ノートパソコン dynabook が 
8万円から♪<迷惑メール>Bitcoinマイニングソフトでウイルス感染被害
【2018年9月 追記...】
この記事の迷惑メールとは違う脅威で、「ウイルス・トロイの木馬に感染させた」 「メールアカウントをハッキングした」「Web カメラで録画した映像をバラ撒く」 として ビットコインを要求する脅迫メール が確認されている。
「【Bitcoin】ビットコイン採掘ソフトの無料ダウンロード」 と称した怪しい 迷惑メール(スパムメール) がバラ撒かれていて、手元にも着弾したので紹介しましょう。 
本文 2 行の怪しい迷惑メール実例
怪しいメール件名 【Bitcoin】ビットコイン採掘ソフト
送信者 【Bitcoin】
WindowsでビットコインのマイニングするならBitcoin Minerが簡単
無料ダウンロード: http://www.rs-btc[.]com/
Eメールに添付ファイルはなく、本文に URL が記載されてあって、ユーザーにリンクをポチッと踏むよう誘います。
ビットコイン採掘ソフト 「RsMiner」 ダウンロード?
Eメールからの誘導先は、さっぱり素性不明なブツ 「RsMiner」 を配布する日本語ページで、[無料ダウンロード] ボタンを押すよう仕向けてきます。
RsMiner 無料ダウンロード?
RsMiner WindowsでビットコインのマイニングするならBitcoin Minerが簡単 [無料ダウンロード]
こちらからダウンロードできるのは zip 形式の圧縮アーカイブで、中身を解凍・展開すると、怪しい 1 つの Windows 向け実行ファイル (拡張子 .exe) を確認しました。
配布ファイルの中身は怪しい実行ファイル .exe
【配布ファイルの詳細】
RsMiner.zip → RsMiner.exe
MD5ハッシュ値 4279be58262c894af4e24dd2ec4e6911
www.virustotal.com/ja/file/04817353261b1bee37d2d4ec89794ecf2cd39f771d3ac38372a874d7b18429f2/analysis/1532912224/
avast Win32:Malware-gen
Avira BDS/Hupigon.brut.42
ESET Multiple Detections
Kaspersky UDS:Trojan.Win32.Generic
Microsoft Backdoor:Win32/Hupigon
Symantec Backdoor.Graybird
Trend Micro Coinminer_MALBTC.E-WIN32
~ 実体は WinRAR 自己解凍書庫
■ 実行ファイルの起動でバックドア感染
この実行ファイル 「RsMiner.exe」を Windows パソコン上でポチポチッとダブルクリックして開くと、2 つの実行ファイルがコッソリ投下されて起動しつつ、ユーザーさんに対しては中国語表記の謎ツールのウィンドウ画面が表示されました。
謎のツールが起動する表向きの演出
【実行ファイル1の詳細】
「ddmm.exe」
MD5ハッシュ値 ccf6b449b153bd40d0162cb7058ef0a2
www.virustotal.com/ja/file/f627ce6b2e6e96c0e04ce78d74308c16e54024e13ad5a24eb237579966f471a9/analysis/1240529694/
avast Win32:Malware-gen
Avira BDS/Hupigon.brut.42
ESET Generik.EACOROO
Kaspersky -
Microsoft Backdoor:Win32/Hupigon
Symantec -
Trend Micro TROJ_GEN.F43EZIK
~ かなり古いファイルで VirusTotal に初めてアップロードされた日時は 2009年4月
【実行ファイル2の詳細】
「btc.exe」 または 「cwCTm4IV.exe」
MD5ハッシュ値 03b79f2575eff00855ab46fbfcba745d
www.virustotal.com/ja/file/14dd353bb78c7a1cb5ba0b410567f756d7b68b016e4d564d0cb2555843feca31/analysis/1532945179/
avast Win32:Malware-gen
Avira -
ESET Win32/Packed.Themida.HFH
Kaspersky HEUR:Trojan.Win32.Generic
Microsoft Trojan:Win32/Occamy.C14
Symantec ML.Attribute.HighConfidence
Trend Micro TROJ_GEN.R002H0CIK21
~ 香港サーバー 103.231.166.60 に接続して何か悪事を働く?
このうち実行ファイル 「cwCTm4IV.exe」 の方を Windows 起動中に常駐させたいようで、Windows のレジストリに起動用パラメータが新規作成されていました。
【レジストリ 起動用パラメータ】
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
名前 → cwCTm4IV
データ → "C:\Program Files\Common Files\Microsoft Shared\MSINFO\cwCTm4IV.exe"
…ということで、ダウンロードしたプログラムは 「ビットコイン採掘ソフト RsMiner」 でも何でもなく、Windows ユーザーさんを騙してマルウェア (セキュリティソフトの検出名からバックドア) の自爆感染を意図した危険なEメールと判明しました。
