知人のWin8(64bit)ユーザーがウィルスに感染してた話

idmvirus3

知り合いの Windows 8 ユーザーから、 Internet Download Manager というプログラムがCPU食ってて重いんだけど。という相談。(注1:ウィルスだとは全く思っていない)

とりあえず、なんで、そんな物入れてるの?本当にInternet Download Manager ?

idmvirus4
プロパティのファイル情報を信じて、Tonec社が提供しているダウンロードマネージャーであると思っているらしい。(ファイル情報は偽装できます・ω・)

インストール先を見てもらうと %AppData%\Roaming\Adobe\Flash Player に WinCache というフォルダがありました

Flash Player関連のキャッシュが利用しているのだが、UACのアクセス制限がないので、ウィルスがインストールされるのは大概この付近なのである

idmvirus
該当ファイルを送ってもらってリソースを調べたところ、アイコンとバージョン情報だけのスケルトンでした

idmvirus2
正規のファイルと比べてみると、デジタル署名がないことが分かるよ。

idmv5
どうやらアクティブディレクトリにも入り込んで通信するモジュールであることが分かる。
バッチファイルと vbs の中身を見てもらったところ、毎回起動してシェルに組み込まれるようになってたそうだ。

idmv6
それではここでファイルの中身を見てみましょう。

Usage: minerd.exe というわけで、BitCoin を発掘するソフトですね。
感染して、CPUを奪い取って、人のパソコンで BitCoinを発掘し続けるウィルスのようだ・ω・ 素敵だね!
IDMan.exe Antivirus scan for 9d74ff0a521bf59c40796fe1e0c7ba20c49464de31319021cffd3752b5dfdca8 at 2014-09-02 10:59:39 UTC - VirusTotal

あんまり感染してる人が居ないのか、別のプログラムに偽装されているのか?
How to remove internet download manager (idman)?

Minerdで検索するといっぱい出てくるんだけどね・ω・
Minerd.exe を削除します。

知人のWin8(64bit)ユーザーがウィルスに感染してた話

idmvirus3

知り合いの Windows 8 ユーザーから、 Internet Download Manager というプログラムがCPU食ってて重いんだけど。という相談。(注1:ウィルスだとは全く思っていない)

とりあえず、なんで、そんな物入れてるの?本当にInternet Download Manager ?

(さらに…)

おすすめ

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です