この記事は説明するために作成されました GhostMinerトロイの木馬とは そして、このマルウェアをコンピュータから完全に削除する方法.
9月の更新 2019.
GhostMinerウイルスは、コンピュータネットワークに感染し、エンドユーザーと企業ターゲットの両方に侵入する可能性のあるステルストロイの木馬です。. 利用可能なコンピューターリソースを利用して、オペレーターの収入を生み出します.
脅威の概要
| 名前 | GhostMiner |
| タイプ | トロイの木馬/CryptoCurrencyマイナー |
| 簡単な説明 | コンピュータにサイレントに感染した後、偽の実行可能プロセスを介して暗号通貨のマイニングを開始します。. |
| 症状 | 非常に高いリソース使用量と異常なオペレーティングシステムの相互作用. |
| 配布方法 | 悪意のあるWebリンク, 悪意のあるファイル, 悪意のある電子メール |
| 検出ツール |
システムがマルウェアの影響を受けているかどうかを確認する
ダウンロード
マルウェア除去ツール
|
ユーザー体験 | フォーラムに参加する GhostMinerについて話し合う. |
GhostMiner –9月に更新 2019
トレンドマイクロの研究者 最近観察された GhostMinerがWindowsManagementInstrumentationを武器にしていること (WMI) ファイルレス永続性を実現するオブジェクト, ペイロードメカニズム, およびAV回避機能. この新しいGhostMinerバリアントは、Mykingsによって頻繁に使用される感染したホストファイルを変更することも確認されました。, PowerGhost, PCASTLEとBULEHERO, トレンドマイクロは言った.
GhostMinerはMoneroの採掘事業で非難されました. でも, マルウェアの最新の感染メカニズムはまだ明らかにされていません. Ealier GhostMinerバージョンは、MSSQLで複数の脆弱性を使用していることが確認されました, phpMyAdmin, 影響を受けやすいサーバーを見つけるためのOracleのWebLogic.
GhostMiner –どのように感染しますか
GhostMinerトロイの木馬は、さまざまな戦略を使用して配布できます. アクティブなハッカーキャンペーンに応じて、その背後にいる犯罪者は単一の戦略を選択するか、一度に複数の戦略を開始する可能性があります.
GhostMinerウイルスファイルは、を介して実行可能ファイルとして拡散できます。 メールメッセージ. 最も一般的な方法は、それらを次のように挿入することです。 ハイパーリンク ボディの中身に. 意図されたターゲットをウイルスの犠牲者に強制するために、ハッカーはさまざまなものを使用する可能性があります ソーシャルエンジニアリング トリック. たとえば、メッセージは、更新通知またはユーザーに更新またはアプリケーションのインストールを求めるソフトウェア問題アラートとして提示される場合があります。. 関連するケースでは、菌株はまたを伴うことができます 直接添付. 関連するケースは次のとおりです:
- 感染した文書 — GhostMinerウイルスは、ハッカーが変更したドキュメントにスクリプトとして埋め込むことができます. それらは、プレゼンテーションなどのさまざまなタイプにすることができます, リッチテキストドキュメントとスプレッドシート. 組み込みのスクリプトを実行するように求める通知プロンプトにユーザーが同意すると、感染が始まります (マクロ). これが行われると、マルウェアはリモートサイトからダウンロードされ、ローカルコンピューターで実行されます。.
- ハッカーが変更したセットアップファイル —脅威のハッカーは、意図された標的を詐欺する目的で、有名なソフトウェアの合法的なインストーラーを連れて行きます. 最も一般的なケースでは、被害者のアプリケーションはシステムユーティリティの無料バージョンまたは試用版です, クリエイティブなアプリやコンピューターゲーム.
The GhostMiner マルウェアファイルも拡散する可能性があります ハッカーが管理するサイト. 彼らは通常、有名なポータルから合法的なグラフィックとテキストを取得し、それらのコピーを作成します. なじみのあるサウンドドメインは、コンピュータユーザーを騙して、ベンダーのサイトまたは正規のダウンロードサイトにアクセスしたと思わせるためによく使用されます。. この練習はまたで見ることができます ファイル共有ネットワーク BitTorrentなど.
ハッカーがGhostMinerウイルスを配布するために使用する別の方法は、 ブラウザハイジャッカー. これらは、被害者のユーザーを特定のハッカーが管理するサイトにリダイレクトしようとするマルウェアブラウザプラグインを表しています。. それらは通常、最も人気のあるブラウザと互換性があります: Mozilla Firefox, グーグルクローム, インターネットエクスプローラ, オペラ, SafariとMicrosoftEdge. 彼らがいくつかの重要なデフォルト設定を変更した後 (デフォルトのホームページ, 検索エンジンと新しいタブのページ) GhostMinerウイルスを感染したホストに配信できます.
マイナーインスタンスは、から取得することもできます Webスクリプト. 例には、あらゆる種類のバナーが含まれます, さまざまな広告ネットワークを介して正当なサイトに自分自身を注入する可能性のある広告とポップアップ.
GhostMiner –詳細情報と分析
GhostMinerウイルスは、世界的な攻撃で最近発見された危険な暗号通貨トロイの木馬です. ケースを分析したセキュリティ研究者によると、脅威は次のようにラベル付けされています “致命的”. 脅威は、 “ファイルレス” 浸潤.
このようなウイルスの主な目的は、複雑な計算を実行するリソースを大量に消費するコードをターゲットコンピュータに感染させることです。. その結果、犯罪者は行われた作業に基づいて利益を生み出します. 実際の侵入は、個々のターゲットと関連する攻撃キャンペーンに応じてさらに変更できるいくつかのステップのプロセスを使用して行われます。. 攻撃は 初期感染段階 いくつかのPowerShell回避フレームワークに依存しています. これらは通常のオペレーティングシステム保護をバイパスし、一般的なセキュリティソフトウェアに対しても機能する可能性があります: アンチウイルスプログラム, サンドボックスまたはデバッグ環境と仮想マシンホスト. モジュールは、脅威を回避または完全に除去するように設計されています. 場合によっては、マルウェアがターゲットコンピュータにステルス方式で感染できないことが判明した場合、マルウェアは自身を削除することを選択する可能性があります。.
セキュリティの専門家は、そのシグネチャが特定される前は、主要なアンチウイルスベンダーのいずれも、ルーチンのヒューリスティックリアルタイムスキャンを使用して感染を検出できなかったと述べています。. この理由は、感染がメモリ内でのみ発生するという事実です。ファイルの相互作用は行われません。.
キャプチャされたサンプルは、攻撃を開始することが判明しています。 情報収集 モジュール. 取得したデータに基づいて被害者のコンピュータのプロファイルを生成します: ハードウェアコンポーネントとインストールされたソフトウェア. 研究者は、次のサーバーとツールの存在を検索して取得したサンプルの一部を発見しました: Oracle WebLogic, MSSQL と phpMyAdmin. これは、マルウェアが個々のユーザーではなく、主に企業ネットワークを標的にしていることを意味している可能性があります. 脅威の主な目的の1つは、OracleWebLogicアプリケーションを危険にさらすことであるようです。. これは、報告されたものを使用して行われます CVE-2017-10271 アドバイザリー. それは次のように読みます:
OracleFusionMiddlewareのOracleWebLogicServerコンポーネントの脆弱性 (サブコンポーネント: WLSセキュリティ). 影響を受けるサポートされているバージョンは 10.3.6.0.0, 12.1.3.0.0, 12.2.1.1.0 と 12.2.1.2.0. 簡単に悪用可能な脆弱性により、認証されていない攻撃者がT3経由でネットワークにアクセスしてOracleWebLogicServerを侵害する可能性があります. この脆弱性の攻撃が成功すると、OracleWebLogicServerが乗っ取られる可能性があります. CVSS 3.0 基本スコア 7.5 (可用性への影響). CVSSベクトル: (CVSS:3.0/AV:該当なし:L / PR:N / UI:N / S:U / C:該当なし:該当なし:H).
GhostMinerウイルスに対して実行されたネットワーク分析により、ウイルスエンジンがターゲットマシンのIPアドレスを絶えず調査し、脆弱性が特定されるまで多数のTCP接続が作成されることが明らかになりました。. ポートスキャンの検出を回避するために、ハッカーはBase64を使用して偽のメッセージをエンコードします. 人気のあるWebサービスを参照するマルウェアHTTPリクエストが管理者をだますために使用されていることが判明しました. 頻繁なリストは人気のある中国のQQインターネットサービスです. このリードは、GhostMinerの背後にいるハッカーまたは犯罪集団が中国出身である可能性があるという考えに起因しています。. e
ウイルスがターゲットシステムに侵入した後、他のマイナーがインストールされているかどうかを確認するコンピューター監査を実行します。. そのようなものが見つかった場合、それらはターゲットから完全に削除されます.
GhostMinerウイルスには、さまざまな特権レベルを使用して、多数のプロセスを作成し、独自のスレッドを生成する機能があります。, 管理者を含む. その結果、以下を含む他の犯罪活動に使用することができます:
- データの盗難 —情報収集モジュールを使用して、被害者のプロファイルを生成できます. 抽出された文字列は、被害者の名前などのデータを収集することにより、ユーザーのIDを直接公開できます。, 住所, 電話番号, パスワードとアカウントの資格情報.
- 追加のマルウェア配信 —ウイルスは、他のマルウェアを配信するために使用される可能性があります.
- システムの変更 — GhostMinerウイルスは、Windowsレジストリの変更を含む危険なシステム変更につながる可能性があります, ブートリカバリなどに入る可能性の除去.
GhostMinerをWindowsから効果的に削除する
この暗号通貨マイナートロイの木馬を完全に取り除くために, この記事の下にある削除手順に従うことをお勧めします. それらは、分離してから削除するのに役立つように作られています GhostMinerトロイの木馬 手動または自動で. 手動での取り外しが困難な場合, 専門家は常に、PC上の特定のソフトウェアを介してマルウェア対策スキャンを実行することにより、自動的に削除を実行することをお勧めします. このようなマルウェア対策プログラムは、 GhostMiner 完全になくなり、WindowsOSは将来のマルウェア感染に対して安全に保たれます.
マーティン・ベルトフ
マーティンはソフィア大学で出版の学位を取得して卒業しました. サイバーセキュリティ愛好家として、彼は侵入の最新の脅威とメカニズムについて書くことを楽しんでいます.
フォローしてください:
Preparation before removing GhostMiner.
実際の除去プロセスを開始する前に, 次の準備手順を実行することをお勧めします.
- これらの指示が常に開いていて、目の前にあることを確認してください.
- すべてのファイルのバックアップを作成します, 破損したとしても. クラウドバックアップソリューションを使用してデータをバックアップし、あらゆる種類の損失に対してファイルを保証する必要があります, 最も深刻な脅威からでも.
- これにはしばらく時間がかかる可能性があるため、しばらくお待ちください.
- マルウェアのスキャン
- レジストリを修正する
- ウイルスファイルを削除する
ステップ 1: Scan for GhostMiner with SpyHunter Anti-Malware Tool
ステップ 2: レジストリをクリーンアップします, created by GhostMiner on your computer.
通常対象となるWindowsマシンのレジストリは次のとおりです。:
- HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run
- HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Run
- HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion RunOnce
- HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion RunOnce
これらにアクセスするには、Windowsレジストリエディタを開き、値を削除します。, created by GhostMiner there. これは、以下の手順に従うことで発生する可能性があります:
ヒント: ウイルスによって作成された値を見つけるには, あなたはそれを右クリックしてクリックすることができます "変更" 実行するように設定されているファイルを確認する. これがウイルスファイルの場所である場合, 値を削除します.ステップ 3: Find virus files created by GhostMiner on your PC.
1.Windowsの場合 8, 8.1 と 10.
新しいWindowsオペレーティングシステムの場合
1: キーボードで押す + R そして書く explorer.exe の中に 走る テキストボックスをクリックしてから、 Ok ボタン.
2: クリック あなたのPC クイックアクセスバーから. これは通常、モニター付きのアイコンであり、その名前は次のいずれかです。 "私のコンピューター", 「私のPC」 また 「このPC」 またはあなたがそれに名前を付けたものは何でも.
3: PC の画面の右上にある検索ボックスに移動し、次のように入力します。 「fileextension:」 と その後、ファイル拡張子を入力します. 悪意のある実行可能ファイルを探している場合, 例は "fileextension:EXE". それをした後, スペースを残して、マルウェアが作成したと思われるファイル名を入力します. ファイルが見つかった場合の表示方法は次のとおりです:
NB. We recommend to wait for the green loading bar in the navigation box to fill up in case the PC is looking for the file and hasn't found it yet.
2.WindowsXPの場合, ビスタ, と 7.
