AhnLab SEcurity intelligence Center(ASEC)は、2025年2月に「USB で伝播する仮想通貨マイリングマルウェアの配布事例」[1]レポートを通じて、韓国国内でコインマイナーマルウェアが USB を通じて伝播していることを確認した。2025年7月には Mandiant でも同じような攻撃事例を公開しており、インストールされるマルウェアを DIRTYBULK、CUTFAIL などに分類した。[2]
全体的な攻撃方式は大きく変わっていないが、既存のタイプと比較して、近年、では新しいタイプのマルウェアが使用されており、ここでは最新のマルウェアを基準に分析する。
図1. フローチャート
1. USB を通じた伝播
感染した USB は以下のように「USB Drive.lnk」ファイルが表示され、その他にも「sysvolume」、「USB Drive」フォルダーが隠し属性で存在する。「フォルダーオプション」の「表示」タブで「隠しファイル、フォルダーおよびドライブを表示」を選択すると、隠しフォルダー「sysvolume」と「USB Drive」を確認できる。
一般的にユーザーが USB を挿入後、この画面を見て「USB Drive.lnk」ファイルをダブルクリックして実行することになる。「USB Drive.lnk」ショートカットファイルは「sysvolume」フォルダーに存在する「u566387.vbs」と同様に「u」で始まるランダムな6桁の数字を名前に持つ VBS マルウェアを実行する。
図2. 感染した USB 内のファイル
VBS マルウェアは、同じパスにある「u643257.bat」と同じ名前の BAT マルウェアを実行する機能を担う。BAT マルウェアは、「USB Drive」フォルダーをオープンするが、このフォルダーには USB に含まれていた原本ファイルが存在する。これにより、ユーザーは正常に USB を使用でき、マルウェア感染の状況を把握しにくい場合がある。ちなみに、BAT マルウェアはこのほかにも「C:\Windows \System32\」のように空白が含まれたフォルダーを作成し、ドロッパーマルウェアである「u211553.dat」を「printui.dll」という名前でコピーする。そして、「%SystemDirectory%」フォルダーに存在する「printui.exe」ファイルを「C:\Windows \System32\」フォルダーにコピーしたあと、実行してマルウェアである「printui.dll」、すなわち「u211553.dat」が正常なプログラムである「printui.exe」にロードされて実行されるようにする。
図3. マルウェア インストールスクリプト
2. ドロッパー
「printui.dll」はドロッパーマルウェアであり、内部に存在する別のマルウェアを「%SystemDirectory%\svcinsty64.exe」パスに生成して実行する機能を担う。「svcinsty64.exe」もまたドロッパーであり、「%SystemDirectory%\svctrl64.exe」ファイルを生成して実行し、このほかにも設定ファイルである「wlogz.dat」を「%SystemDirectory%\wsvcz」フォルダーに生成する。その後、子プロセスである「svctrl64.exe」を実行する。
「svctrl64.exe」もまたドロッパーであるが、最終的に「%SystemDirectory%」フォルダーに「u826437.dll」と同じ名前の DLL を生成して DcomLaunch サービスに登録する。
図4. DcomLaunch サービスに登録されたマルウェア
3. PrintMiner
DcomLaunch サービスによって実行されるマルウェアは、分類のため PrintMiner に整理する。PrintMiner は、Windows Defender にインストールパスを例外フォルダーとして登録し、電源設定を調整してシステムがスリープモードに移行しないようにする。その後、C&C サーバーのアドレスを取得し、CPU、GPU など感染システムの情報を送信する。ここまでのプロセスが完了すると、「%SystemDirectory%\wsvcz」フォルダーに XMRig を含むさらなるペイロードをインストールするが、ダウンロードされたファイルは暗号化されているため、復号化するプロセスが同時に進行する。
図5. 復号化されたインストーラー
ちなみに、「%SystemDirectory%\wsvcz\wlogz.dat」パスに位置する設定ファイルは、以下のように C&C サーバーの IP アドレス、マイニング情報、インストールされたマルウェアのパスなどの情報が含まれるようにアップデートされる。
図6. アップデートされた設定データ
その後、USB を担当するスレッドと、XMRig の実行を担当するスレッドを生成する。USB を担当するスレッドは、前述の通り「USB Drive.lnk」ショートカットファイルを生成し、「sysvolume」フォルダーに USB 伝播マルウェアおよび VBS、BAT マルウェアを生成し、「USB Drive」フォルダーにユーザーのファイルを移動する機能を実行する。.
XMRig の実行を担当するスレッドは、現在実行中のプロセスをチェックした後、特定のプロセスが実行中でない場合にのみ XMRig を実行し、実行中の場合は終了する。チェック対象のプロセスの中には、プロセスチェックツールである Process Explorer、TaskMgr、System Informer、Process Hacker などがあるが、これはユーザーが現在実行中のプロセスをチェックする際、XMRig の実行有無を隠蔽するためのものと見られる。それ以外にも多数のゲームクライアントのプロセスが含まれているが、これは性能を必要とするゲームを実行中にコインマイナーが同時に実行されると、性能の問題でユーザーに認知される可能性があるためのものと見られる。
図7. スキャン対象プロセスの一部
- XMRig 実行引数 : “-o r2.hashpoolpx[.]net:443 –tls –tls-fingerprint=AFE39FE58C921511972C90ACF72937F84AD96BA4C732ECF6501540E568620C2F –dns-ttl=3600 –max-cpu-usage=50”
図8. プロセスツリー
5. 結論
USB は現在でもマルウェアの伝播に悪用されており、過去のオートラン(autorun.inf)機能の悪用とは異なり、近年、ユーザーの実行を誘導する方式が使用されている。上記の事例を見ると、マルウェアは隠しフォルダーに存在し、“USB Drive”という名前のショートカットファイルのみが表示される。ユーザーがショートカットファイルを実行する場合、マルウェアだけでなく、既存のユーザーのファイルも同時に表示するため、ユーザーはマルウェアに感染したかどうかを認知するのが困難である。
攻撃者は AntiVirus を回避する様々な手法を使用し、Monero コインをマイニングする XMRig をインストールした。XMrig は、ユーザーがゲームをプレイ中であれば終了するなど、疑いを持たれないように設定されており、プロセス検知ツールともチェックするため、一般的なツールでは XMRig が実行中であることを確認するのが困難である。
ユーザーは、OS およびインストールされているソフトウェアの最新セキュリティパッチを適用する必要があり、V3 製品を最新バージョンに維持して既知の攻撃を遮断する必要がある。
[V3 診断]
- Trojan/Win.SelfDel.R734002 (2025.11.08.01)
- Trojan/Win.Evo-gen.R731187 (2025.10.20.00)
- CoinMiner/Win.Agent.R735221 (2025.11.13.00)
- CoinMiner/Win.Agent.R5805841 (2025.10.18.00)
- Trojan/Win.Miner3.R512976 (2022.08.31.01)
- Trojan/BAT.RUNNER.S3110 (2025.11.27.03)
- Trojan/VBS.RUNNER.S3111 (2025.11.27.03)