lsmosee.exe仮想通貨マイニングウイルス感染被害でCPU暴走 対策は?

イメージ 1
Image いらすとや

症状は PC が重くなる!

赤の他人の PC の CPU リソースを勝手に喰って、仮想通貨の1つ Monero(読み方 モネロ) をマイニングするウイルスの感染被害を確認してます。 <モネロは有名な仮想通貨ビットコインとは別モノ

ウイルス感染経路は 「Windows SMB のリモートでコードが実行される脆弱性 MS17-010」 を悪用するネットワーク感染と思われます。

イメージ 2
Windows Update でセキュリテパッチ配信済み

Microsoft Windows SMB サーバー用のセキュリティ更新プログラム マイクロソフト セキュリティ情報 MS17-010 - 緊急
https://technet.microsoft.com/ja-jp/library/security/ms17-010.aspx

脆弱性を悪用したサイバー攻撃相次ぐ

この 脆弱性を悪用したマルウェア感染被害のニュース はいろいろ報じられてます。

特に代表的なものとして世界的なサイバー攻撃でメディアを騒がせたのがランサムウェア WannaCry でしょう。 <米国が曰く、北朝鮮が関与してると

【感染原因が同じセキュリティ侵害】
2017年3月 マイクロソフトが 「Windows SMB のリモートでコードが実行される脆弱性 MS17-010」 の更新パッチを配信
2017年5月 世界的なサイバー攻撃 ランサムウェア WannaCry 《北朝鮮?》
2017年5月 サポート切れ Windows XP にも更新パッチを特例配信
2017年4~5月 仮想通貨マイニング Adylkuzz ウイルス 《中国?》
2017年6月 欧州で被害 ランサムウェア Petya(GoldenEye) 《ロシア?》
2014年7月~2018年 仮想通貨マイニング Smominru ウイルス

マイクロソフトは 2017年3月 に脆弱性を解消するセキュリティ更新パッチを Windows Update 経由で提供済みです。

…にも関わらず、そのセキュリティ更新パッチが適用されず脆弱性を残した管理のなってない Windows マシンが複数存在する残念な現実でしょう。

日本でもウイルス感染被害者

SMB のポートが開きっぱなしなところに、Windows Update を実施してないガバガバな Windows マシンを使う日本国内のユーザーさんが存在するようです。
  1. Windows Update の自動更新を故意に無効化して放置してる?
  2. 何かしら原因で Windows Update が正常に機能してない?
SNS や Q&Aサイト に投稿されてる仮想通貨マイニング Smominru ウイルスの被害の声をいくつか拾ってみました。

■ CPU使用率が100%になる原因を教えてください。WIN7を使っているのですが、先日PCが重いなと感じてCPU使用率を見ると何も起動していないのに、100%になっていました。 リソースモニターで見てみるとismo.exe というのが原因のようでしたので、これを終了しファイルを削除しました。
https://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q11176547286

■ てぃあまちお3さんのツイート: "CPU使用率が70%くらい食われてたんで"0621.exe"とかいうの切ったんだけど何すかこれ"
https://twitter.com/mat3_t/status/883633461830991873

■ もみさんのツイート: "pcの先生、lsmo.exeって何か教えてください" "cpu70%くらい使ってる…"
https://twitter.com/mmmnju/status/885845197275373570

■ 数日前からウイルスバスターで、疑わしきファイルを削除しましたとでます。削除されるファイルが毎回c2.datなんですが、これは何でしょうか?削除されたあと、パソコンの動作が重くなってしまうで困ってます。
https://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q10177727705

■ パソコンに詳しい方お願いします。OS Windows7 ウイルスバスターに影響を受けるファイルとして頻繁に削除されるファイルがでるのですがどういうことでしょうか?? 影響を受けるファイルとしてC:\windows\debug\c2.bat 削除される この二つが頻繁に何回も出てきて削除や拒否されます。
https://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q12177727917

■ COMODOというFWソフトを使っていてHIPSという機能がブロックするか出るようになって気付いたのですが C:\Windows\System32\wbem\scrcons.exe が C:\Windows\debug\c2.dat を開こうとしているようでc2.datファイルを消してもブロックするたび作成されるようです
https://oshiete.goo.ne.jp/qa/9909063.html

■ いつ侵入したのか分からず、ネットで検索してみても対処法がありません。定期的にlsmos.exeというアプリが起動し、やたらとパソコンが重くなります。停止してexeファイルを削除することはできるのですが、気が付いたらまたパソコンの中に復活しています。
https://oshiete.goo.ne.jp/qa/9877682.html

■ けいさんのツイート: "lsmose.exeってのにウイルス反応止まないんだけどなにこれ..."
https://twitter.com/02_kei_toho/status/889836958746263555