古いWindowsオペレーティングシステムの場合
古い Windows OS では、従来のアプローチが有効なはずです:
1: クリックしてください スタートメニュー アイコン (通常は左下にあります) 次に、 探す 好み.
2: 検索ウィンドウが表示された後, 選ぶ より高度なオプション 検索アシスタントボックスから. 別の方法は、をクリックすることです すべてのファイルとフォルダ.
3: その後、探しているファイルの名前を入力し、[検索]ボタンをクリックします. これには時間がかかる場合があり、その後結果が表示されます. 悪意のあるファイルを見つけた場合, あなたはその場所をコピーまたは開くことができます 右クリック その上に.
これで、ハードドライブ上にあり、特別なソフトウェアによって隠されていない限り、Windows上の任意のファイルを検出できるはずです。.
GhostMiner FAQ
What Does GhostMiner Trojan Do?
The GhostMiner トロイの木馬 悪意のあるコンピュータプログラムです 破壊するように設計された, ダメージ, または不正アクセスを取得する コンピュータシステムに.
機密データを盗むために使用できます, システムを支配する, または他の悪意のある活動を開始する.
トロイの木馬はパスワードを盗むことができますか?
はい, トロイの木馬, like GhostMiner, パスワードを盗むことができます. これらの悪意のあるプログラム are designed to gain access to a user's computer, 被害者をスパイ 銀行の詳細やパスワードなどの機密情報を盗む.
Can GhostMiner Trojan Hide Itself?
はい, できる. トロイの木馬は、さまざまな手法を使用して自分自身を隠すことができます, ルートキットを含む, 暗号化, と 難読化, セキュリティスキャナーから隠れて検出を回避するため.
トロイの木馬は工場出荷時設定にリセットすることで削除できますか?
はい, トロイの木馬はデバイスを出荷時設定にリセットすることで削除できます. これは、デバイスを元の状態に復元するためです。, インストールされている可能性のある悪意のあるソフトウェアを排除する. 覚えておいてください, より洗練されたトロイの木馬が存在すること, 出荷時設定にリセットした後でもバックドアを残して再感染する.
Can GhostMiner Trojan Infect WiFi?
はい, トロイの木馬が WiFi ネットワークに感染する可能性があります. ユーザーが感染したネットワークに接続したとき, このトロイの木馬は、接続されている他のデバイスに拡散し、ネットワーク上の機密情報にアクセスできます。.
トロイの木馬は削除できますか?
はい, トロイの木馬は削除可能. これは通常、悪意のあるファイルを検出して削除するように設計された強力なウイルス対策プログラムまたはマルウェア対策プログラムを実行することによって行われます。. ある場合には, トロイの木馬を手動で削除する必要がある場合もあります.
トロイの木馬はファイルを盗むことができますか?
はい, トロイの木馬がコンピュータにインストールされている場合、ファイルを盗むことができます. これは、 マルウェア作成者 またはユーザーがコンピュータにアクセスして、そこに保存されているファイルを盗む.
トロイの木馬を削除できるマルウェア対策?
などのマルウェア対策プログラム スパイハンター トロイの木馬をスキャンしてコンピュータから削除することができます. マルウェア対策を最新の状態に保ち、悪意のあるソフトウェアがないかシステムを定期的にスキャンすることが重要です.
トロイの木馬は USB に感染する可能性があります?
はい, トロイの木馬は感染する可能性があります USB デバイス. USB トロイの木馬 通常、悪意のあるファイルをインターネットからダウンロードしたり、電子メールで共有したりすることで拡散します。, allowing the hacker to gain access to a user's confidential data.
About the GhostMiner Research
SensorsTechForum.comで公開するコンテンツ, this GhostMiner how-to removal guide included, 広範な研究の結果です, 特定のトロイの木馬の問題を取り除くためのハードワークと私たちのチームの献身.
How did we conduct the research on GhostMiner?
私たちの調査は独立した調査に基づいていることに注意してください. 私たちは独立したセキュリティ研究者と連絡を取り合っています, そのおかげで、最新のマルウェア定義に関する最新情報を毎日受け取ることができます, さまざまな種類のトロイの木馬を含む (バックドア, ダウンローダー, infostealer, 身代金, 等)
さらに, the research behind the GhostMiner threat is backed with VirusTotal.
トロイの木馬によってもたらされる脅威をよりよく理解するため, 知識のある詳細を提供する以下の記事を参照してください.