マイライブラリ
マイライブラリ

+ マイライブラリに追加

電話

お問い合わせ履歴

電話(英語)

+7 (495) 789-45-86

Profile

ニュース一覧に戻る

コラム : マイニングトロイの木馬の侵入経路に見るシステムを守る方法

2018年4月20日

株式会社Doctor Web Pacific


現代のオフィスにあるコンピューターは、日常業務に十分な機能を持っています。 また、サーバーのハードウェア構成は平均負荷の3~5倍の最大負荷を負担するため、サーバーの容量が十分に活用されていないことがよくあります。

その結果、この種のマシンでは、バックグラウンドで実行されるプログラムが特に「貪欲」にならない限り、ユーザーに認識させずに、多数のタスクを静かに実行させていることがあります。

昨日、マシンがアイドル状態になっている間にGPUの負荷が98%~99%に上昇していることに気付きました。この現象の原因で思い当たるものをいくつか調べた結果、ビデオアダプタがマイニングのために利用されていることに気付きました。このアクティビティから利益を上げる方法や、使用するハードウェアといったようなものについて、多くのフォーラムでトピックが上がっています。 ですが、私は、この "たかり屋"をシステムから排除する方法を見つけられませんでした。グラフィックカードから、負荷がかなりかかっているという通知が頻繁に上がるようになったことが私に不快感を与えました。さらに、誰かが私から離れたところでお金を儲けているのだということがさらに私を苛立たたせました。どうか私に、これを何とかする方法を教えてください。

ビットコインは最も有名な現代デジタル通貨で、マイニングはその通貨を獲得する方法のことを言います。マイニングには高性能のハードウェアが必要となります。犯罪者はシステムに対応するマルウェアを感染させ、影響を与えることで、一般ユーザーから それを"借用"できると考えています。

この類の悪質なプログラムが最初に発見されたのは、2011年7月7日です。

現在、いくつかの悪質なプログラムがビットコインのマイニングをしていることは知られています。トロイの木馬やコインビット、特定のトロイの木馬などが該当します。新しいトロイの木馬 Trojan.BtcMine.1 は、2つの正当なマイニングプログラムを使用して、被害者のコンピューターのリソースを利用します。

スクリーンショットには、 Trojan.BtcMine.1 によって起動されたマイナーソフトウェアがシステムで実行されているときに、CPUにかかる負荷に関する情報が表示されます。

引用したレビューテキストは、判明した興味深い2つの事実を強調しています。

  • マイニングアプリケーションは、礼儀正しいゲストのような動作をしませんが、CPU容量を多く消費します。
  • このトロイの木馬は正当なマイニングソフトウェアを使用しています。 これは、未知のプロセスが実行中のように見えるのにシステム内で悪意のある活動がされていることが示されておらず、システムが危殆化されていることを示しています。つまり、攻撃者によって使用されているプログラムが存在しているのにあなたのセキュリティソフトウェアが反応していないことを意味しています。

悪質なマイニングプログラムはどのように広がっているのでしょうか?

Litecoinを掘り起こすように設計された Trojan.BtcMine.221 は、さまざまなアプリケーションやブラウザの拡張機能を装って展開されています。たとえば、そのうちの1つはユーザーが安価な商品をオンラインで見つけるために使用されているものです。

同プログラムの開発者は、「Shopping Suggestion」と呼ばれる拡張機能は、ユーザーがブラウザで表示している商品に関する情報を自動的に取得し、同じ商品をインターネットで検索すると低価格なものが見つかると主張しています。 さらに、このトロイの木馬は、インターネット上の匿名のサーフィンのためのVLCプレーヤーやソフトウェアなどの他のアプリケーションとしてよく偽装されています。

デジタル署名は、アンチウイルスセキュリティの代替手段として機能すると考えられています。 開発者は、合法性を確認するためにアプリケーションに署名する必要があります。これ自体は 賢明なアイデアと言えますが...

デジタル署名は、同様の名前を持つ正当なアプリケーションの開発者が取得したものですが、 Trojan.BtcMine.221 にも署名が付いています。

したがって、システムのセキュリティがデジタル署名の検証のみに基づいている場合、このトロイの木馬は簡単に回避できます。

アフィリエイトプログラムは、コンピューターにこの種のプログラムを感染させるためにも使用されます。

ファイルトラフィックを貨幣化するために使用されるアフィリエイトプログラムである installmonster.ru が繰り返し行っている監視は本当に悪意を持っているかを再確認しました。12月上旬には SmallWeatherSetup.exe ファイルの配布が容易になりました。 SmallWeatherSetup.exe は天気ツールバーをユーザーのコンピューターにインストールすると思われます。 実際に、最新の気象情報を表示し、同様の名前を持つ正当で無害なアプリケーションが存在します。 しかし、 installmonster.ru によってプロモートされていたファイルは、あまり無害な Trojan.BtcMine.218 にバンドルされていました。

サイト所有者向けのアフィリエイトプログラムは、特定のアプリケーションを自分のウェブサイトでホストすることによって、多少のお金を稼ぐのに役立つかもしれません。 当初のアフィリエイトプログラムは、正当な目的ではないことを示しています。

ちなみに、この場合、天気ウィジェットは実際にインストールされます。配布ファイルは、この無害なアプリケーションを組み込みましたが、これとともに、トロイの木馬も...

開発者が所有していないサイトからアプリケーションをダウンロードしてインストールする場合、あなたは自身にとって最悪の敵です。

犯罪者にとって、合法的なマイニングの用途は、ユーザーが気付く可能性があるため特に便利だとは言えませんが、だからといって良いことではありません。正規のプログラムに加えて、ツールカテゴリに属する特別なソフトウェアを使用するのはそういった理由です。 Dr.Web分類システムでは、この種のプログラムは Tool.BtcMine と呼ばれています。

マイニングソフトウェアは、すべてのプラットフォームで使用できます。

2014年には、 Linux.BtcMine や Linux.CpuMiner など、Linux用のいくつかのマイニングトロイの木馬が、 Android.CoinMine.1.origin や Android.CoinMine.2.origin など、Android用の同様のアプリケーションと同様にウイルスデータベースに追加されました。 それらは、攻撃者によって変更された人気のある正当なプログラムとともに配布されました。

screenscreenscreen

マイニングは犯罪者に追加の収入を提供することが多いです。

Trojan.Mods.10 の主な目的は、ブラウザウィンドウのコンテンツを犯罪者によって作成されたWebページに置き換えることですが、犯罪者はプログラムにビットコインマイニングモジュールをインストールしました。

主にスパムを送信するように設計された Trojan.Tofsee は、リモートサーバーから最大17個のロード可能なプラグインをダウンロードすることもできます。 dllファイルとして実装されているプラグインには、 Trojan.BtcMine.148 と呼ばれるビットコインマイニングプログラムが含まれています。

時間の経過とともに、1台のPCの容量がマイニングには不十分になり、ウイルスメーカーは本物のモンスターを生産し始めました。

Trojan.BtcMine.737 は、すべてのハードドライブのルートフォルダに自身をコピーし(この操作は定期的に繰り返されます)、ネットワーク上のすべてのコンピューターを経由して、特別なリストのログインとパスワードを使用して接続しようとします。 さらに、マルウェアは、Windowsユーザーアカウントのパスワードを解読しようとします。 成功し、必要なハードウェアが利用可能であることを条件に Trojan.BtcMine.737 は、開いているWi-Fiホットスポットを設定します。

ネットワーク上の任意のコンピューターに接続が確立されると、そのコンピューターに自身を複製し、Windows Management Instrumentation(WMI)か、タスクスケジューラーを使用してそのコピーを実行しようとします。

Trojan.BtcMine.737 はローカルネットワーク上に広がる可能性があるため、アンチウイルスによって保護されていないコンピューターに脅威を与える可能性があります。

興味深いことに、 Trojan.BtcMine.737 は複数の犯罪者が協力しあった成果です。 ビットコインを掘り起こすために、別の開発者のユーティリティを使用します。Dr.Webはプログラムを Tool.BtcMine の種として検出します。 ユーティリティの著者は、プログラムを使用して採掘された総金額の2.5%を受け取るという規定の下で利用可能にします。

マイニングトロイの木馬による感染の統計にも注目してみましょう。

毎日平均203,406個のボットがオンラインになります。 同期間中に削除されたトロイの木馬の数は6,028に過ぎなかったものの、2013年12月のわずか3日間で、新たに感染したマシンが49,149台もネットワークに接続されました。

スマートなオンラインショッピングプログラムは20万人以上のユーザーによってダウンロードされました!

<結論>Dr.Web CureItを提供しています!

  • Trojan.Zadvedは、偽の検索結果とソーシャルネットワーキングサイトからの偽のポップアップメッセージを表示します。
  • Trojan.BtcMine.793
  • Trojan.DownLoaderプログラムは、感染したコンピューターに他のマルウェアをダウンロードします。
  • Trojan.InstallCore.1903は、望ましくない悪意のあるソフトウェアインストーラーです。

これは、暗号化ランサムウェアスクリプトについての最新のニュース記事を読んでいる間に、あなたのコンピューターに損害を与えているいるかもしれないプログラムです。

#mining #corporate_security #terminology #malware #Trojan

Tell us what you think

To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments