仮想通貨を不正に採掘する話題のウイルスに感染してみた

　インストール直後にタスクマネージャーを起動すると「BRTSvc」という名前の二つのプロセスが動いていた。ただ、CPU使用率はまだ低い。

　そのまま1～2分待っていると、「brt」というプロセスが起動し、CPU使用率が99％に跳ね上がった。

　BRTSvcプロセスがユーザーの入力を監視し、ユーザーが一定時間操作を行わないと、マイニング処理を行う本体のbrtを起動するようだ。ユーザーがマウスなどを操作するとbrtが終了し、CPU使用率が下がる。おそらく、ユーザーがパソコンを操作していない時間を狙ってマイニングを行うことで、ユーザーに気づかれにくくする意図があるのだろう。

Wiresharkで通信相手を特定

　ただこれだけでは「BRTSvcが何か重い処理を行っている」ということしかわからない。マイニングを行うということは、その結果を外部に送信しているはずだ。そこで、パケットキャプチャーソフト「Wireshark」を使って通信の状態を監視することにした。

　Wiresharkを起動し、パケットキャプチャーを開始する。その状態で、brtが起動するのを待った。brtが活動を始めると、特定のIPアドレスのTCP6666番ポートに向けて通信が発生した。

　6666番ポートは、インターネットリレーチャット（IRC）で使われるポートだ。そこで「何らかのテキスト情報が送られている可能性がある」と考え、最も大きいパケットの中身を見てみた。このパソコンに向けて送られたパケットだ。すると「mineXMR-TEST1.0」と「minexmr.com」という二つの文字列を読み取れた。