仮想通貨マイニングウイルスAdylkuzz感染で被害の声続々 対策は?

イメージ 1
Image いらすとや

先月2017年4月下旬から日本国内の Windows ユーザーさんから被害の訴えが?

Windows パソコンのパフォーマンスが落ちて動作が目に見えて重くなり、タスクマネージャーを確認してみると見慣れない怪しい実行ファイル(拡張子 .exe) が動作していて、そのCPU使用率が100%近くで暴走する症状です。

■ ふらっとぱいんさんのツイート: "リソースモニターで見るとmsiexev.exeというやつが悪さしてるみたいだけどググっても英語のページしか出ない…"
https://twitter.com/flat_pine/status/859635579293663237

■ ざびびっとしんどろむむむさんのツイート: "msiexevくん悪さしてる"
https://twitter.com/Cristone_bot/status/857621799445577729

■ AnotherBさんのツイート: "C:Windows\Prefetch\secscan.exe←タスクマネージャを起動すると消え、終了すると動き出してCPUに負荷をかける何か、タスクマネージャを起動し続けると10分程度で勝手に消え、動き出す"
https://twitter.com/j2j1s2/status/860110342478626816

■ 巻き起こせ!けみねちゃん旋風さんのツイート: "msiexev.exe WINsec.exe secscan.exe wuauser.exe アバスト様により排除されましたありがとうございます"
https://twitter.com/chemine_BD/status/858594520635654145

■ Liavelyさんのツイート: "パソコンが色んなウィルスに犯されまくってやばい.. WINsec.exeがcpu使用率100%にしてて .onionとかいう謎の拡張子のファイル大量発生してる"
https://twitter.com/liakun00/status/858681971341316096

■ Penchanさんのツイート: WINSec.exeっていうアプリがCPUを取り続けてる"
https://twitter.com/Penchan33/status/861572874699587584

■ リリティアさんのツイート: "CPU使用率が100%で絵もグラブルもまともにできんと思ったらmsiexevお前…"
https://twitter.com/LiLiTeA/status/857586818211905540

■ 倦怠感さんのツイート: "どうもChromeそのものではなく、LMS.exeというやつがCPU使用率100%にしてて、それが原因でリソースに余裕がないと動作が重くなるChromeが割を食っているみたいな感じ? どうしたらいいのこれ #windows"
https://twitter.com/weariness/status/860014318443573248

■ バイオ・ハジャード | さ迷える羊…メェ~。 Trojan:Win32/Adylkuzz
http://blog.hangame.co.jp/T667459472/article/43206484/

セキュリティソフトを導入していても侵入そのものは許してしまい検出 → 駆除の作業を繰り返す始末です。

原因は仮想通貨マイニングウイルス

実行ファイルの正体は Windows パソコンを乗っ取った上で、CPUリソースを勝手に喰って仮想通貨 Monero(読み方 モネロ) をマイニングする不正なプログラムです。 <Monero は仮想通貨ビットコインとは別モノ

手元で確認してる実行ファイルの投下場所はこんなところ。
  • C:\Windows\security\ ~
    msiexev.exe
    WINsec.exe
  • C:\Windows\Prefetch\ ~
    secscan.exe
    wuauser.exe FireflyFramer
  • C:\Windows\Fonts\ ~
    LMS.exe
    sppsrv.exe
仮想通貨マイニングウイルスの感染原因

ウイルス感染原因がナゾで、リモートデスクトップ(RDP接続) 経由と最初は思ったけれど、RDP が実装されてない環境 Windows 7 Home Premium で被害にあったお話を見つけました。

《1》 TeamViewer のようなリモートコントロールソフト介して送り込まれた?
《2》 2017年3月に Windows Update でセキュリティ更新パッチが配信されてる 「Windows SMB のリモートでコードが実行される脆弱性 MS17-010」 の悪用?

