2017年8月21日

株式会社Doctor Web Pacific

仮想通貨をマイニングするトロイの木馬は2011年に登場し、現在でも犯罪者の間でその人気は衰えるところを知りません。その事実は新たなトロイの木馬の出現によって裏付けられています。

マイニングトロイの木馬は定期的に登場していますが、Doctor Webのウイルスアナリストによると、最近では興味深い傾向が見られます。これらプログラムはLinuxプラットフォームを標的とするようになってきているというものです。現在では、Linuxを搭載したスマートデバイスの人気が高まりを見せていますが、それらの所有者はデフォルトの設定―中でも管理者のログインとパスワード―を変えずに使用しています。そのため、サイバー犯罪者はそれらのデバイスを難なくハッキングすることができます。

Linux.BtcMine.26 はデバイスを標的とする新たなマイニングトロイの木馬です。その拡散手法は Linux.Mirai のものと同様で、サイバー犯罪者はTelnetプロトコルを使用してデバイスに接続し、ログインとパスワードを割り出した後、デバイス上にローダープログラムを保存します。続けて、コンソールコマンドを使用してターミナルからローダーを起動させ、デバイス上に Linux.BtcMine.26 をダウンロードします。

ローダーの解析結果から、このアプリケーションの一風変わった特徴が明らかになりました。そのソースコード内に krebsonsecurity.com が何度も出現しています。このWebサイトは著名なサイバーセキュリティエキスパートであるブライアン・クレブス (Bryan Krebs) 氏のものです。 Linux.BtcMine.26 の作成者はクレブス氏の密かなファンであるようです。

Linux.BtcMine.26 は2014年に作成された仮想通貨 Monero (XMR) をマイニングするよう設計され、現時点で、 x86-64 および ARM のハードウェアアーキテクチャ向けのものが確認されています。マイニングトロイの木馬に感染していることを示す兆候には、デバイスの処理速度低下や動作中の過熱が挙げられます。この種のトロイの木馬による感染を防ぐ最も信頼性の高い方法は、デフォルトのログインとパスワードを変更することです。辞書攻撃によって破られることのない複雑なパスワードを設定することが推奨されます。また、外部から接続された際にリモートでデバイスの設定を変更することができないよう制限することをお勧めします。

Linux.BtcMine.26 のシグネチャはLinux向けDr.Webアンチウイルスのデータベースに追加されています。したがって、Dr.Webユーザーに危害が及ぶことはありません。

Linux.BtcMine.26の詳細(英語)