【注意】wlan.exeウイルス感染でCPU使用率50%重いファン暴走

ワイヤレス無線LAN関連プログラムっぽく見える不正なWindows実行ファイルwlan.exeがCPU使用率を占有して暴走動作するコインマイナーなトロイの木馬ウイルス。感染症状やファイル・フォルダーの位置、レジストリの状況を紹介

ワイヤレス通信に関連する実行ファイル???
いや、違ーう!

Windows 向けの実行ファイル wlan.exe は、赤の他人の PC を攻撃者が乗っ取った上で、仮想通貨のマイニング (採掘) を勝手に行う 「コインマイナー」 として、不正に報酬を得る トロイの木馬 の可能性があります。

wlan.exe によるマイニング対象の仮想通貨は、GPU リソースを使う Bitcoin(ビットコイン、BTC) ではなく、CPU リソースを使う Monero(モネロ、XMR) です。


ゲーム関連の実行ファイルでインストール?

海外のマルウェア解析サイト (VirusTotal、ANY.RUN、Hybrid Analysis) の情報から、PC に wlan.exe ウイルスが忍び込む大元の実行ファイルの例がコチラ♪ <これ以外にも多数ある感じ

ファイル名 nekonin2.exe (Neko-nin exHeart 2)
MD5 b6574b1daa09ec26406c72d7d2917c93
ファイル名 Chii-chan.exe (Oral Lessons With Chii-chan)
MD5 44b91b5186b36e7c36ede1a782d11ea7
ファイル名 Magic & Slash.exe
MD5 616da1689a39e8f43a1d18eac0049a3d
ファイル名 PerfectLover.exe
MD5 6772db9b59f101cdf61ee2146d3a7e27
ファイル名 Himitsu.exe (Nieghbor's Club Secret Activities)
MD5 39737a4ea9a98ab7ffe870cc1fdfc5db
ファイル名 Game.exe (SoldGirl Town)
MD5 e64648eca871cabada4b8554b922d7f7
ファイル名 Game.exe (Slave's Sword)
MD5 0dee5069f354e970f21c54abf136758b
ファイル名 Adobe Photoshop - Portable.exe (Adobe Photoshop 2020)
MD5 aed4801f3d53448f11a137c6677af0b6

大元の実行ファイルの名称をキーワードにググってみると、傾向として次の情報がヒットします。

  • アレな内容の大人向け18禁ゲーム多数

  • 配信プラットフォーム Steam で公開されているキャラゲー

  • (ゲームではないパターンだけど)
    明らかにアドビ・システムズの正規品のはずがない自称 「Photoshop」

wlan.exe のウイルス感染経路はいったいどこ…?

特にゲーム系が目立つので、1つの推測として、ゲームの有用なプログラムやインストーラといった表向きの名目で偽モノを配布し、セキュリティ感覚が疎いユーザーさんがそれをダウンロードして、何も考えずに起動する 自爆感染 のパターン?

一般論として、ドコのダレが作成したのかハッキリしない出自不明な実行ファイルを起動する行為は、「道に落ちている食べ物の拾い食い」 に等しく、ホント注意が必要ですね。

実行ファイル起動後のwlan.exeウイルス感染状況

手元の Windows 10 環境で意図的に感染してみると、どうなる?


【1】 フォルダーと投下された不正なファイル

C ドライブ直下の Windows フォルダーに新規フォルダーが作成されて、そこに不正な実行ファイルが3つほど投下されました。

その1つが wlan.exe です。

この実行ファイルは PC が起動している最中にマイニングの処理を行うので、次の症状が現れてから Windows のタスクマネージャーを確認して初めて wlan.exe の存在にユーザーさんが気づくことになります。

  • 実行ファイルの CPU 使用率・占有率が50%と高い
    wlan.exe が重い

  • CPU チップの温度が上昇して排熱の必要性が出てくる
    何も作業をしていないのに CPU ファンが異常に回転する

wdms フォルダーに wlan.exe WmiPrvSE.exe WinRing0x64.sys トロイの木馬ウイルスのファイル
Windows フォルダーに投下された3ファイル

【ファイル・フォルダー】 無題なログ
C:\Windows\wdms\wlan.exe ●
C:\Windows\wdms\WmiPrvSE.exe ○ Firefly
C:\Windows\wdms\WinRing0x64.sys ○ Firefly
~ 無題な濃いログ

なお、この Windows フォルダーはシステム領域です。

そのため、wlan.exe のようなファイルを自由に投下することはできないけど、例外があります。

それは、大元の実行ファイルを起動した直後に Windows のセキュリティ保護の仕組み 「ユーザーアカウント制御」 の確認ウィンドウが表示されて、ユーザーさんが [はい] ボタンをポチッと押した場合です。 <ウェルカムと許可を与えている


【2】 Windows レジストリの状況

Windows パソコンを立ち上げた時に、”Windows サービス” として wlan.exe ウイルスをシレッと起動するため、Windows のレジストリに起動用パラメータが登録されます。

Windows のレジストリエディターから確認した状況がコチラ♪

wms1クリップボード
上記 【1】 で示した実行ファイルのパスが確認できる

wms2クリップボード
上記 【1】 で示した実行ファイルのパスのほかに
マイニングのドメイン名 xmr.pool.minergate[.]com も見える

【Windows レジストリ】 無題なログ
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WMS Firefly
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WMS\Parameters
~ 無題な濃いログ



怪しい情報サイトに注意

マイニングウイルス wlan.exe  のトラブルを解決する対処方法?

実際には、導入する必要性がない PC システム診断ソフト 「Reimage Repair」 「PC Tuneup」 「Asmwsoft PC Optimizer」 をダウンロードするよう仕向ける巧妙なページにご注意ください。

【注意! 宣伝目的の怪しい情報サイト】
https://www.processlibrary[.]com/ja/directory/files/wlan/441425/
http://www.process-information[.]net//jp/wlan-exe.htm
https://www.exedb[.]com/jp/wlan.exe/271334
https://www.file[.]net/process/wlan.exe.html
http://windowsbulletin[.]com/files/exe/samsung-electronics-co-ltd/wm664-m-wlan-tool/wlan-exe

ページの文章は、英語の原文から機械翻訳を噛ましてあるだけです。

そのため、文法的に不自然で変な日本語が溢れていて、”迷惑ソフト” に分類される有償製品をインストールしてもらうだけの、いい加減な内容に惑わされないよーに。

記事の書き出し中。。。
2020年3月29日

これより先はプライベートモードに設定されています。閲覧するには許可ユーザーでログインが必要です。