タスクマネージャーで終了できない

異変に気づいたユーザーが暴走する実行ファイルを止めようしても、次の実行ファイルが動作してることを確認すると自分自身を強制終了して逃げる処理が存在します。
  • taskmgr.exe … Windows のタスクマネージャー
  • procexp.exe … マイクロソフト Sysinternals 提供の Process Explorer
この場合、Windows の リソースモニター あるいは Process Explorer(ファイル名 procexp.exe から別の名前に変更しておく) を起動することで対処可能です。

不正なWindowsサービスの登録

マイクロソフト関連っぽく見せかけた紛らわしい名前の 不正なWindowsサービス を登録し、仮想通貨をマイニングするプログラムを自動的に起動します。

手元で確認した Windows サービスは次のような感じ。

イメージ 4

イメージ 2

イメージ 3

サービス名 clr_optimization_v4.0.30339
表示名 Microsoft .NET Framework NGEN v4.0.30339

サービス名 winss
表示名 Windows Security Scan Services

サービス名 welm
表示名 Windows Event Log Management

不正なWindowsサービスを手動で強制的に停止させるには、コマンドプロンプト を起動して次のようなパラメータを打ち込む必要があります。 (赤部分にサービス名を指定する

sc qc clr_optimization_v4.0.30339
 ↓ 存在することを確認できたら…
sc stop clr_optimization_v4.0.30339
 ↓
sc delete clr_optimization_v4.0.30339

関連するC&Cサーバー

d.disgogoweb[.]com
g.disgogoweb[.]com
mine.best01011[.]com
play.best01011[.]com
07.super5566[.]com
a1.super5566[.]com
aa1.super5566[.]com
tcp://xmr.crypto-pool.fr:443 ← XMR は Monero の通貨単位


<2017年5月 追記...>

Adylkuzzウイルス! 感染原因も判明

5月12~13日にかけて世界的なサイバー攻撃が発生し ファイルを暗号化して身代金を支払うよう脅迫するランサムウェア WannaCry の被害が確認されました。

この感染原因は 「Windows SMB のリモートでコードが実行される脆弱性 MS17-010」 の悪用です。

セキュリティ会社から仮想通貨マイニングウイルス Adylkuzz(読み方 アディルカズ) のがいくつか発表され、感染経路は同様の脆弱性を悪用するネットワーク感染と判明しました。

Adylkuzz Cryptocurrency Mining Malware Spreading for Weeks Via EternalBlue/DoublePulsar - Proofpoint
https://www.proofpoint.com/us/threat-insight/post/adylkuzz-cryptocurrency-mining-malware-spreading-for-weeks-via-eternalblue-doublepulsar

暗号通貨のマイニングに使われる Adylkuzz が登場: WannaCry の系列とは別 - Symantec
『Adylkuzz がマシンに侵入するとき利用しているのが、MS17-010 を悪用するコード、別名「Eternal Blue」です。Adylkuzz を操る攻撃者は、インターネットを物色して、脆弱なマシンがあるとこのマルウェアをインストールします。WannaCry と違って、Adylkuzz に自身を拡散する機能はありません。』
https://www.symantec.com/connect/ja/blogs/adylkuzz-wannacry-0

「EternalBlue」を利用して仮想通貨を発掘するマルウェア - レンドマイクロ
『EternalBlueを利用して侵入するマルウェアとして、WannaCry と UIWIX の他に「Adylkuzz」 を確認しています。このマルウェアは感染したPCを「ゾンビ化」、つまり「ボット化」して遠隔操作し、PCの計算能力を利用して仮想通貨「Monero(モネロ、XMR)」の発掘(マイニング)に利用します。』
http://blog.trendmicro.co.jp/archives/14934

メディアの報道で Wannacry ランサムウェア感染騒動が話題になったのに、今だに対策してないセキュリティに無頓着な日本のユーザーさんがいる現実を Adylkuzz ウイルスでも改めて証明された形です。

Adylkuzzウイルスの感染原因

・ Windows Update の自動更新を故意に無効化して放置してる
・ 何かしらの原因で Windows Update が正常に機能してない

Adylkuzzウイルスに感染したくない対策

・ インターネット接続はブロードバンドルータ機器で
必要ないなら SMBバージョン1(SMBv1) を無効化する
・ セキュリティ対策の基本 Windows Update を実施し脆弱性を解消する
関連するブログ記事

最終更新日: 2017/07/29

これより先はプライベートモードに設定されています。閲覧するには許可ユーザーでログインが必要です。

タグ :
Windows