Worm.Win32.VOOLS.AO
Trojan-CoinMiner (McAfee); Trojan.BitCoinMiner (MalwareBytes)
Windows
- マルウェアタイプ: ワーム
- 破壊活動の有無: なし
- 暗号化: なし
- 感染報告の有無: はい
概要
ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
ワームは、ソフトウェアに存在する脆弱性を利用して、同じネットワーク上にある他のコンピュータへの感染活動をします。
ワームは、実行後、自身を削除します。 概要:プログラムは、コンピュータのCPUおよびGPUのリソースを利用して仮想通貨を発掘します。
詳細
侵入方法
ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
ワームは、以下のファイルを作成します。
- %Windows%\NetworkDistribution\svchost.exe <- detected as TROJ_EQUATED.LZCMT
- %Windows%\NetworkDistribution\spoolsv.exe <- detected as BKDR_EQUATED.LZCMU
- %System%\dllhostex.exe <- detected as Coinminer.Win32.MALXMR.SMBM4
- %System%\{Random Name}.dll <- detected as Trojan.Win32.VOOLS.SMAL01
The name is generated by combining three (3) random strings from the following list:- Remote
- Function
- Secure
- Microsoft
- Network
- Event
- Manager
- Service
- Host
- Client
- NetBIOS
- RPC
- Protocol
- Update
- TimeUPnP
- %System%\msvc{3-random character}.{random extension} <- contains encrypted shellcode
The extension is randomly picked from the following list:- xsl
- ini
- dll
- txt
- log
- dat
- nls
- Component files used for the malware's EternalBlue/DoublePulsar Exploitation:
- %Windows%\NetworkDistribution\Diagnostics.txt
- %Windows%\NetworkDistribution\Eternalblue-2.2.0.fb
- %Windows%\NetworkDistribution\Eternalchampion-2.0.0.fb
- %Windows%\NetworkDistribution\_pytrch.pyd
- %Windows%\NetworkDistribution\adfw-2.dll
- %Windows%\NetworkDistribution\adfw.dll
- %Windows%\NetworkDistribution\cnli-0.dll
- %Windows%\NetworkDistribution\cnli-1.dll
- %Windows%\NetworkDistribution\coli-0.dll
- %Windows%\NetworkDistribution\crli-0.dll
- %Windows%\NetworkDistribution\dmgd-1.dll
- %Windows%\NetworkDistribution\dmgd-4.dll
- %Windows%\NetworkDistribution\esco-0.dll
- %Windows%\NetworkDistribution\etch-0.dll
- %Windows%\NetworkDistribution\etchCore-0.x64.dll
- %Windows%\NetworkDistribution\etchCore-0.x86.dll
- %Windows%\NetworkDistribution\eteb-2.dll
- %Windows%\NetworkDistribution\etebCore-2.x64.dll
- %Windows%\NetworkDistribution\etebCore-2.x86.dll
- %Windows%\NetworkDistribution\exma-1.dll
- %Windows%\NetworkDistribution\exma.dll
- %Windows%\NetworkDistribution\iconv.dll
- %Windows%\NetworkDistribution\libcurl.dll
- %Windows%\NetworkDistribution\libeay32.dll
- %Windows%\NetworkDistribution\libiconv-2.dll
- %Windows%\NetworkDistribution\libxml2.dll
- %Windows%\NetworkDistribution\out.dll
- %Windows%\NetworkDistribution\pcla-0.dll
- %Windows%\NetworkDistribution\pcre-0.dll
- %Windows%\NetworkDistribution\pcrecpp-0.dll
- %Windows%\NetworkDistribution\pcreposix-0.dll
- %Windows%\NetworkDistribution\posh-0.dll
- %Windows%\NetworkDistribution\posh.dll
- %Windows%\NetworkDistribution\pytrch.py
- %Windows%\NetworkDistribution\pytrch.pyc
- %Windows%\NetworkDistribution\riar-2.dll
- %Windows%\NetworkDistribution\riar.dll
- %Windows%\NetworkDistribution\spoolsv.xml
- %Windows%\NetworkDistribution\ssleay32.dll
- %Windows%\NetworkDistribution\svchost.xml
- %Windows%\NetworkDistribution\tibe-1.dll
- %Windows%\NetworkDistribution\tibe-2.dll
- %Windows%\NetworkDistribution\tibe.dll
- %Windows%\NetworkDistribution\trch-0.dll
- %Windows%\NetworkDistribution\trch-1.dll
- %Windows%\NetworkDistribution\trch.dll
- %Windows%\NetworkDistribution\trfo-0.dll
- %Windows%\NetworkDistribution\trfo-2.dll
- %Windows%\NetworkDistribution\trfo.dll
- %Windows%\NetworkDistribution\tucl-1.dll
- %Windows%\NetworkDistribution\tucl.dll
- %Windows%\NetworkDistribution\ucl.dll
- %Windows%\NetworkDistribution\x64.dll
- %Windows%\NetworkDistribution\x86.dll
- %Windows%\NetworkDistribution\xdvl-0.dll
- %Windows%\NetworkDistribution\zibe.dll
- %Windows%\NetworkDistribution\zlib1.dll
ワームは、以下のプロセスを追加します。
- sc stop RpcPolicyMgr
- sc delete RpcPolicyMgr
- %System%\schtasks.exe /End /tn "Microsoft\Windows\UPnP\RpcPolicyHost"
- %System%\schtasks.exe /Delete /tn "Microsoft\Windows\UPnP\RpcPolicyHost"
- cmd.exe /c ping 127.0.0.1 -n 5 & cmd.exe /c del /a /f {Malware File Name}
- %System%\dllhostex.exe
(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)
ワームは、以下のフォルダを作成します。
- %Windows%\NetworkDistribution
(註:%Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.)
ワームは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。
- {ED29R9-8ED1-C760-7D789N}
- {CE9SCB-B92-FC8-A6FEDC}
- {E2088B81F-2A96-43E8-B9F522B}
- {F5175396-40C2-0218-278D6EE}
- {B8A7AE22-7F59-CDE5-71F9C2A}
自動実行方法
ワームは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services
{DLL Name} = %System%\svchost.exe -k netsvcs
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Svchost
netsvcs = {Original Data} + {DLL Name}
(註:変更前の上記レジストリ値は、「{Original Data}」となります。)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{DLL Name}\Parameters
ServiceDLL = %System%\{Random DLL Name}
ワームは、以下のサービスを開始します。
- {Random DLL Name}
他のシステム変更
ワームは、以下のファイルを削除します。
- %Windows%\RemoteDistribution\spoolsv.exe
- %Windows%\RemoteDistribution\Microsoft\spoolsv.exe
- %Windows%\RemoteDistribution\Microsoft\svchost.exe
- %System%\WUDHostServices.exe
- %System%\ServicesMgrHost.exe
- %System%\RpcPolicyMgr.dll
- %System%\NdfPresentationView.msc
- %System%\text.log
(註:%Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.. %System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)
ワームは、以下のフォルダを削除します。
- %Windows%\RemoteDistribution
(註:%Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.)
ワームは、インストールの過程で、以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\NetworkPlatform\
Location Awareness
LastBackup = {Hex Values}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\NetworkPlatform\
Location
IPC = IPC
感染活動
ワームは、以下のソフトウェアに存在する脆弱性を利用して、ネットワーク上で感染活動をします。
プロセスの終了
ワームは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。
- %Windows%\RemoteDistribution\spoolsv.exe
- %Windows%\RemoteDistribution\Microsoft\spoolsv.exe
- %Windows%\RemoteDistribution\Microsoft\svchost.exe
- %System%\WUDHostServices.exe
- %System%\ServicesMgrHost.exe
(註:%Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.. %System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)
情報漏えい
ワームは、以下の情報を収集します。
- Host Name
- Local IP Address
- MAC Address
情報収集
ワームは、HTTPポスト を介して、収集した情報を以下のURLに送信します。
- log.{BLOCKED}.com:80/ipc.html?
その他
ワームは、実行後、自身を削除します。
詳細:プログラムは、コンピュータのCPUおよびGPUのリソースを利用して仮想通貨を発掘します。その結果、感染コンピュータの動作が非常に遅くなります。
対応方法
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。
手順 3
セーフモードでの再起動後、以下のレジストリキーを削除してください。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- {DLL Name}
- {DLL Name}
手順 4
このレジストリ値を削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkPlatform\Location
- LastBackup = {HEX Values}
- LastBackup = {HEX Values}
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkPlatform\Location
- IPC = IPC
- IPC = IPC
手順 5
変更されたレジストリ値を修正します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
事前に意図的に対象の設定を変更していた場合は、意図するオリジナルの設定に戻してください。変更する値が分からない場合は、システム管理者にお尋ねいただき、レジストリの編集はお客様の責任として行なって頂くようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost
- From: netsvcs = {Original Data} + {DLL Name}
To: netsvcs = {Original Data}
- From: netsvcs = {Original Data} + {DLL Name}
手順 6
以下のファイルを検索し削除します。
- %System%\msvc{3-random character}.{random extension}
手順 7
以下のフォルダを検索し削除します。
- %Windows%\NetworkDistribution
手順 8
コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「Worm.Win32.VOOLS.AO」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください