目次
はじめに
・今年の秋口、Windows11の実行中に何もしてないのにCPUファンが常にフル回転してて煩かった。
・ハードウェア的な問題は無さそうだった。
・ググっても情報が出てこなかったので色々見てみたらマイニング系マルウェアが常駐してた。
・対処がガバガバで、これで良いのかどうか疑問です…情報をお持ちの方がいらっしゃったらコメントいただければ幸いです。
対処
タスクマネージャーを開いてみる
なぜかタスクマネージャーを開いた途端にファンが静かになり、CPU利用率が急激に下がったように見えた。おかしい。
タスクマネージャーを開かずPowerShellでCPU利用率を監視
<PowerShell(管理者実行)>
PS C:\Windows\system32> typeperf "\processor(_total)\% processor time"
ほぼ何のアプリも起動していないはずなのに、毎秒60%以上のCPU利用率。
絶対おかしい。
(恐らくタスクマネージャーのプロセスが立ち上がった時点で、マルウェアくんは気づかれないように稼働を抑制している様子)
Windows Defenderでスキャンしてみる
何も検出されず。使えねぇ(暴言)
トレンドマイクロ社の無料スキャンも試してみたけど何も検出されなかった。
プロセスをCPU利用率の高い順に表示
<PowerShell(管理者実行)>
PS C:\Windows\system32> Get-Process | Sort-Object CPU -Descending | Select-Object -First 10 | Format-Table Name, Path, CPU -AutoSize
Name Path CPU
---- ---- ---
updater C:\Users\xxxxx\AppData\Local\Microsoft\Edge\System\updater.exe 2590.234375
chrome C:\Program Files\Google\Chrome\Application\chrome.exe 24.125
chrome C:\Program Files\Google\Chrome\Application\chrome.exe 15.984375
chrome C:\Program Files\Google\Chrome\Application\chrome.exe 14.875
(以下略)
明らかに「updater.exe」くんが怪しい。誰だお前。
updater.exeの情報を確認
最初はMS Edgeの自動アップデート機能がイカれてるのか?とか思ったけど、そうでもないらしい。まず明らかにアイコンがおかしい。
プロパティ。これは悪意あるソフトウェアですね、間違いない…。
ググったところXMRigというマイニング系マルウェアであることが判明。本来は単なるマイニングツールらしいが。
>XMRigはクリプトマイニング型マルウェアです。標的システムに侵入後、ユーザーの許可なくクリプトマイニングを行います。
当初はオープンソースの仮想通貨Moneroマイニングツールとして公開されましたが、攻撃者らの改修によりサイバー攻撃に広く悪用されています。
ハメられた!
プロセス停止を試す
<PowerShell(管理者実行)>
PS C:\Windows\system32> Stop-Process -Name "updater"
一瞬止まってCPU利用率が落ち着くけど、数十秒後に復活してCPU利用率が高騰した。やはりこいつが犯人だ。
実行ファイルを削除
とりあえずupdater.exeを丸ごと消し去ったところ、CPU利用率の高騰は収まった。
再起動しても問題なし。
サービス等の確認
サービスに残党がいるかもなあと思ったので捜索。
<PowerShell(管理者実行)>
PS C:\Windows\system32> Get-WmiObject Win32_Service | Where-Object {$_.PathName -like '*updater.exe*'} PS C:\Windows\system32>
何もヒットせず。目視で一覧を確認しても怪しいサービスは見当たらず。
タスクスケジューラとかスタートアップ(shell:startup、shell:common startup)にも何も無さそうだった。
予後
あれから1ヶ月くらい経つが再発なし。
終息した…のか…?
