重大度:  
  (98/100)

Monero Miner. 除去するには? (アンインストール・ガイド)

記入者 ルシア・デーンズ - - | タイプ: マルウェア

仮想通貨の盛り上がり感が悪意のある Monero Miners の開発を後押しする

Monero Miner のイメージ

Monero Miner は 2016 年以降、仮想通貨の Monero を積極的に採掘してきた有害なプログラムです。2017 年、このウィルスが更新され、感染した PC の CPU を使用して仮想通貨を違法に作り続けてきました。現在、Vatico Monero (XMR) CPU Miner、Shadowsocks Miner、Wise XMRig の各ウィルスや他の採掘プログラムがウェブ上に流布されています。

Monero Miner ウィルスははほとんどの場合トロイの木馬として拡散され、ソフトウェアのバンドルとしてシステムに入り込みます。しかし、セキュリティの専門家は他にも Coinhive JS 採掘プログラムの不正な使用を検出しています。この JavaScript ライブラリは複数の人気サイトやブラウザの拡張プログラムにも挿入されています。

Gplyra MinerVnlgp Miner および CPU Miner はこの脅威ウィルスと共に並び立つサイバー脅威の一例にすぎません。これらのウィルスの目的は、どれも仮想通貨を採掘することにあります。他の採掘者が Bitcoin や Dash、また Decred に焦点を当てているのに対し、Monero Miner はその名前により自明なとおり、仮想通貨の Monero の採掘に特化しています。

このマルウェアはこっそりと PC を占拠しますが、システムのタスク・マネージャでも NsCpuCNMiner32.exe または Photo.scr として実行しているのが見つかります。事実、ハッカーたちはそういった PC のボットネットを作成し、どれも同じ目的のために動作しているのです。もちろん、各 PC のオーナーはそのようなアクティビティが実行されていることに全く気が付かず、端末の動作が怪しくなって初めて何かが起きているようだと気づくのです。

採掘者たちが CPU の能力をほとんど使ってしまうため、PC は当然ながら通常よりも酷くスピードが低下するようになり、あるいは完全にクラッシュしてしまうこともあります。このようにリソースを過剰に使用することで端末の速度が低下するだけでなく、オーバーヒートによりハードウェアに損傷が発生することもあり得ます。

端的に言って、このトロイの作成者はユーザーの PC のパフォーマンスのことなどどうでも良いわけで、自分たちの収益をあげるために使用するだけなのです。幸いなことに、このような不便さに黙って直面する必要はありません。Monero Miner を停止させ、PC から取り除く方法があります。詳しく言いますと、ReimagePlumbytes Anti-MalwareMalwarebytes Malwarebytes のような自動ウィルス対策ユーティリティがやってくれるのです。このまま本記事を読み進めると、ウィルスの除去についてより詳しいガイドをお読みいただけます。

Coinhive テクノロジーがサイバー犯罪者により急速に悪用されている

Coinhive は Monero Blockchain 用の JavaScript ライブラリで、様々なウェブサイトに埋め込むことができます。このツールはわずか数週間前の 9 月 14 日に投入されたばかりですが、すでに犯罪者の注目を集めたようです。不謹慎な人びとがこのツールを悪用し、ユーザーが特定のウェブサイトを閲覧している間に PC の CPU を使用して仮想通貨を採掘するのです。さらに、Coinhive JS の採掘者がテクニカル・サポート詐欺のキャンペーン経由で広がっているところを発見されてもいます 。

リサーチャーにより Coinhive が SafeBrowse 拡張プログラムにも埋め込まれているのも発見されました。ユーザーがこの拡張プログラムをインストールすると、Monero Miner が起動されて PC の CPU を最大 50% まで使用します。このようなアクティビティにより、PC の動作が緩慢になり、熱くなりすぎて物理的な被害を被ることもあります。採掘プロセスはユーザーがブラウザを閉じるまで実行され続けます。ですから、このアクティビティは何時間も行われる可能性があるのです。

さらに、Coinhive は例えば Twitter など人気のソーシャル・ネットワークを模した様々なウェブサイトにも埋め込まれていました。実際、twitter.com.com という登録ドメインもあり、ここはユーザーが Twitter のアドレスをタイプ・ミスしてこのサイトに入るとすぐに採掘プロセスを読み込むようになっています。詐欺師たちがいくつも似たようなサイトを登録し、気づかない PC ユーザーから今この時も収益を上げている可能性があるのです。

さらに、数々のウェブサイトがブラウザ内の採掘プログラムをこっそりと使用しているという報告もなされています 。そのようなサイトの中には The Pirate Bay 、showtime.com、および showtimeanytime.com などがあります。しかし、後者のウェブサイトでは発見されてすぐにこのようなアクティビティが停止されました。とはいえ、オンライン・コミュニティではこれらのサイトのオーナーが何百、何千ドルというお金を稼いだのではとささやかれています。

2017 年 8 月更新: Vatico Monero (XMR) CPU Miner 現る

最新版のマルウェアは XMR、Monero その他のデジタル通貨を採掘するように設定されています。以前のバージョンと同様に、マルウェアはトロイ経由でも機能します。一方、moloko.exe としても検出されることがあります。ファイル名が示すように、このマルウェアはロシアのユーザーに起因するか、あるいはロシアのユーザーをターゲットにしている可能性があります 。残念ながら、採掘トロイは同国で関連する問題の 1 つとなっています 。 

タスク・マネージャでは Monero (XMR) CPU Miner として識別されます。採掘ウィルスの存在を示す主要なインジケーターとなるのは、極めて高い CPU 使用率です。このマルウェアは他にも xmr-eu.dwarfpool.com:8050 で XMR 採掘プールにも接続し、そのアクティビティを開始します。

それほど頻繁にタスク・マネージャをチェックする習慣がない方も、PC プロセスが遅くなったことに気付かれるでしょう。このようなサイバー事故に遭遇されたら、直ちに除去してしまいましょう。

Monero Miner の手口に対応する際は、このウィルスが Photo.scr というファイルで PC に入り込み、その後同じファイルのコピーを感染した PC の全てのドライブに投下することに留意しなければなりません。最終的に、このトロイが実行ファイルである NsCpuCNMiner32.exe を抽出するのですが、これが採掘プロセスを担っているのです。

このファイルが %Temp% フォルダに置かれ、そこから動作します。このプロセスはさらに PC が起動されるたびに自動的に開始されます。幸いなことに、ハッカーは端末がインターネットから切断されていると打つ手がありませんが、それは全採掘プロセスが正しく実行されるためにはネットワーク接続が必要だからです。そこで、Monero Miner の除去はオフラインの時に実行されることもお勧めです。手動での方法については、画面を下までスクロールしてください。

2017 年 11 月 2 日更新: 有害な Monero Miners が Google Play Store で見つかる

またしても、Google Play Store が信頼性の低い「公式アプリ」ストアであることが証明されてしまいました。どうやら最新のマルウェアの傾向として、まんまとこのアプリ・プラットホームに潜入し、直ちに Android ユーザーの攻撃を開始するようです。今回、リサーチャーは悪意のあるアプリがそれらのアプリの中に仮想通貨採掘用のスクリプトを隠しているところを発見しました。有害な Android Monero Miner ウィル は一般に ANDROIDOS_JSMINER または ANDROIDOS_CPUMINER として識別されます。

JSMiner バージョンは「Recitiamo Santo Rosario Free」(敬虔なモバイル・ユーザー向けアプリ) や「SafetyNet Wireless App」(動画を見てアンケートに答えると大幅割引やクーポンが約束されるアプリ) で見つかりました。これらのアプリが Coinhive テクノロジー (上述) を利用してデジタル通貨を採掘することは驚くまでもありません。この JavaScript コードはアプリのウェブビュー内で自ら実行しますが、被害者は以下の問題を覗いて何も怪しい点には気づきません:

  • バッテリの寿命が短くなる
  • 端末のパフォーマンスが低下する
  • アプリがクラッシュする

CPUMiner は「Car Wallpaper HD: mercedes, ferrari, bmw and audi」というアプリで見つかりました。この悪意のあるアプリ・グループはアプリの合法的なバージョンを構成してそれを cpuminer (犯罪者は最新版のバージョン 2.5.1 を使用) のような仮想通貨採掘ライブラリに感染させるのです。

その後、これらは再度パッケージ化されて配布されます。TrendMicro の分析 によると、このタイプのマルウェアは複数の仮想通貨 (Monero も例外ではない) を採掘する能力を持っているそうです。

採掘を担当するコードは犯罪者のサーバーから構成ファイルを取得します。このファイルには Stratum という採掘プロトコル経由で採掘プールに関するデータが入ります。

Monero Miner のバージョンと、関連するプロセス

ShellExperienceHost.exe および MicrosoftShellHost.exe  これらのプロセスはトロイの木馬の侵入後にタスク・マネージャに現れることがあります。この悪意のあるプログラムは ShellExperienceHost.exe を作成しますが、これはシステムのスタートアップで自動的に起動されます。このプロセスはその後 MicrosoftShellHost.exe を起動しますが、これは感染した PC の CPU 処理能力を使用して Monero 仮想通貨の採掘を担当します。

Booster.exe  このトロイの木馬はアドウェアのバンドリングを介してシステムに入り込んだ可能性があります。中に入ると、システム・スタートアップ時に起動されるように Windows の設定を構成します。タスク・マネージャでは Booster.exe ファイルは VsGraphics Desktop Engine と説明されています。しかし、これは PC の CPU を最大 25% 使用し、それにより仮想通貨を採掘しているという明瞭な証拠となっています。

Wise XMRig ウィルス  Wise Miner はトロイの木馬で、AudioHD.exe および winserv.exe という Monero の通貨を採掘するために、感染した端末にプロセスを 2 つ作成します。このトロイがシステムに入ると、ただちに AudioHD.exe が作成されますが、これはユーザーが PC に電源を入れると実行開始します。タスク・マネージャでは、このプロセスには XMRig という説明が付けられています。

Wise Miner に関連のあるもう 1 つのファイルに winserv.exe があります。これには WindowsHub という説明が付けられています。どちらのプロセスも大量の CPU パワーを消費し、システムの動きを緩慢にします。

Shadowsocks Miner  このトロイの木馬は攻撃対象の端末上にservice.exe または websock.exe というプロセスを作成して起動することが知られています。ユーザーはこれらのプロセスが PC のリソースを大量に使用しているのを Windows のタスク・マネージャで見ることができます。マルウェアはしばしばソフトウェア・バンドルの形でシステムにやってきます。さらに、システムに他にもスパイウェアや潜在的に迷惑なアプリを持ち込む可能性もあります。

Vatico Monero (XMR) CPU Miner  このトロイの木馬は便利なプログラムの振りをしてシステムに入り込みます。しかし、システム内に入ると、自動実行プロセスの moloko.exe を起動します。そこで、被害者が Windows を起動するたびに、この採掘プログラムが Monero を採掘するために PC の CPU を最大 80% も使用するようになります。

Adylkuzz Miner ウィルス  この Monero 採掘プログラムは EternalBlue というエクスプロイト・キットまたは DoublePulsar というバックドアを使用してシステム内に入り込みます。マルウェアは感染した PC を採掘ボットネットに接続させ、その PCU を使用して仮想通貨の採掘を開始します。感染した PC をネットワークに接続して、通常よりも多くの仮想通貨を生み出すのです。

Coinhive Miner  この採掘プログラムの作成者は、ウェブサイトのオーナーが仮想通貨を採掘できるようにする合法的な Coinhive ツールを利用します。詐欺師は悪意のあるブラウザ拡張プログラムに採掘コードを置き、ウェブサイトを乗っ取りました。さらに、犯罪者はこのウィルスをテクニカル・サポート詐欺または感染したサイト経由で拡散しますが、後者はブラウザを強制的に終了しない限り開くことができません。

Monero Miner の配布の手口

ほとんどの場合、Monero Miner は様々な怪しいドメインまたは偽のウェブサイト経由で配布されています。それを PC にダウンロードしたユーザーが騙されて便利なコンテンツを入手しなくてはいけないと考えるように誘導されます。実際には、彼らは感染したファイルをダウンロードするのであり、このファイルが直ちに PC 全体にウィルスを拡散し始めて、採掘プロセスの準備をするわけです。

よくソフトウェアをオンラインでダウンロードするという方は特に、PC にマルウェアがないか定期的にチェックすることが特に重要です。さらに、PC に入ってくるプログラムを常に追跡する他、それらを信頼のおけるアンチウィルス・スキャナでチェックされることもお勧めします。

2017 年 9 月、このマルウェアが SafeBrowse 拡張プログラム経由でも拡散されていることが分かりました。そこで、Google Chrome のユーザーはこの拡張プログラムには近寄らないことをお勧めします。マルウェアのこのバージョンは PC の CPU を大量に消費するため、ユーザーにとっては極めて危険です。タスク・マネージャでは、Chrome が最大 50% の CPU パワーを使用しているのが見て取れます。しかし、Chrome のタスク・マネージャを開くと、問題は SafeBrowse 拡張プログラムであることが分かるでしょう。

Monero Miner トロイを専用のガイドで瞬時に除去

Monero Miner ウィルスはブラウザ・ハイジャッカーやアドウェア、また類似の軽微な感染よりは若干複雑ではあるものの、さほど苦労せずに感染した PC から取り除くことができます。すでに述べたとおり、Monero Miner は自動的に除去できます。例えば ReimagePlumbytes Anti-MalwareMalwarebytes Malwarebytes のような信頼のおけるアンチウィルス・ユーティリティを選択するだけです。

お好みのアンチマルウェア、アンチスパイウェア、またはアンチウィルス・ソフトで PC をスキャンすると、システムのスローダウンや PC のクラッシュにはもう遭わなくなります。Monero Miner の除去は、Safe Mode を使用してオフラインで行うことをお勧めします。

さらに、Chrome の拡張プログラムである SafeBrowse をインストールしている (ソフトウェアのバンドルに入っていた) 場合は、それをアンインストールする必要もあります。記事で述べたように、これはマルウェアと密接な関係があり、高い CPU 使用率で PC を危険にさらします。

オファー
今すぐ!
ダウンロードする
Reimage (リムーバ) 満足度
保障
ダウンロードする
Reimage (リムーバ) 満足度
保障
Microsoft Windowsに対応 Supported versions OS Xに対応 Supported versions
うまくいかない場合は?
Reimage を使用してもウィルスによるダメージを取り除けなかった場合は、弊社のサポートチームに 質問を送信 し、できるだけ詳しい情報をお送りください。
ウィルスのダメージを取り除くには Reimage をお勧めします。 無料のスキャナで、あなたの PC が感染しているかどうかをチェックできます。マルウェアを除去する必要がある場合は、Reimage マルウェア除去ツールのライセンス版を購入する必要があります。

手動 Monero Miner削除方法:

著者について

Lucia Danes
Lucia Danes - ウィルス・リサーチャー

この無料の除去ガイドがお役に立ち、弊社のサービスにご満足いただけましたら、本サービスが続けられますよう、ご寄付をご検討ください。少額でも喜んでお預かりいたします。

Lucia Danes に連絡する
Esolutions について

出典:https://www.2-spyware.com/remove-monero-miner.html

他言語による除去ガイド