中国のネットカフェがハッキングされSiacoinをマイニング

ウイルスソフト検知を回避する仮想通貨マイニングマルウェアが存在

ウイルスソフト検知を回避する仮想通貨マイニングマルウェア

トレンドマイクロがウイルスソフト検知を回避する仮想通貨マイニングマルウェアが存在している事をブログで発表した。Windows Installerを含む様々な回避方法を使用しており、今回発見されたのは無料FTPソフトとして人気のFileZillaディレクトリに存在していた。

トレンドマイクロは「cryptocurrency miner(Coinminer.Win32 .MALXMR.TIAOODAM)は、そのルーチンの一部として複数の難読化とパッキングを使用している事を発見しました。」と発表。

マルウェアの感染チェーン

マルウェアは、Windows Installer MSIファイルとしてパソコンにダウンロードされる。Windows Installerは、ソフトウェアのインストールに使用される正当なアプリケーションである為、疑わしいとされるレベルが下がる事になり、潜在的なセキュリティフィルタを回避できる。

分析したサンプルをインストールすると、%AppData%\ Roaming \ Microsoft \ Windows \ Template \ FileZilla Serverというディレクトリにマルウェアがインストールされる。そのファイルが無い場合は、その際に作成される。このディレクトリにはプロセスの一部として使用される様々なファイルが格納されている。

■bat – 現在実行中のマルウェア対策プロセスのリストを終了するために使用されるスクリプトファイル

■exe – ディレクトリにドロップされた別のファイルicon.icoに使われている解凍ツール

■ico – アイコンファイルとしてポーズされたパスワードで保護されたzipファイル

■ocx – cryptocurrencyマイニングモジュールの解読とインストールを担当するローダーモジュール

■bin – 暗号化され、UPXでパックされ、Delphiでコンパイルされた暗号化マイニングモジュール

マルウェア作成は東ヨーロッパの可能性

このマルウェアについて「インストール中は興味深いことにキリル文字(および英語ではない)テキストがプロセス中に使用されます。これはマルウェアがどこから来たのかを示している可能性があります。」とし、開発者は東ヨーロッパの国にいるか、それらの出身の可能性があると示唆している。

インストール後、マルウェアは3つの新しいサービスホストプロセスを作成しますが、その中のいくつかは終了時にマルウェアを再ダウンロードするために使用される。

更に検出と分析がさらに困難になる事を確実にする為に自己破壊メカニズムも持っている。これは、インストールディレクトリに含まれている全てのファイルを削除し、インストールの全ての痕跡を取り除く。




関連記事一覧