知人のWin8(64bit)ユーザーがウィルスに感染してた話
知り合いの Windows 8 ユーザーから、 Internet Download Manager というプログラムがCPU食ってて重いんだけど。という相談。(注1:ウィルスだとは全く思っていない)
とりあえず、なんで、そんな物入れてるの?本当にInternet Download Manager ?
プロパティのファイル情報を信じて、Tonec社が提供しているダウンロードマネージャーであると思っているらしい。(ファイル情報は偽装できます・ω・)
インストール先を見てもらうと %AppData%\Roaming\Adobe\Flash Player に WinCache というフォルダがありました
Flash Player関連のキャッシュが利用しているのだが、UACのアクセス制限がないので、ウィルスがインストールされるのは大概この付近なのである
該当ファイルを送ってもらってリソースを調べたところ、アイコンとバージョン情報だけのスケルトンでした
正規のファイルと比べてみると、デジタル署名がないことが分かるよ。
どうやらアクティブディレクトリにも入り込んで通信するモジュールであることが分かる。
バッチファイルと vbs の中身を見てもらったところ、毎回起動してシェルに組み込まれるようになってたそうだ。
それではここでファイルの中身を見てみましょう。
Usage: minerd.exe というわけで、BitCoin を発掘するソフトですね。
感染して、CPUを奪い取って、人のパソコンで BitCoinを発掘し続けるウィルスのようだ・ω・ 素敵だね!
IDMan.exe Antivirus scan for 9d74ff0a521bf59c40796fe1e0c7ba20c49464de31319021cffd3752b5dfdca8 at 2014-09-02 10:59:39 UTC - VirusTotal
あんまり感染してる人が居ないのか、別のプログラムに偽装されているのか?
How to remove internet download manager (idman)?
Minerdで検索するといっぱい出てくるんだけどね・ω・
Minerd.exe を削除します。
Comments