Backdoor.Win32.PLUGX.EYSGVM

2021年12月17日

解析者: Maria Emreen Viray

更新者 : Khristian Joseph Morales

別名:

Trojan:Win32/Plugx.AA!MTB (MICROSOFT)

プラットフォーム:

Windows

危険度:

ダメージ度:

感染力:

感染確認数:

情報漏えい:

マルウェアタイプ: バックドア型
破壊活動の有無: なし
暗号化:
感染報告の有無: はい

概要

感染経路インターネットからのダウンロード

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、すべてのリムーバブルドライブ内に自身のコピーを作成します。

マルウェアは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。

詳細

ペイロード URLまたはIPアドレスに接続, 情報収集, プロセスの強制終了

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のフォルダを追加します。

%ProgramData%\AvastSvcPYT → if it executes without a {random numbers} in the commandline
{Drive}\RECYCLER.BIN

(註：%ProgramData%フォルダは、マルチユーザーシステムにおいて任意のユーザがプログラムに変更を加えることができるプログラムファイルフォルダのバージョンです。これには、すべてのユーザのアプリケーションデータが含まれます。Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\ProgramData" です。Windows Server 2003(32-bit)、2000(32-bit)、XPの場合、通常 "C:\Documents and Settings\All Users" です。 )

マルウェアは、以下のファイルを作成します。

%ProgramData%\AvastSvcPYT\AvastSvc.exe → if it executes without a {random numbers} in the commandline
%ProgramData%\AvastSvcPYT\AvastAuth.dat → if it executes without a {random numbers} in the commandline
%ProgramData%\AvastSvcPYT\wsc.dll → if it executes without a {random numbers} in the commandline

マルウェアは、以下のプロセスを追加します。

%ProgramData%\AvastSvcPYT\AvastSvc.exe {random numbers} → if it executes without a {random numbers} in the commandline

マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

ygBcnyAKmDRFCFJQmDkn
USB_NOTIFY_COP_{Drive letter}
USB_NOTIFY_INF_{Drive letter}

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
AvastSvcPYT = "%ProgramData%\AvastSvcPYT\AvastSvc.exe" {random numbers} → if it executes without a {random numbers} in the commandline

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
AvastSvcPYT = "%ProgramData%\AvastSvcPYT\AvastSvc.exe" {random numbers} → if it executes without a {random numbers} in the commandline

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\Network
Version = 1 → if commandline is -net

HKEY_CURRENT_USER\System\CurrentControlSet\
Control\Network
Version = 1 → if commandline is -net

他のシステム変更

マルウェアは、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
ms-pu
CLSID = {hex values}

感染活動

マルウェアは、すべてのリムーバブルドライブ内に自身のコピーを作成します。

マルウェアは、感染コンピュータ上にフォルダやファイルに偽装したショートカットファイル（拡張子「LNK」）を作成して自身のコピーへ誘導します。

バックドア活動

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

Get system information
Start pipe communication
Echo back given input
Exit process
Get disk information
Manage file (query, read, write, delete, copy, rename, move)
Create directory
Get expanded environment variable
Get malware directory
Execute arbitrary command

マルウェアは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。

{BLCOKED}.{BLOCKED}.53.106

ルートキット機能

マルウェアは、ルートキット機能を備えていません。

プロセスの終了

マルウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。

AdobeHelper.exe
AdobeUpdates.exe
AdobeUpdate.exe
AdobeARM.exe
AAM Update.exe
AAM Updates.exe

情報漏えい

トロイの木馬化されたアプリケーションが実行されると、[Malware]は、以下の情報を収集します。

Results of the following commands:
- systeminfo (Details about the operating system and the system hardware and software components)
- ipconfig (Details about current TCP/IP network configuration)
- netstat (Details about current TCP connections)
- arp (Details about local ARP cache)
- tasklist (Details about running processes)

マルウェアは、以下のパラメータを受け取ります。

-net → set the value of key registry “System\CurrentControlSet\Control\Network\Version” to “1”

その他

マルウェアは、以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
ms-pu

HKEY_USER\{SID}_CLASSES\ms-pu

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
ms-pu\PROXY

マルウェアは、以下のWebサイトにアクセスしてインターネット接続を確認します。

https://www.microsoft.com

マルウェアが自身の不正活動を実行するためには、以下のファイルが必要になります。

AvastAuth.dat → Backdoor.Win32.PLUGX.EYSGVM.enc

マルウェアは、以下を実行します。

It deletes all files found in the folder of the terminated process.
It deletes the folder of the terminated process.
It modifies {Drive}\RECYCLER.BIN to point to the system's Recycle Bin.
It drops the following files inside {Drive}\RECYCLER.BIN:
- tmp.bat (Contains commands to query system information)
- c3lzLmluZm8 (Contains results of queried system information)
- CEFHelper.exe (Copy of the parent executable that loaded the malware)
- AvastAuth.dat (Copy of the encrypted component needed to execute the malware)
- wsc.dll (Copy of the malware)
- {Base64-encoded file names} (Encrypted version of files with the extensions .doc, .docx, .ppt, .pptx, .xls, .xlsx, .pdf)
It hides the normal counterpart of the malicious shortcut files created in the removable drives.

マルウェアは、脆弱性を利用した感染活動を行いません。

＜補足＞
インストール

マルウェアは、以下のフォルダを追加します。

%ProgramData%\AvastSvcPYT → コマンドラインで{乱数}を指定せずに実行した場合
{ドライブ}\RECYCLER.BIN

マルウェアは、以下のファイルを作成します。

%ProgramData%\AvastSvcPYT\AvastSvc.exe → コマンドラインで{乱数}を指定せずに実行した場合
%ProgramData%\AvastSvcPYT\AvastAuth.dat → コマンドラインで{乱数}を指定せずに実行した場合
%ProgramData%\AvastSvcPYT\wsc.dll → コマンドラインで{乱数}を指定せずに実行した場合

マルウェアは、以下のプロセスを追加します。

%ProgramData%\AvastSvcPYT\AvastSvc.exe {乱数} → コマンドラインで{乱数}を指定せずに実行した場合

マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

ygBcnyAKmDRFCFJQmDkn
USB_NOTIFY_COP_{ドライブレター}
USB_NOTIFY_INF_{ドライブレター}

バックドア活動

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

システム情報の取得
パイプ通信の開始
入力をエコーバックする
プロセスの終了
ディスク情報の取得
ファイルの管理（クエリ、読み込み、書き込み、削除、コピー、改称、移動）
ディレクトリの作成
拡張環境変数の取得
マルウェアディレクトリの取得
任意のコマンドの実行

情報漏えい

トロイの木馬化されたアプリケーションが実行されると、マルウェアは、以下の情報を収集します。

以下のコマンドの結果：
- systeminfo (オペレーティングシステム、システムのハードウェアおよびソフトウェアコンポーネントの詳細)
- ipconfig (現在のTCP/IPネットワーク構成の詳細)
- netstat (現在のTCP接続に関する詳細)
- arp (ローカル ARP キャッシュの詳細)
- tasklist (実行中のプロセスの詳細)

その他

マルウェアが自身の不正活動を実行するためには、以下のファイルが必要になります。

AvastAuth.dat → Backdoor.Win32.PLUGX.EYSGVM.enc

マルウェアは、以下を実行します。

終了したプロセスのフォルダ内にあるすべてのファイルを削除します。
終了したプロセスのフォルダを削除します。
{ドライブ}RECYCLER.BINがシステムのごみ箱を指すように変更します。
以下のファイルを{ドライブ}RECYCLER.BIN内に作成します。
- tmp.bat （システム情報をクエリするコマンドが含まれている）
- c3lzLmluZm8（システム情報をクエリした結果が含まれている）
- CEFHelper.exe (マルウェアを読み込んだ親の実行ファイルのコピー)
- AvastAuth.dat (マルウェアの実行に必要な暗号化されたコンポーネントのコピー)
- wsc.dll (マルウェアのコピー)
- {Base64 エンコードされたファイル名} (拡張子が .doc, .docx, .ppt, .pptx, .xls, .xlsx, .pdf のファイルの暗号化されたバージョン)
リムーバブルドライブに作成された不正なショートカットファイルに呼応する正規のファイルを隠します。

対応方法

対応検索エンジン: 9.800

初回 VSAPI パターンバージョン 17.224.06

初回 VSAPI パターンリリース日 2021年11月30日

VSAPI OPR パターンバージョン 17.225.00

VSAPI OPR パターンリリース日 2021年12月1日

手順 1

Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム（OS）の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル／フォルダ／レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。

手順 3

Windowsをセーフモードで再起動します。

[ 詳細 ]

セーフモードでの起動：

• Windows 2000 の場合：

コンピュータを起動させます。
「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
「Windows 拡張オプションメニュー」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

• Windows XP の場合：

コンピュータを起動させます。
「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
「Windows 拡張オプションメニュー」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

• Windows Server 2003 の場合：

コンピュータを起動させます。
「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
「Windows 拡張オプションメニュー」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

• Windows Vista、Windows 7 および Windows Server 2008 の場合：

コンピュータを起動させます。
「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
「詳細ブートオプション」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

• Windows 8、8.1 および Server 2012の場合：

画面の右上隅へマウスポインタを移動し、[チャーム]バーを表示します。
マウスで、[設定]－[PC設定の変更]を選択します。
左側のパネルで、[全般]を選択します。
右側のパネルで、[PCの起動をカスタマイズする]が表示されるまで下にスクロールし、[今すぐ再起動]をクリック。コンピュータが再起動するまで待ちます。
[オプションの選択]メニューで、[トラブルシューティング]－[詳細オプション]－[スタートアップ設定]－[再起動]をクリックします。
[スタートアップ設定]メニューで、[4]キーを押し、「4）セーフモードを有効にする」を選択します。

手順 4

このレジストリ値を削除します。

[ 詳細 ]

警告：レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ms-pu
- CLSID = {hex values}
In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- AvastSvcPYT = %ProgramData%\AvastSvcPYT\AvastSvc.exe {random numbers}
In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- AvastSvcPYT = %ProgramData%\AvastSvcPYT\AvastSvc.exe {random numbers}
In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Network
- Version = 1
In HKEY_CURRENT_USER\System\CurrentControlSet\Control\Network
- Version = 1

手順 5

このレジストリキーを削除します。

[ 詳細 ]

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ms-pu
HKEY_USER\{SID}_CLASSES\ms-pu
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ms-pu\PROXY

手順 6

以下のファイルを検索し削除します。

[ 詳細 ]

コンポーネントファイルが隠しファイル属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。

%ProgramData%\AvastSvcPYT\AvastSvc.exe
%ProgramData%\AvastSvcPYT\AvastAuth.dat
%ProgramData%\AvastSvcPYT\wsc.dll
Files inside {Drive}\RECYCLER.BIN

手順 7

以下のフォルダを検索し削除します。

[ 詳細 ]

註：このフォルダは、隠しフォルダとして設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。

%ProgramData%\AvastSvcPYT
{Drive}\RECYCLER.BIN

手順 8

コンピュータを通常モードで再起動し、最新のバージョン（エンジン、パターンファイル）を導入したウイルス対策製品を用い、「Backdoor.Win32.PLUGX.EYSGVM」と検出したファイルの検索を実行してください。検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

ご利用はいかがでしたか？　アンケートにご協力ください