsv.exe
- %System%\SmssServices.exe
- %System%\WMASTrace.ini
- %System%\EnrollCertXaml.dll
- %User Temp%\tmp{random}.{exe/tmp}
手順 5
以下のフォルダを検索し削除します。
- %Windows%\SpeechsTracing
手順 6
コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「TROJ64_WMINE.A」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください