米マカフィーが新たにロシア製の仮想通貨マイニングマルウェアWebCobraを発見

McAfee LabsのWebCobra感染度マップ9月13日現在（マカフィー公式ブログより引用、以下同）

　米マカフィーは11月12日、新たにWindowsパソコンをターゲットとするロシア製の仮想通貨マイニングマルウェア「WebCobra」を発見したことを公式ブログで報告した。15日にはマカフィー株式会社によって日本語訳版が公開された。WebCobraは、感染した被害者のコンピューターを利用して仮想通貨のマイニングを行うという。

　発見・分析をしたMcAfee Labsによると、WebCobraは感染した機器の環境に応じて「Cryptonight」または「Claymore's Zcash」をインストールする、異なったマイナー（マイニングをするプログラム）を投下するのが特徴の仮想通貨マイニングマルウェアであるという。

　WebCobraは悪質なPUP（Potentially Unwanted Program：不審なプログラム）を通じてインストールされるというのが、McAfee Labsの見解だ。現在、世界各地で発見されているが、特にブラジル、南アフリカおよび米国で多く検出されている。

　感染したシステムでWebCobraは、Windowsの実行環境を確認する。そこで、32ビットのシステムであれば、Cryptonightのマイナーコードを実行中のプロセスに注入し、プロセスモニターを起動する。64ビットのシステムであればGPUの設定をチェックし、リモートサーバーからClaymore's Zcashマイナーをダウンロードして実行するという。ちなみに、64ビットのシステムでは、GPUのブランドとモードをチェックし、Radeon、Nvidia、AsusのいずれかのGPUがインストールされている場合にのみ実行されるとのこと。

WebCobraは感染したシステムの構成に応じ適切なマイナーを起動する

　また、WebCobraは、アンチデバッグ、アンチエミュレーション、およびアンチサンドボックス技術などを試み、さらに実行されている他のセキュリティ製品を確認し、発見されにくい状況を作るという。そのため、WebCobraは長期間検出されないままになるそうだ。

　このようにマルウェアは検知しにくく、コンピューターを乗っ取るとアプリケーションはバックグラウンドで静かに走るため、パフォーマンスが落ちる程度の兆候しか見られないという。また、マルウェアは電力消費を増大させるため、PCの動作が遅くなり、持ち主はイライラさせられるだけでなく、不当に高額な電気料金を請求されることにもなるという。こういった挙動が、マルウェア感染発見の糸口になるのではないか。いずれにしても、今後は常に新しい情報を知り、しっかりとしたマルウェア対策が必要となりそうだ。