Trend Micro Security

HackTool.Linux.WinExe.A

2023年4月10日
 解析者: Ricardo III Valdez   
 別名:

HEUR:RemoteAdmin.Linux.Winexe.a (KASPERSKY)

 プラットフォーム:

Linux

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: ハッキングツール
  • 破壊活動の有無: なし
  • 暗号化: なし
  • 感染報告の有無: はい

  概要

感染経路 インターネットからのダウンロード, 他のマルウェアからの作成

プログラムは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

  詳細

ファイルサイズ 6,628,248 bytes
タイプ ELF
メモリ常駐 なし
発見日 2023年4月6日
ペイロード システム情報の収集

侵入方法

プログラムは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

その他

プログラムは、以下を実行します。

  • It checks for the following service name if present in the system:
      Service Name: winexesvc
  • It connects to the following pipe names which allows command executions:
    • \ahexec
    • \ahexec_stdin
    • \ahexec_stdout
    • \ahexec_stderr
  • It does the following host commands:
    • Usage:
      • --reinstall ← Reinstalls winexe service before remote execution
      • --system ← Uses SYSTEM account
      • --runas={DOMAIN\USERNAME}{%PASSWORD} ← Run as user and password is sent in clear text over net
      • --runas-file={FILE} ← Run as user options define in a file
      • --interactive={0 or 1} ← Toggle desktop interaction
        • 0 - disallow
        • 1 - allow
          If interactive=1, use also --system switch {Win Requirement}
      • --ostype = {0, 1, or 2} ← Operating System type
        • 0 - 32bit
        • 1 - 64bit
        • 2 - winexe will decide by determining which version (32bit/64bit) of service will be installed
    • Common Samba Options:
      • -d or --debuglevel={DEBUG LEVEL} ← Sets the debug level
      • -s or --configfile={CONFIG FILE} ← Uses an alternative configuration file
      • -l or --log-basename={LOG FILE BASE} ← Basename for log/debug files
      • --debug-stderr ← Sends the debug output to STDERR
      • --option=name=value ← Sets smb.conf option from command line
      • --leak-report ← Enables talloc leak reporting on exit
      • --leak-report-full ← Enable full talloc leak reporting on exit
    • Connection Options:
      • -R or --name-resolve={NAME-RESOLVE-ORDER} ← Uses these name resolution services only
      • -O or --socket-options={SOCKET OPTIONS} ← Defines the socket options to use
      • -n or --netbiosname={NET BIOS NAME} ← Sets the primary Netbios name
      • -S or --signing={ON, OFF or REQUIRED} ← Sets the client signing state
      • -W or --workgroup={WORKGROUP} ← Sets the Workgroup name
      • -i or --scope={SCOPE} ← Defines the Netbios scope
      • -m or --maxprotocol={MAX PROTOCOL} ← Sets max protocol level
      • -V or --version ← Prints version
      • --realm={REALM} ← Sets the realm name
    • Authentication Options:
      • -U or --user={DOMAIN/USERNAME}{%PASSWORD} ← Sets the network username
      • -N or --no-pass ← No password required
      • -A or --authentication-file={FILE} ← Gets the credentials from a file
      • -P or --machine-pass ← Uses stored machine account password
      • -k or --kerberos={STRING} ← Uses Kerberos
      • --password={STRING} ← Sets the network password
      • --simple-bind-dn={STRING} ← Sets the LDAP user distinguished name (DN) to use for simple bind

  対応方法

対応検索エンジン: 9.800
SSAPI パターンバージョン: 2.613.00
SSAPI パターンリリース日: 2023年4月6日

手順 1

トレンドマイクロの機械学習型検索は、マルウェアの存在を示す兆候が確認された時点で検出し、マルウェアが実行される前にブロックします。機械学習型検索が有効になっている場合、弊社のウイルス対策製品はこのマルウェアを以下の機械学習型検出名として検出します。

    • Troj.ELF.TRX.XXELFC1DFF026

手順 2

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「HackTool.Linux.WinExe.A」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください