ビットコイン採掘ソフト迷惑メールでウイルス感染 無料ダウンロード危険

イメージ 6

【2018年9月 追記...】
この記事の迷惑メールとは関係なく、「ウイルス(トロイの木馬)を感染させた」「メールアカウントをハッキングした」「ウェブカメラで撮影した映像をバラ撒く」 として、仮想通貨ビットコインを要求する脅迫メール が確認されてます。

【Bitcoin】ビットコイン採掘ソフトの無料ダウンロード」 と称した、かなり怪しすぎる 迷惑メール(スパムメール) がバラ撒かれており手元に着弾しました。

イメージ 5
本文2行で怪しすぎる迷惑メール実例
件名 【Bitcoin】ビットコイン採掘ソフト
送信者 【Bitcoin】

WindowsでビットコインのマイニングするならBitcoin Minerが簡単
無料ダウンロード: http://www.rs-btc[.]com/


メールに添付ファイルはなく、本文中の URL リンクをポチッと踏むよう誘導します。

ビットコイン採掘ソフト RsMiner?

誘導先は 「RsMiner」 なる素性不明なブツを配布する日本語ページになっていて、[無料ダウンロード] ボタンを押すよう仕向けます。

イメージ 1

RsMiner
WindowsでビットコインのマイニングするならBitcoin Minerが簡単 [無料ダウンロード]

ここでダウンロードできるのはzip形式の圧縮アーカイブです。

その圧縮アーカイブを解凍・展開して中身を確認すると、怪しい Windows 向け実行ファイル(拡張子 .exe) が登場しました。

イメージ 2
中身は Windows 向け実行ファイル

RsMiner.zip
└ RsMiner.exe

4279be58262c894af4e24dd2ec4e6911
www.virustotal.com/ja/file/04817353261b1bee37d2d4ec89794ecf2cd39f771d3ac38372a874d7b18429f2/analysis/1532912224/


実行ファイルを起動するとウイルス感染

この実行ファイル RsMiner.exe を Windows パソコン上でポチポチッとダブルクリックして開くとどうなる?

2つの実行ファイルが裏側でコッソリ投下されて起動しつつ、ユーザーに対しては中国製ツール?のウィンドウ画面が目に見える形で表示されます。

イメージ 3
よく分からん中国製ツールが表面的に表示される

ddmm.exe
ccf6b449b153bd40d0162cb7058ef0a2
www.virustotal.com/ja/file/f627ce6b2e6e96c0e04ce78d74308c16e54024e13ad5a24eb237579966f471a9/analysis/1240529694/
かなり古いファイルで VirusTotal 初回アップロード日は今から9年前

btc.exe または cwCTm4IV.exe
03b79f2575eff00855ab46fbfcba745d
www.virustotal.com/ja/file/14dd353bb78c7a1cb5ba0b410567f756d7b68b016e4d564d0cb2555843feca31/analysis/1532945179/
香港 103.231.166.60 に接続して何か悪事を働く

Windows PC が起動してる間、実行ファイル cwCTm4IV.exe を常駐させたいようで、Windows のレジストリにパラメータが新規作成されます。

イメージ 4

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
名前 → cwCTm4IV
データ → "C:\Program Files\Common Files\Microsoft Shared\MSINFO\cwCTm4IV.exe"

…ってことで、「ビットコイン採掘ソフト」「RsMiner」 でも何でもなく、Windows ユーザーを騙してウイルスを手動で起動させる自爆感染を狙った危険なメールと判明しました。

関連するブログ記事