<注意>wlan.exeウイルスCPU使用率50%重いファン暴走

ワイヤレス無線LAN関連プログラムっぽく見える不正なWindows実行ファイルwlan.exeがCPU使用率を占有して暴走動作するコインマイナーなトロイの木馬ウイルス。感染症状やファイル・フォルダーの位置、レジストリの状況を紹介

ワイヤレス通信 Wi-Fi に関連する実行ファイルでしょうか?

Windows の実行ファイル 「wlan.exe」 は、赤の他人の PC を乗っ取って、攻撃者が不正に報酬を得るため仮想通貨のマイニング作業を勝手に行う脅威 「コインマイナー」 の可能性があります。

  • wlan.exe」 によるマイニング対象の仮想通貨は?
    CPU のリソースを消費する Monero (モネロ、XMR) のマイニングが目的
    → GPU のリソースを消費する Bitcoin (ビットコイン) は関係なし


ゲーム関連の実行ファイルを起動して感染か?

マルウェア解析サイト VirusTotal、ANY.RUN、Hybrid Analysis の情報を調査すると、Windows パソコンに 「wlan.exe」 を忍び込ませた 大元の実行ファイル がいくつか判明しました。 <これ以外にも多数ある感じ

ファイル名 nekonin2.exe (Neko-nin exHeart 2)
MD5 b6574b1daa09ec26406c72d7d2917c93
ファイル名 Chii-chan.exe (Oral Lessons With Chii-chan)
MD5 44b91b5186b36e7c36ede1a782d11ea7
ファイル名 Magic & Slash.exe
MD5 616da1689a39e8f43a1d18eac0049a3d
ファイル名 PerfectLover.exe
MD5 6772db9b59f101cdf61ee2146d3a7e27
ファイル名 Himitsu.exe (Nieghbor's Club Secret Activities)
MD5 39737a4ea9a98ab7ffe870cc1fdfc5db
ファイル名 Game.exe (SoldGirl Town)
MD5 e64648eca871cabada4b8554b922d7f7
ファイル名 Game.exe (Slave's Sword)
MD5 0dee5069f354e970f21c54abf136758b
ファイル名 Adobe Photoshop - Portable.exe (Adobe Photoshop 2020)
MD5 aed4801f3d53448f11a137c6677af0b6

この大元の実行ファイルの名前を調べてみると、おおよそ次のような傾向です。

  • 卑猥なコンテンツが含まれている大人向けの18禁ゲームが特に多い

  • 本来はゲーム配信プラットフォーム Steam で販売されているキャラゲー

  • (ゲームではない分類だけど)
    明らかにアドビ・システムズの正規品とは思えない自称 「Adobe Photoshop」

特にゲーム関連が目立ちます。

推測だけど、ゲームの 「有用なプログラム」 や 「インストーラー」 といった名目で配布されていて、セキュリティ感覚が疎いユーザーさんが ”海賊版” と思い込んでダウンロードして 自爆感染 するパターンです。

道に落ちている食べ物の拾い食い

一般論として、誰が作成したかハッキリしない素性不明な実行ファイルを起動する行為は、とても危険です。

実行ファイル起動後の 「wlan.exe」 ウイルス詳細

手元の Windows 10 環境で意図的に感染してみると、どうなる?


【1】 フォルダーと投下された不正なファイル

C ドライブ直下の Windows フォルダーに新規フォルダーが作成されて、そこに不正な実行ファイルが 3 つ投下されました。

その 1 つが 「wlan.exe」 です。

この実行ファイルは PC が起動している最中にマイニング処理を行うので、次の症状が現れてから Windows のタスクマネージャーを確認して、初めて怪しい 「wlan.exe」 の存在に気づくことになります。

  • 実行ファイルの CPU 使用率・占有率が50%と高い
    実行ファイル 「wlan.exe」 が重い

  • CPU の温度が上昇して排熱の必要性
    → 何も作業していないのに CPU ファンが唸りを上げる

wdms フォルダーに wlan.exe WmiPrvSE.exe WinRing0x64.sys トロイの木馬ウイルスのファイル
Windows フォルダーに投下された3ファイル

【ファイル・フォルダー】 無題なログ
C:\Windows\wdms\wlan.exe ●
C:\Windows\wdms\WmiPrvSE.exe ○ Firefly
C:\Windows\wdms\WinRing0x64.sys ○ Firefly
https://fireflyframer.blog.jp/24191159.html

なお、この Windows フォルダーはシステム領域なので、通常は 「wlan.exe」 といった謎の実行ファイルを自由に投下することはできません。

ただ、例外があって、大元の実行ファイルを起動した直後に Windows のセキュリティ保護の仕組み 「ユーザーアカウント制御」 の確認ウィンドウが表示されて、ユーザーさんが [はい] ボタンをポチッと押して許可したら、手に負えません。


【2】 Windows レジストリの状況

Windows パソコンを立ち上げた時に ”Windows サービス” として 「wlan.exe」 ウイルスを起動するため、Windows のレジストリに起動用パラメータが登録されています。

Windows のレジストリエディターで確認した状況がコチラ♪

wms1クリップボード
上記 【1】 で示した実行ファイルのパスが確認できる

wms2クリップボード
上記 【1】 で示した実行ファイルのパスのほかに
マイニング処理のドメイン名 xmr.pool.minergate[.]com が見える

【Windows レジストリ】 無題なログ
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WMS
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WMS\Parameters
https://fireflyframer.blog.jp/24191159.html



怪しい情報サイトに注意

マイニングウイルス 「wlan.exe」 のトラブルを解決する対処方法として、導入する価値のないシステム診断ソフト 「Reimage Repair」 「PC Tuneup」 「Asmwsoft PC Optimizer」 「WinThruster」 をダウンロードするよう誘うスパムページがあります。

【注意! 宣伝目的のスパムページ】
https://www.processlibrary .com/ja/directory/files/wlan/441425/
https://www.windowsfiles .jp/fairu/wlan.exe.html
https://www.solvusoft .com/ja/files/
http://www.process-information .net//jp/wlan-exe.htm
https://www.exedb .com/jp/wlan.exe/271334
https://systemexplorer .net/ja/file-database/file/wlan-exe
https://www.file .net/process/wlan.exe.html
http://windowsbulletin. com/files/exe/samsung-electronics-co-ltd/wm664-m-wlan-tool/wlan-exe

この手のスパムページの文章は、原文の英語から機械翻訳を噛ましてあるだけで、文法的に不自然な日本語が溢れていて、「迷惑ソフト」 に分類されるような有償製品を宣伝するだけです。 <読む価値なし

これより先はプライベートモードに設定されています。閲覧するには許可ユーザーでログインが必要です。