TrojanSpy.Win32.PYXIE.A
2020年11月28日
別名:
HEUR:Trojan-PSW.Win32.Mimikatz.gen (KASPERSKY); a variant of Win32/PyXie.B trojan (NOD32)
プラットフォーム:
Windows
危険度:
ダメージ度:
感染力:
感染確認数:
情報漏えい:
- マルウェアタイプ: スパイウェア/情報窃取型
- 破壊活動の有無: なし
- 暗号化: はい
- 感染報告の有無: はい
概要
感染経路 インターネットからのダウンロード
スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
ファイルサイズ 10217425 bytes
タイプ EXE
メモリ常駐 はい
発見日 2020年11月19日
ペイロード URLまたはIPアドレスに接続
侵入方法
スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
スパイウェアは、以下のファイルを作成します。
- %User Temp% or %Temp%\{random characters} → HKLM\SECURITY registry dump
- %User Temp% or %Temp%\{random characters} → HKLM\SYSTEM registry dump
- %User Temp% or %Temp%\{random characters} → HKLM\SAM registry dump
- %User Temp% or %Temp%\tmp{6 random characters}.zip → Zip file containing all Stolen Information and Files.
- %User Temp% or %Temp%\tmp{6 random characters}.bin → Encrypted Zip file.
(註:%Temp%フォルダは、一時的にファイルが保存されるフォルダで、いずれのオペレーティングシステム(OS)でも通常、 "C:\Windows\Temp" です。.)
スパイウェアは、以下のプロセスを追加します。
- When ran with a User account:
- %Windows%\write.exe (or %Windows%\notepad.exe or %Windows%\explorer.exe)
- %System%\cmd.exe /c "reg.exe save hklm\security %User Temp%\{random characters}"
- %System%\cmd.exe /c "reg.exe save hklm\system %User Temp%\{random characters}"
- %System%\cmd.exe /c "reg.exe save hklm\sam %User Temp%\{random characters}"
- wmic path win32_VideoController get name
- wmic cpu get name
- When ran with a SYSTEM account:
- {Processes ran with a User account}
- arp -a
- cmdkey /list
- dclist
- gpresult /z
- ipconfig /all
- ipconfig /displaydns
- klist
- manage-bde -status
- net config workstation
- net group "domain admins" /domain
- net group "Domain Admins"
- net group "Enterprise Admins"
- net localgroup administrators
- net localgroup
- net share
- net use
- net user
- net view /all /domain
- net view /all
- netstat -an
- nltest /domain_trusts /all_trusts
- nltest /domain_trusts
- nslookup -type=any %userdnsdomain%
- qwinsta
- route print
- systeminfo
- tasklist /V
- vssadmin List Shadows
- wmic process
- wmic qfe list
(註:%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local\Temp" です。)
スパイウェアは、以下のフォルダを作成します。
- When ran with a User account:
- %User Temp%\tmp{6 random characters}
- %User Temp%\tmp{6 random characters}\cookies
- %User Temp%\tmp{6 random characters}\desk_files
- When ran with a SYSTEM account:
- %Temp%\tmp{6 random characters}
- %Temp%\tmp{6 random characters}\files
(註:%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local\Temp" です。. %Temp%フォルダは、一時的にファイルが保存されるフォルダで、いずれのオペレーティングシステム(OS)でも通常、 "C:\Windows\Temp" です。.)
スパイウェアは、以下のプロセスにコードを組み込みます。
- Spawned %Windows%\write.exe (or %Windows%\notepad.exe or %Windows%\explorer.exe)
(註:%Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.)
情報漏えい
スパイウェアは、以下の情報を収集します。
- When ran with either SYSTEM or User Account:
- General System Info:
- CPU, RAM, GPU Information
- Drives Information (Name, Size, Available Space)
- Machine Uptime
- User Accounts
- Local IP Address
- Timezone
- OS Version
- Installed Anti-Virus
- If Installed:
- LogMeIn Data
- Citrix Data
- KeePass Safes
- Stored Credentials (via Mimikatz and Lazagne)
- Uninstall Registry List
- Software List
- Desktop Files List
- SMB Info
- Wifi Info
- General System Info:
- When ran with a User Account:
- Desktop Screenshot
- Recent Files List
- Copies of Desktop Files
- Cookies
- When ran with a SYSTEM Account:
- Detailed System Info
- Network Information (IP Configurations, ARP Information etc.)
- Network Shares List
- Network Users List
- Running Process List
- Volume Shadow Copies List
- Group Policies
- Installed Updates
- Copies of Files (based on certain criteria from its configuration)
情報収集
スパイウェアは、HTTPポスト を介して、収集した情報を以下のURLに送信します。
- {BLOCKED}.{BLOCKED}.2.59:8443/data
その他
スパイウェアは、以下を実行します。
- It archives the stolen information in a zip file and encrypts the zip file before exfiltrating.
