新しい「ノーマン」マイナー型マルウェアが発見、タスクマネージャーを開くと隠れる

ノーマンマルウェアの特集

ウイルスがリソースを占有していると思ったとき、タスクマネージャーをダブルチェックして、奇妙なプロセスが実行されているかどうかを確認できます。しかし、PCに感染するウイルスがタスクマネージャーを開いたことを知り、探しているときに隠れるとしたらどうでしょうか？

このシナリオが新しいノーマンマイナー型マルウェアの行動です。これにより、対処が難しい問題となります！

さらに読む: マイクロソフトが見つけにくいファイルレスマルウェア「アスタロト」に警告

ノーマンが発見された経緯

ノーマンは、セキュリティ会社のバロニスが顧客の一社のサーバーから奇妙な活動を見た後に明らかになりました。彼らは、異常な兆候を示しているデバイスが、システムの遅延を報告している同じ顧客からのものであることに気付きました。そのため、バロニスは何が起こっているのかを確認するためにセキュリティチームを派遣しました。

ノーマンマルウェア技術者

チームが会社のコンピュータをチェックしたところ、すべてのデバイスがクリプトマイナーに感染していることがわかりました。これにより、マシンが以前のように迅速に動作しなかった理由が説明されました。クリプトマイナーの開発者は、ディネロをマイニングするために処理能力を吸い上げていたのです。

さらに悪いことに、感染はバロニスが現場に到着する1年前からネットワークを回っていました。この遅延は、初期感染を設定した者がマイナーを見つけるまでの間に多くの暗号通貨を稼いでいた可能性があることを意味します！

ノーマンの動作原理

ノーマンは放置されると、所有者のために喜んでマイニングを行います。この行動はシステムのリソースに負担をかけるため、一部の人々はタスクマネージャーを開いてプロセッサを占有しているものを見つけようとします。

ノーマンの設計は、ユーザーがタスクマネージャーを開くときに監視することでこれに対抗します。これを見つけると、すぐにマイニングプロセスを終了し、コンピュータ上で実行中のプロセスのリストから削除します。そのため、ユーザーは問題の原因を見ず、すべてが正常だと仮定します。以下に、マルウェア（「wuapp」と呼ばれる）がタスクマネージャー（「Taskmgr」と呼ばれる）が登場すると消える様子を示します。

ノーマンマルウェアの例

ユーザーがタスクマネージャーから目を離すと、マルウェアはマイナーを再注入し、プロセスを再開します。この戦術により、マルウェアは両方の利点を得ることができます。監視されていないときにシステムリソースを占有し、ユーザーが追跡しようとするときにすべての痕跡を消去します。

クリプトマイナーからの保護方法

クリプトマイナーは、最初にインストールさせないことで最も効果的に対処できます。最新のウイルス対策ソフトウェアを使用して、システムをラジカルからチェックし、穴を利用されないようにオペレーティングシステムを最新の状態に保ちましょう。

ノーマンマルウェア通貨

もしシステムリソースが何かによって占有されていることに気付いたら、ウイルス対策チェックを行い、マルウェアが潜んでいないか確認してください。ノーマンが隠れている可能性があると思ったら、タスクマネージャーとは異なるプロセスビューアを使用して、現行の行動をキャッチすることができます。上記のGIFはプロセスハッカーを使用しているようですので、試してみてください！