• Email
• Facebook
• Twitter
• Google+
• Linkedin

PUA.Win32.PAExec.AA

---

• マルウェアタイプ: 潜在的に迷惑なアプリケーション
• 破壊活動の有無: なし
• 暗号化: なし
• 感染報告の有無: はい

---

  概要

プログラムは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

プログラムは、ワーム活動の機能を備えていません。

プログラムは、バックドア活動の機能を備えていません。

プログラムは、情報収集する機能を備えていません。

---

  詳細

侵入方法

プログラムは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

感染活動

プログラムは、ワーム活動の機能を備えていません。

バックドア活動

プログラムは、バックドア活動の機能を備えていません。

ルートキット機能

プログラムは、ルートキット機能を備えていません。

情報漏えい

プログラムは、情報収集する機能を備えていません。

その他

プログラムは、以下を実行します。

• It is used to launch Windows programs on remote Windows computers without needing to install software on the remote computer first.
• It returns the error code it receives from the application that is launched remotely.
• If it encounters an error, the return code will be one of the following:
  • -1 → Internal error
  • -2 → Command line error
  • -3 → Failed to launch app (locally)
  • -4 → Failed to copy PAExec to remote (connection to ADMIN$ might have failed)
  • -5 → Connection to server taking too long (timeout)
  • -6 → PAExec service could not be installed/started on remote server
  • -7 → Could not communicate with remote PAExec service
  • -8 → Failed to copy app to remote server
  • -9 → Failed to launch app (remotely)
  • -10 → App was terminated after timeout expired
  • -11 → Forcibly stopped with Ctrl-C / Ctrl-Break

マルウェアは、以下のパラメータを受け取ります。

• -a → Separates processors on which the application can run with commas where 1 is the lowest numbered CPU.
  • Example usage: -a 2,4 (to run on CPU 2 and 4)
• -c → Copies the specified program to the remote system for execution. The application must be in the system path on the remote system if this option is omitted.
• -d → Don't wait for process to terminate (non-interactive).
  • This option is not compatible with -to
• -e → Does not load the specified account's profile.
• -f → Copies the specified program even if the file already exists on the remote system.
  • Requires -c
• -i → Runs the program so that it interacts with the desktop of the specified session on the specified system. If no session is specified, the process runs in the console session.
• -h → If the target system is Vista or higher, the process runs with the account's elevated token, if available.
• -l → Runs the process as limited user (strips the Administrators group and allows only privileges assigned to the Users group). On Windows Vista, the process runs with Low Integrity.
  • This parameter is experimental.
• -n → Specifies timeout in seconds connecting to remote computers.
• -p → Specifies optional password for username. If this parameter is omitted, the user will be prompted to enter a hidden password.
• -s → Runs the process in the System account.
• -u → Specifies optional username for login to remote computer.
• -v → Copies the specified file only if it has a higher version number or is newer than the one on the remote system.
  • Requires -c
• -w → Sets the working directory of the process (relative to remote computer).
• -x → Displays the UI on the Winlogon secure desktop
  • Local System only.
• -{Priority} → Specifies -low, -belownormal, -abovenormal, -high or -realtime to run the process at a different priority.
  • -background can be used to run at low memory and I/O priority on Vista.
• computer → Directs PAExec to run the application on the remote computer or computers specified.
  • If this parameter is omitted, PAExec runs the application on the local system.
  • If a wildcard (\\*) is specified, PAExec runs the command on all computers in the current domain.
• program → Name of application to execute.
• @file → Executes the command on each of the computers listed in the file.
• arguments → Arguments to pass.
  • File paths must be absolute paths on the target system.
• -cnodel → If a file is copied to the server with -c, it is normally deleted, unless -d is specified. -cnodel indicates the file should not be deleted.
• -clist → When using -c (copy), -clist allows to specify a text file that contains a list of files to copy to the target.
  • The text file should just list file names, and the files should be in the same folder as the text file.
  • -clist and -csrc cannot be used together.
• -csrc → When using -c (copy), -csrc allows to specify an alternate path to copy the program from.
  • Example usage: -c -csrc "C:\test path\file.exe"
• -dbg → Outputs to DebugView application.
• -dfr → Disables WOW64 File Redirection for the new process.
• -lo → Logs Output to file.
  • Example usage: -lo C:\Temp\PAExec.log
  • The file will be UTF-8 with a Byte Order Mark at the start.
• -p@ → Reads the first line of the given file and use that as the password. File should be saved as UTF-8 with or without Byte Order Mark.
• -p@d → Deletes the file specified by -p@ as soon as the password is read.
• -rlo → Remote Log Output: Log from remote service to file (on remote server).
  • Example usage: -rlo C:\Temp\PAExec.log
  • The file will be UTF-8 with a Byte Order Mark at the start.
• -to → Timeout in seconds before terminating the process.
  • Example usage: -to 15
• -noname → Disables adding source server's name to the remote service name and remote PAExec executable file.
• -sname → Remote service name. This option is not compatible with -noname.
• -share → Remote share name. The parameter -sharepath must be supplied when using this functionality.
• -sharepath → Real path of specified remote share. This parameter can only be used with -share.
• -{Any Other String} → Displays the list of parameters that can be used:
  

プログラムは、脆弱性を利用した感染活動を行いません。

<補足>

プログラムは、以下を実行します。

• 事前にリモートコンピュータ（Windows）上にソフトウェアをインストールすることなく、リモートコンピュータ上でWindowsプログラムを起動するために使用されます。
• リモートで起動されたアプリケーションから受信したエラーコードを返します。
• エラーが発生した場合、戻りコードは以下のいずれかになります。
  • -1 → 内部エラー
  • -2 → コマンドライン・エラー
  • -3 → ローカルでアプリの起動に失敗
  • -4 →リモートへのPAExecのコピーに失敗 (ADMIN$への接続に失敗した可能性あり)
  • -5 → サーバへの接続に時間を要している (タイムアウト)
  • -6 →リモートサーバ上へのPAExecサービスのインストール/開始に失敗
  • -7 → リモートのPAExecサービスとの通信に失敗
  • -8 → リモートサーバへのアプリのコピーに失敗
  • -9 → リモートでアプリの起動に失敗
  • -10 → タイムアウト後にアプリの終了
  • -11 → Ctrl-C / Ctrl-Breakを用いた強制停止

このプログラムは、以下のパラメータを受け取ります。

• -a → アプリケーションを実行できるプロセッサをCPUで1が最小番号になるようコンマで区切ります。
  • 使用例: -a 2,4 （CPU 2とCPU 4でアプリケーションを実行する場合）。
• -c → 指定されたプログラムをリモートシステムにコピーして実行します。このオプションが省略された場合、アプリケーションはリモートシステム上のシステムパスに入っている必要があります。
• -d → プロセスの終了を待つ必要はありません（非対話型）。
  • このオプションは「-to」との互換性がありません。
• -e → 指定されたアカウントのプロファイルを読み込みません。
• -f → ファイルがリモートシステム上にすでに存在する場合でも、指定されたプログラムをコピーします。
  • 「-c」が必要です。
• -i → 指定のシステム上で指定されたセッションのデスクトップと対話するようにプログラムを実行します。セッションが指定されていない場合、プロセスはコンソールセッションで実行されます。
• -h → 対象のコンピュータがVista以降の場合、アカウントの昇格されたトークン（使用可能な場合）を使用してプロセスが実行されます。
• -l → プロセスを制限付きユーザとして実行します（管理者グループを削除し、ユーザグループに割り当てられた権限のみを許可します）。Windows Vista上では、プロセスは低い整合性で実行されます。
  • このパラメータは実験的なものです。
• -n → リモートコンピュータへの接続タイムアウトを秒単位で指定します。
• -p → ユーザ名の省略可能なパスワードを指定します。このパラメータが省略された場合、ユーザは非表示のパスワードを入力するように求められます。
• -s → システムアカウント内でプロセスを実行します。
• -u → リモートコンピュータにログインするための省略可能なユーザ名を指定します。
• -v → 指定されたファイルのバージョン番号が大きいか、リモートシステム上のファイルより新しい場合にのみ、指定されたファイルをコピーします。
  • 「-c」が必要です。
• -w → （リモートコンピュータに対して）プロセスの作業ディレクトリを設定します。
• -x → Winlogonセキュアデスクトップ上にUIを表示します。
  • ローカルコンピュータのみ。
• -{優先度} → プロセスを別の優先度で実行するには「-low」、「-belownormal」、「-abovenormal」、「-high」、または「-realtime」を指定します。
  • 「-background」を使用して、Vista上でメモリとI/Oの優先順位が低い場合に実行されます。
• computer → PAExecで指定されたリモートコンピュータまたはコンピュータ上でアプリケーションを実行するように指示します。
  • このパラメータが省略された場合、PAExecはローカルコンピュータ上でアプリケーションを実行します。
  • wildcard (\\*) が指定されている場合、PAExecは現在のドメイン内のすべてのコンピュータ上でコマンドを実行します。
• program → 実行するアプリケーションの名前。
• @file → ファイル内に一覧表示されている各コンピュータ上でコマンドを実行します。
• arguments → 渡す引数。
  • ファイルパスは、対象コンピュータ上の絶対パスである必要があります。
• -cnodel → 「-c」でファイルがサーバにコピーされた場合、「-d」が指定されない限り、通常は削除されます。「-cnodel」は、ファイルが削除されてはならないことを示します。
• -clist → 「-c」（コピー）を使用する際、「-clist」は、対象にコピーするファイルの一覧を含むテキストファイルの指定を可能にします。
  • テキストファイルはファイル名を一覧表示するだけでよく、ファイルはテキストファイルと同じフォルダに入っている必要があります。
  • 「-clist」と「-csrc」の同時使用はできません。
• -csrc → 「-c」（コピー）を使用する際、「-csrc」は、プログラムのコピー元の代替パスの指定を可能にします。
  • 使用例: -c -csrc "C:\test path\file.exe"
• -dbg → DebugViewアプリケーションに出力します。
• -dfr → 新しいプロセスに対するWOW64のファイルのリダイレクトを無効にします。
• -lo → ログをファイルに出力します。
  • 使用例: -lo C:\Temp\PAExec.log
  • ファイルは、先頭にBOM（バイト・オーダー・マーク）付きのUTF-8です。
• -p@ → 指定されたファイルの最初の行を読み取り、パスワードとして使用します。ファイルは、BOMの有無にかかわらず、UTF-8として保存される必要があります。
• -p@d → パスワードが読み取られ次第、-p@で指定したファイルを削除します。
• -rlo → リモートログ出力: リモートサービスからファイル（リモートサーバ上）にログを記録します。
  • 使用例: -rlo C:\Temp\PAExec.log
  • ファイルは、先頭にBOM付きのUTF-8です。
• -to → プロセスを終了するまでのタイムアウト時間（秒単位）。
  • 使用例: -to 15
• -noname → リモートサービス名およびリモートのPAExec実行可能ファイルへのソースサーバ名の追加を無効にします。
• -sname → リモートサービス名。このオプションは「-noname」との互換性がありません。
• -share → リモートシェア名。この機能を使用する際、パラメータ「-sharepath」を指定する必要があります。
• -sharepath → 指定されたリモートシェアの実際のパス。このパラメータは「-share」との組み合わせでのみ使用可能です。
• -{その他の文字列} → 使用可能なパラメータの一覧を表示します。
  

---

  対応方法

ご利用はいかがでしたか？　アンケートにご協力ください