- It makes use of the following criteria when searching for files to copy:
- Filesize must not exceed 5MB
- Inside directories whose names that contain the strings:
- actifio
- aldelo
- altaro
- avamar
- avs
- back-up
- backup
- bank
- bitmessage
- client
- cobaltstrike
- coin
- diebold
- filemaker
- htape
- magtek
- ncr
- passw
- payment
- rapid7
- replication
- screenconnect
- swift
- tivoli
- unitrends
- vault
- veeam
- vranger
- wallet
- wincor
- Inside the following directories:
- %ALLDRIVESROOTS%\Alliance
- %Application Data%\Agama
- %Application Data%\Armory
- %Application Data%\B3-CoinV2
- %Application Data%\BeerMoney
- %Application Data%\Bitcloud
- %Application Data%\Bitcoin
- %Application Data%\BitcoinZ
- %Application Data%\bitconnect
- %Application Data%\Bither
- %Application Data%\bitmonero
- %Application Data%\BlocknetDX
- %Application Data%\Cybroscoin
- %Application Data%\Daedalus
- %Application Data%\DashCore
- %Application Data%\DeepOnion
- %Application Data%\DigiByte
- %Application Data%\Dogecoin
- %Application Data%\ElectronCash
- %Application Data%\Electrum
- %Application Data%\Electrum-LTC
- %Application Data%\Ember
- %Application Data%\EmeraldWallet
- %Application Data%\Ethereum Wallet
- %Application Data%\Exodus
- %Application Data%\FairCoin
- %Application Data%\faircoin2
- %Application Data%\Florincoin
- %Application Data%\FORT
- %Application Data%\GambitCoin
- %Application Data%\GeyserCoin
- %Application Data%\GreenCoinV2
- %Application Data%\GridcoinResearch
- %Application Data%\Gulden
- %Application Data%\Hush
- %Application Data%\IOTA Wallet
- %Application Data%\Komodo
- %Application Data%\Learncoin
- %Application Data%\lisk-nano
- %Application Data%\Litecoin
- %Application Data%\Minexcoin
- %Application Data%\mSIGNA_Bitcoin
- %Application Data%\MultiBitHD
- %Application Data%\MultiDoge
- %Application Data%\Neon
- %Application Data%\NXT
- %Application Data%\Parity
- %Application Data%\Particl
- %Application Data%\Peercoin
- %Application Data%\pink2
- %Application Data%\PPCoin
- %Application Data%\Qtum
- %Application Data%\RainbowGoldCoin
- %Application Data%\RoboForm
- %Application Data%\StartCOIN-v2
- %Application Data%\straks
- %Application Data%\Stratis
- %Application Data%\StratisNode
- %Application Data%\TREZOR Bridge
- %Application Data%\TrumpCoinV2
- %Application Data%\VeriCoin
- %Application Data%\Verium
- %Application Data%\Viacoin
- %Application Data%\VivoCore
- %Application Data%\Xeth
- %Application Data%\Zcash
- %Application Data%\ZcashParams
- %Application Data%\Zetacoin
- %AppDataLocal%\bisq
- %AppDataLocal%\copay
- %AppDataLocal%\programs\zap-desktop
- %AppDataLocal%\RippleAdminConsole
- %AppDataLocal%\StellarWallet
- %Program Data%\bitmonero
- %Program Data%\electroneum
- %Program Data%\Tiger Technology
- %Program Data%\tivoli
- Contains the following strings in its filename:
- 10-q
- 10-sb
- access
- avamar
- admin
- attack
- aws
- amazon
- backup
- balance
- bitcoin
- bitlocker
- bribery
- cardholder
- censored
- checking
- clandestine
- cobaltstrike
- compromate
- concealed
- confidential
- contraband
- convict
- credent
- cyber
- disclosure
- engineering
- esxi
- ethereum
- explosive
- finance
- fraud
- hidden
- illegal
- infrastruct
- instruction
- investigation
- logins
- marketwired
- military
- n-csr
- nasdaq
- nda
- newswire
- operation
- passport
- passw
- personal
- privacy
- private
- restricted
- routing
- saving
- secret
- security
- spy
- statement
- storage
- submarine
- suspect
- tactical
- treason
- username
- vault
- victim
- vsphere
- wallet
- wasabi
- wire
- Has the following file extensions:
- .doc
- .docx
- .xls
- .xlsx
- .txt
- .rtf
- .rdp
- .kdbx
- .vnc
- .cpp
- .c
- .ica
- .sln
- .vcproj
- .h
- .asm
- .ovpn
- .pcf
- .conf
- Does not following strings in its filename:
- Default.rdp
- Microsoft June
- Release_Note
- Release Note
- desktop.ini
- Microsoft Silverlight
- localhost_access_log
- dd_clwireg.txt
- Does not contain the following strings in its filepath:
- \microsoft\windows
- \gfi\languard
- \microsoft\windows\cookies
- \vmware\vcenterserver
- \autoupdate\cache
- \microsoft office\root
- It checks if the following software are installed:
- OPOS
- Aldelo
- Actifio
- Alliance WebStation
- Alliance Workstation
- Altaro
- Back-up
- Rapid7
- Backup
- Bank
- Blockchain
- Boot Camp
- Box Sync
- BridgeHead
- CAM Commerce Solutions
- Card Processing
- Cash
- Cisco
- Citrix
- Cloud
- Coin
- Dashlane
- Diskeeper
- Double-Take
- Dropbox
- Elcomsoft
- FileZilla Server
- FortiClient
- Fund
- iDrive
- Ledger
- LexisNexis
- LogMeIn
- M262x
- Microsoft Dynamics RMS Store Operations
- Microsoft POS
- vRanger
- Money
- mRemoteNG
- MSR
- Password
- Payment
- Private
- Protect
- PuTTY
- QuickBooks
- Replication
- ScreenConnect
- Shadow
- SII RP-D10
- Storage
- SWIFT
- TeamViewer
- Token
- Trade
- Treasury
- Trezor
- Vault
- Unitrends
- VIP Access
- VMware
- Vnc
- VPN
- Wallet
- Withdraw
- It checks if the following registry keys exist:
- SOFTWARE\Ammyy
- SOFTWARE\Cppcheck
- SOFTWARE\DASH
- SOFTWARE\Dash
- SOFTWARE\DeterministicNetworks
- SOFTWARE\GitForWindows
- SOFTWARE\GlavSoft LLC.
- SOFTWARE\GnuPG
- SOFTWARE\Hex-Rays
- SOFTWARE\Hex-Rays SA
- SOFTWARE\HexaD
- SOFTWARE\ITarian
- SOFTWARE\LogMeIn Ignition
- SOFTWARE\LogMeIn
- SOFTWARE\MetaQuotes Software
- SOFTWARE\Microsoft\ResKit\Robocopy
- SOFTWARE\Nmap
- SOFTWARE\Pulse Secure
- SOFTWARE\PyBitmessage
- SOFTWARE\PyBitmessage
- SOFTWARE\S.W.I.F.T.
- SOFTWARE\ShrewSoft
- SOFTWARE\SimonTatham
- SOFTWARE\SonicWall
- SOFTWARE\TortoiseSVN
- SOFTWARE\Veeam
- SOFTWARE\VisualSVN
- SOFTWARE\Whole Tomato
- SOFTWARE\WinLicense
- It scans the following ports and logs the Status, IP Addresses and Programs/Protocols using it:
- [8332,8333] : Bitcoin
- [53] : DNS
- [9200,9300] : Elasticsearch
- [21] : FTP
- [22443,4172,9427,32111] : Horizon Agent
- [80,5000,9043] : HTTP
- [443,8443,1311,5001,8200],1150018200] : HTTPS
- [34571,1099,1090,1098,1099,4444,11099,47001,47002,10999] : JAVA-RMI
- [27017] : MongoDB
- [1433] : MSSQL
- [3306] : MySQL
- [7687] : neo4j
- [5637] : NetBackup
- [139] : NETBIOS
- [1521] : Oracle
- [110] : POP3
- [995] : POP3s
- [5432] : PostgreSQL
- [1723] : PPTP
- [4899] : RADMIN
- [3389] : RDP
- [25] : SMTP
- [4433],433] : SonicWall-VPN
- [22] : SSH
- [23] : Telnet
- [1500,1581] : Tivoli
- [9050] : TOR
- [9877],877] : AcronixBackup
- [22024,902,903,10080,10443] : vCenter
- [9392,9393,9394,9397,9398,9399] : Veeam
- [5900, 5800] : VNC
- [5985,5986] : WinRM
- [10050,10051],51] : Zabbix
- [45000,45001] : JDWP
- [8686,9012,50500] : JMX
- [11111,4444,4445] : jBoss
- [4786] : Cisco Smart Install
- [5555,5556] : HP Data Protector
- [4848] : GlassFish
対応方法
対応検索エンジン: 9.800
初回 VSAPI パターンバージョン 16.372.04
初回 VSAPI パターンリリース日 2020年11月25日
VSAPI OPR パターンバージョン 16.373.00
VSAPI OPR パターンリリース日 2020年11月26日
手順 1
トレンドマイクロの機械学習型検索は、マルウェアの存在を示す兆候が確認された時点で検出し、マルウェアが実行される前にブロックします。機械学習型検索が有効になっている場合、弊社のウイルス対策製品はこのマルウェアを以下の機械学習型検出名として検出します。
- Troj.Win32.TRX.XXPE50FFF038
手順 2
Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 3
このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。
手順 4
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TrojanSpy.Win32.PYXIE.A」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください