キヤノンITソリューションズ株式会社 閉じる

ウイルス情報  
最新ウイルス定義ファイルバージョン : 12381
(2015/10/09 17:02)

最新ウイルス情報 : Win32/CoinMiner.DY
公開日:2013年8月23日
このウイルスに関する危険度 :■■■□□

定義名称 Win32/CoinMiner.DY
シグネチャ検査による結果だった場合 Win32/CoinMiner.DY
別名 Trojan-Dropper.Win32.Dapato.cesh(Kaspersky)、Trojan.Coinbitminer(Symantec)
種別 トロイの木馬
アドバンスドヒューリスティック検査による結果だった場合 このオリジナルのトロイを利用した新種、亜種が検出された場合は、「NewHeur_PE」もしくは「Win32/CoinMiner.DY トロイの木馬の亜種」という名称で警告が出ます。
対応時期 バージョン8431(20130610)以降
影響を受けるプラットフォーム Microsoft Windows
概要 このトロイの木馬は、感染先のコンピューターのハードウェアリソースを使用してBitcoinとして知られるデジタル通貨のマイニングを実行します。Smart Install Makerを使用して実行ファイルが圧縮されています。詳しい活動内容については、解説欄をご参照ください。

検出した場合の対処方法

常駐監視を行っている各検査プログラムによって検出された場合は、駆除もしくは削除を行ってください。駆除もしくは削除ができない場合は、Windows のシステムの復元により修復しなければならない可能性があります。

対象のファイルが身に覚えのないファイル名の場合は、そのファイル自身がウイルスそのものである可能性が高いので、駆除ではなくすべて削除をしてください。これにより2次感染、3次感染を防げます。また、自分が作成したデータ等に感染していた場合は、駆除が可能な場合もありますが、駆除のボタンが押せない状態もしくは駆除しても失敗する場合は、すでに元のデータの戻せない状態までデータが書き換えられている場合もあります。この場合もすべて削除してください。

解説での表記(用語)について

以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir% と表記しており、インストール時の設定により異なる場合があります。%windir% のサブディレクトリである"System"や"System32"は %system% と表記しています。
%malwarepath%は、マルウェアプログラムまでのパスを表記しています。
%temp%はWindowsオペレーティングシステムのテンポラリディレクトリを表記しています。

解説


■侵入(インストレーション)について
このトロイの木馬は、実行時に次のファイルを作成します。

%windir%\API.class (3431 B)
%windir%\API.java (3306 B)
%windir%\api-example.c (7530 B)
%windir%\api-example.php (2174 B)
%windir%\csrss.exe (185856 B, Win32/CoinMiner.DY)
%windir%\diablo130302.cl (44727 B)
%windir%\diakgcn121016.cl (30802 B)
%windir%\example.conf (763 B)
%windir%\libcurl.dll (602624 B)
%windir%\libeay32.dll (1625 KB)
%windir%\libidn-11.dll (192512 B)
%windir%\librtmp.dll (133632 B)
%windir%\libssh2.dll (170496 B)
%windir%\libusb-1.0.dll (110094 B)
%windir%\lsass.exe (567310 B, Win32/BitCoinMiner.D)
%windir%\lsass-nogpu.exe (471566 B, Win32/BitCoinMiner.N)
%windir%\miner.php (64577 B)
%windir%\phatk121016.cl (13062 B)
%windir%\poclbm130302.cl (43810 B)
%windir%\scrypt130302.cl (23811 B)
%windir%\ssleay32.dll (352768 B)
%windir%\svchost.exe (61440 B, Win32/CoinMiner.DY)
%windir%\zlib1.dll (84992 B)
%windir%\bitstreams\COPYING_fpgaminer (983 B)
%windir%\bitstreams\COPYING_ztex (811 B)
%windir%\bitstreams\fpgaminer_top_fixed7_197MHz.ncd (3596 KB)
%windir%\bitstreams\ztex_ufm1_15b1.bit (2395 KB)
%windir%\bitstreams\ztex_ufm1_15d1.bit (4121 KB)
%windir%\bitstreams\ztex_ufm1_15d3.bit (4121 KB)
%windir%\bitstreams\ztex_ufm1_15d4.bin (6792 B)
%windir%\bitstreams\ztex_ufm1_15d4.bit (4121 KB)
%windir%\bitstreams\ztex_ufm1_15y1.bin (6794 B)
%windir%\bitstreams\ztex_ufm1_15y1.bit (4121 KB)
%temp%\tmp.tmp (752 MB)


これらのファイルは、Windows Explorer内で表示されないようにするため、システム(S)属性と隠し(H)属性が設定される場合があります。

システムが起動するたびに実行されるよう、次のレジストリーエントリーを登録します。

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell" = "explorer.exe, %windir%\csrss.exe"


次のレジストリーエントリーを作成します。

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\NewProduct 1.00]
"DisplayName" = "NewProduct 1.00"
"DisplayVersion" = "1.00"
"VersionMajor" = 1
"VersionMinor" = 0
"Publisher" = "Company"
"DisplayIcon" = "C:\Program Files\Company\NewProduct\Uninstall.exe"
"UninstallString" = "C:\Program Files\Company\NewProduct\Uninstall.exe"
"URLInfoAbout" = "http://www.company.com/"
"HelpLink" = "mailto:support@company.com"
"InstallLocation" = "C:\Program Files\Company\NewProduct\"
"InstallSource" = "C:\Documents and Settings\Administrator\Desktop\"
"InstallDate" = "20130730"
"Language" = 2052
"EstimatedSize" = 798077
"NoModify" = 1
"NoRepair" = 1


次のファイル名を使用して自身のコピーを作成する場合があります。

D:\Program Files\iexplare.exe (61440 B, Win32/CoinMiner.DY)


このファイルを実行します。

次のレジストリーエントリーを登録する場合があります。

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"oAOAA2" = "%malwarepath%\smssd.exe"
"hao123" = "D:\Program Files\iexplare.exe %variable%"


これにより、システムが起動するたびに実行されるようになります。

%variable%には可変の文字列が入ります。

■その他の情報
このトロイの木馬は、感染先のコンピューターのハードウェアリソースを使用してBitcoinとして知られるデジタル通貨のマイニングを実行します。

次の命令を実行します。

C:\Windows\svchost.exe %variable1%
C:\Windows\lsass.exe --url http://51wakuang.net:9332 --user %variable2% --pass %variable3% --auto-fan --auto-gpu
C:\Windows\lsass.exe --scrypt --url http://51wakuang.net:9327 --user %variable2% --pass %variable3% --auto-fan --auto-gpu


%variable1-3%には可変の文字列が入ります。

次のプロセスを実行します。

iexplore.exe http://www.51yingshi.net


インターネットからファイルをダウンロードし、実行する場合があります。

1つのURLを保持しています。通信にはHTTPプロトコルが使用されます。

ユーザーが次のサイトのいずれかにアクセスすると、通信に干渉します。

http://www.taobao.com/
http://www.tmall.com/


次のプログラムが影響を受けます。

Microsoft Internet Explorer
Google Chrome


このページのトップへ

(C)Canon IT Solutions Inc.