Hellminer.exe: 암호화폐 채굴 악성 코드 분석, 종합 제거 가이드

Hellminer.exe는 암호화폐 채굴을 위해 시스템을 악용하여 높은 CPU 리소스를 소비하는 악성 소프트웨어입니다. 악성 광고 또는 드롭퍼 악성 코드를 통해 시스템을 감염시키고 VM 방지 및 디버그 방지 조치를 사용합니다. Hellminer는 향상된 탄력성을 위해 P2P 명령 서버 네트워크를 활용하여 레지스트리 수정 및 WMI 호출을 통해 지속성을 설정합니다. 제거하려면 맬웨어 및 해당 백업을 제거하기 위해 맬웨어 방지 소프트웨어를 사용한 철저한 검사가 필요합니다.

Hellminer.exe: A Comprehensive Analysis of a Crypto-Mining Malware

Hellminer.exe: 암호화폐 채굴 악성코드에 대한 종합적인 분석

Introduction

소개

Hellminer.exe is a malicious software process that has been identified for its significant impact on system performance. This malware utilizes the host computer's resources to mine cryptocurrencies, primarily DarkCoin and Monero. Its presence can result in a noticeable decrease in system responsiveness and stability, as it allocates a substantial portion of the CPU's processing power to the mining process.

Hellminer.exe는 시스템 성능에 심각한 영향을 미치는 것으로 확인된 악성 소프트웨어 프로세스입니다. 이 악성 코드는 호스트 컴퓨터의 리소스를 활용하여 주로 DarkCoin 및 Monero와 같은 암호화폐를 채굴합니다. 이 존재는 CPU 처리 능력의 상당 부분을 채굴 프로세스에 할당하므로 시스템 응답성과 안정성이 눈에 띄게 감소할 수 있습니다.

Nature of the Malware

악성코드의 성격

Hellminer.exe is associated with a malicious coin miner, a type of malware designed to exploit the hardware of infected systems to generate cryptocurrency. The malware establishes vast networks of compromised computers, enabling hackers to maximize their profits. It consumes a significant amount of CPU power, typically up to 80%, to ensure optimal mining performance. This excessive resource utilization renders the affected system sluggish and inconvenient to use.

Hellminer.exe는 암호화폐를 생성하기 위해 감염된 시스템의 하드웨어를 악용하도록 설계된 악성 코드 유형인 악성 코인 채굴기와 연관되어 있습니다. 악성 코드는 손상된 컴퓨터로 구성된 광범위한 네트워크를 구축하여 해커가 이익을 극대화할 수 있도록 합니다. 최적의 채굴 성능을 보장하기 위해 상당한 양의 CPU 전력(일반적으로 최대 80%)을 소비합니다. 이러한 과도한 리소스 사용으로 인해 영향을 받는 시스템이 느려지고 사용이 불편해집니다.

Infiltration Methods

침투 방법

Hellminer.exe primarily infiltrates user systems through malvertising (malicious advertising) on the Internet or via dropper malware. Malvertising involves the distribution of malware through legitimate-looking websites or advertisements. Dropper malware serves as a delivery mechanism for other malicious payloads, including Hellminer.exe. It is important to note that these spreading methods are commonly employed by various types of malware, indicating a potential risk of multiple infections within the compromised system.

Hellminer.exe는 주로 인터넷상의 악성 광고(악성 광고)나 드롭퍼 악성 코드를 통해 사용자 시스템에 침투합니다. 악성 광고에는 합법적인 것처럼 보이는 웹 사이트나 광고를 통해 악성 코드를 배포하는 행위가 포함됩니다. Dropper 악성코드는 Hellminer.exe를 포함한 다른 악성 페이로드에 대한 전달 메커니즘 역할을 합니다. 이러한 확산 방법은 다양한 유형의 맬웨어에 일반적으로 사용되며, 이는 손상된 시스템 내에서 다중 감염의 잠재적 위험을 나타냅니다.

Technical Analysis

기술적 분석

Unlike other miners that rely on open-source mining software such as XMRig, Hellminer.exe appears to be written in Python, suggesting a private development. Upon launch, the malware initiates a series of anti-virtual machine (VM) and anti-debugging checks. It leverages Windows Management Instrumentation (WMI) to retrieve information about the CPU, searching for indications of virtualization. The malware then proceeds to enumerate services and processes, paying particular attention to traces of the VMware virtualization environment. This behavior suggests that the malware seeks to avoid detection in virtual environments commonly employed for malware analysis.

XMRig와 같은 오픈 소스 채굴 소프트웨어에 의존하는 다른 채굴자들과 달리 Hellminer.exe는 Python으로 작성된 것으로 나타나 비공개 개발을 암시합니다. 악성코드는 실행 시 일련의 안티 가상 머신(VM) 및 안티 디버깅 검사를 시작합니다. WMI(Windows Management Instrumentation)를 활용하여 CPU에 대한 정보를 검색하고 가상화 징후를 검색합니다. 그런 다음 악성 코드는 VMware 가상화 환경의 흔적에 특히 주의하면서 서비스와 프로세스를 열거합니다. 이러한 동작은 해당 악성코드가 악성코드 분석에 일반적으로 사용되는 가상 환경에서 탐지를 피하려고 한다는 것을 의미합니다.

Following these initial checks, the malware's primary payload is activated. However, the information gathered during the initial stage may also be used to configure the mining process or contribute to the system fingerprint, providing valuable insights to the malware operators.

이러한 초기 검사 후에 악성코드의 기본 페이로드가 활성화됩니다. 그러나 초기 단계에서 수집된 정보는 마이닝 프로세스를 구성하거나 시스템 지문에 기여하여 맬웨어 운영자에게 귀중한 통찰력을 제공하는 데 사용될 수도 있습니다.

Persistence Mechanisms

지속성 메커니즘

To maintain a persistent presence within the compromised system, Hellminer.exe manipulates the Windows registry through a series of commands. This manipulation enables the malware to start the Windows error reporting service, increasing its privileges and providing a disguise. Additionally, it alters network security policies and forces the WMI Adaptation Service to recursively launch the payload, ensuring continuous execution.

손상된 시스템 내에서 지속적인 존재를 유지하기 위해 Hellminer.exe는 일련의 명령을 통해 Windows 레지스트리를 조작합니다. 이러한 조작을 통해 맬웨어는 Windows 오류 보고 서비스를 시작하여 권한을 높이고 위장할 수 있습니다. 또한 네트워크 보안 정책을 변경하고 WMI 적응 서비스가 페이로드를 반복적으로 시작하도록 강제하여 지속적인 실행을 보장합니다.

Command and Control Architecture

명령 및 제어 아키텍처

Unlike some malware miners, Hellminer.exe does not establish extensive command-and-control (C2) communication. After completing its initial tasks, it transmits a packet of system information to a command server, indicating its readiness. In response, the C2 server provides a configuration file containing details about the mining pool and IP address to connect to.

일부 맬웨어 채굴기와 달리 Hellminer.exe는 광범위한 C2(명령 및 제어) 통신을 설정하지 않습니다. 초기 작업을 완료한 후 시스템 정보 패킷을 명령 서버로 전송하여 준비 상태를 나타냅니다. 이에 대한 응답으로 C2 서버는 연결할 채굴 풀과 IP 주소에 대한 세부 정보가 포함된 구성 파일을 제공합니다.

Notably, the command servers used by Hellminer.exe exhibit a peer-to-peer architecture. Instead of relying on a traditional C2 server model, the malware utilizes a network of infected computers as command servers. This network structure significantly increases the resilience of the botnet by preventing disruption through the compromise of a single command server.

특히 Hellminer.exe에서 사용하는 명령 서버는 P2P 아키텍처를 나타냅니다. 악성코드는 전통적인 C2 서버 모델에 의존하는 대신 감염된 컴퓨터 네트워크를 명령 서버로 활용합니다. 이 네트워크 구조는 단일 명령 서버의 손상으로 인한 중단을 방지하여 봇넷의 복원력을 크게 향상시킵니다.

Removal Guide

제거 가이드

Effective removal of Hellminer.exe requires the use of reputable anti-malware software. Such software employs scanning mechanisms to identify and quarantine malicious files and processes. GridinSoft Anti-Malware is a recommended solution that can effectively neutralize Hellminer.exe and its associated components. It is crucial to perform a comprehensive scan to ensure the complete eradication of the malware and any residual traces.

Hellminer.exe를 효과적으로 제거하려면 평판이 좋은 맬웨어 방지 소프트웨어를 사용해야 합니다. 이러한 소프트웨어는 검색 메커니즘을 사용하여 악성 파일과 프로세스를 식별하고 격리합니다. GridinSoft Anti-Malware는 Hellminer.exe 및 관련 구성 요소를 효과적으로 무력화할 수 있는 권장 솔루션입니다. 악성 코드와 잔여 흔적을 완전히 근절하려면 포괄적인 검사를 수행하는 것이 중요합니다.

Prevention and Mitigation

예방 및 완화

The activity of miner malware is closely correlated with the fluctuations in cryptocurrency prices. As the value of cryptocurrencies rises, so does the prevalence of malware exploiting these digital assets. Malvertising remains a primary vector for the distribution of Hellminer.exe and other miner malware. To mitigate this threat, users should exercise caution when interacting with online advertisements, particularly those promoting free software or downloads. Scrutinizing the URL and avoiding websites with suspicious or unfamiliar addresses can help prevent malware infections.

채굴 악성코드의 활동은 암호화폐 가격의 변동과 밀접한 상관관계가 있습니다. 암호화폐의 가치가 상승함에 따라 이러한 디지털 자산을 악용하는 악성 코드의 확산도 늘어나고 있습니다. 악성 광고는 Hellminer.exe 및 기타 채굴 악성 코드 배포의 주요 경로로 남아 있습니다. 이러한 위협을 완화하려면 사용자는 온라인 광고, 특히 무료 소프트웨어나 다운로드를 홍보하는 광고와 상호작용할 때 주의를 기울여야 합니다. URL을 면밀히 조사하고 의심스럽거나 익숙하지 않은 주소가 있는 웹사이트를 피하면 맬웨어 감염을 예방하는 데 도움이 될 수 있습니다.