■ BLESS@くりちゃん(╹◡╹)さんのツイート: "とりあえず パソコンのリソースモニター開いて Lsmose.exe ってのあったらウイルス感染してる OS入れ直そう(´・_・`)"
https://twitter.com/icemenkuribou/status/896518889281994753

■ KZH78さんのツイート: "ネットに繋いでるとlsmosee.exeが数時間毎にセキュリティソフトに引っ掛かって本当に鬱陶しい。スタートアップにも勝手に登録されるからそっちも停止と削除をしておかないと気持ち悪いし本当に面倒"
https://twitter.com/KZH78/status/945338015911616512

■ dec@コスプレ一本勝負さんのツイート: "前に何度も苦しめられた『ネットに接続するとPCが重くなる』現象ですが、アンチウイルスソフトを入れたら『lsmosee.exe』というのが何度も削除されていたので調べてみたら『勝手に仮想通貨をマイニングするウイルス』とのこと。ということは、俺が普段から見てるサイトのどれかに仕込まれてるのか"
https://twitter.com/dec19811231/status/945865297055006720

■ ペロさんのツイート: "先ほどランサムウェアのツイートをした後、 特に何をした訳でもなく lsmosee.exeみたいのが反応した。 調べてみるとマイクロソフト関連っぽく見せかけた紛らわしい名前の 不正なWindowsサービスで、仮想通貨をマイニングするプログラムを自動的に起動させるとか。 何かイヤ~な感じ。"
https://twitter.com/pero133/status/928488807753596928

PC にセキュリティソフトを導入してあっても、開放してる SMB のポートから侵入を許した不正な実行ファイルを検出 → 駆除を繰り返しループする感じっぽい?

マイニングウイルス関連ファイル

この仮想通貨マイニングウイルス Smominru と関連する実行ファイルの投下場所はこんなところを手元で確認してます。
  • C:\Windows\debug\ ~
    0621.exe
    lsmose.exe
    lsmosee.exe
    c2.bat
    close2.bat FirefloyFramer
  • C:\Windows\Help\ ~
    lsmo.exe
    lsmosee.exe
    lsmoseee.exe
    ls.exe FirefloyFramer
  • C:\Windows\System\ ~
    cabs.exe
有償製品を宣伝する詐欺サイトに注意

ウイルス駆除方法を紹介するかのよう装い有償製品 SpyHunterWiperSoftReimageGridinSoft Anti-Malware などを騙して導入させる目的の詐欺サイトが存在するのでご注意ください。

【危険! 有償製品を宣伝するだけの詐欺サイト例】
removespyware.makepcsafer[.]com
japanese.malwares[.]news
deletemalware[.]net/ja/
howtoremove[.]guide
trojan-killer.net/ja/
virus-removal-guide.com/ja/
www[.]removepcmalwarevirus[.]com
www[.]virusresearch[.]org
www[.]removeexeerror[.]com/jp/
www[.]removal-virusguide[.]com/jp/
www[.]removeuninstallpcmalware[.]com


これら詐欺サイトの多くが、機械翻訳による変な日本語の文章で書かれてあり読む価値もないものの、これら実行ファイル名でググると Google や Yahoo! の検索結果にやたらヒットします。 <本当にうざい

マルウェア感染で焦ってるユーザーに対してデタラメな対応方法を紹介しつつ、有償製品のインストーラをダウンロードするよう仕向ける嫌らしい手口です。

マイニングウイルスの詳細

ウイルス感染確認

マイニング処理を行うプログラムを起動するため、Windows の タスクスケジューラ に不正なタスクを登録します。 <手動でパラメータを削除する必要あり

【タスクスケジューラに登録される不正なタスク例】
Mysa
Mysa1
Mysa2
Mysa3
ok

【関連するC&Cサーバー例】
ftp.oo000oo[.]me
down.oo000oo[.]club
wmi.oo000oo[.]club
wmi.mykings[.]top
down.mysking[.]info
down.mykings[.]pw
js.mykings[.]top
js.5b6b7b[.]ru
64.5b6b7b[.]ru
64.myxmr[.]pw
64.mymyxmra[.]ru
xmr.xmr5b[.]ru
wmi.my0709[.]xyz
down.mys2016[.]info
www.cyg2016[.]xyz
ftp.ruisgood[.]ru
ftp.ftp0118[.]info
xmr.5b6b7b[.]ru:8888

ウイルスに感染したくない!

【ウイルス検出名】
Microsoft
Backdoor:Win32/ForShare Trojan:Win32/Smominru
Symantec Backdoor.Forshare
Trend Micro BKDR_FORSHARE

・ インターネット接続はブロードバンドルータ機器で
必要ないなら SMBバージョン1(SMBv1) を無効化する
・ セキュリティ対策の基本 Windows Update で脆弱性を解消する
関連するブログ記事