PlugX Removal Guide Version 1.

2
Myanmar Computer Emergency Response Team

PlugX Remote Access Trojan (RAT) ဖယ်ရ ှား ရင်ှားလင်ှားနည်ှားလမ်ှားညွှန်

PlugX RAT ၏ သမိုင်ှားက င်ှား

၁။ တရုတ်နုင်ငံအခပြေပ ြု ဟက်ကာအဖွဲ့ပဖစ်ခ ာ Mustang Panda ည် ၂၀၁၄ ြေုနှစ်မှစ၍ အာရှ-

စဖတ်ခေ တင််း နုင်ငံမ ာ်းအာ်း စ်မှတ်ထာ်း၍ ဆုက်ဘာတုက်ြေုက်ပ ်း တင််းအြေ က်အလက်မ ာ်းကု
ြေု်းယူရန် ကကြု်းစာ်းလ က်ရှကာ ၂၀၁၉ ြေုနှစ်တင် ပမန်မာနုင်ငံကု စ်မှတ်ထာ်း၍ PlugX RAT ပဖင်
တုက်ြေုက်ြေပ ်း ပမန်မာနုငင
် အ
ံ တင််းရှ ကန် ျူတာအမ ာ်းစု ည် PlugX RAT ၏ တုက်ြေုက်ပြေင််း
ြေံရလ က်ရှ ါ ည်။

PlugX ၏ စတင်ပ ျံ့နှံ့ပိုနင် အလိုပ်လိုပ်ပို

၂။ PlugX မ ြု်းကမ ာ်း ည် မူလအစတင် Phishing Mail မ ာ်းမှတဆင် စိတ်ဝင်စာားဖွယ်ရာ

Attachment ဖုငမ
် ာ်းအခနပဖင် ခရာက်ရှလာပြေင််းပဖစ်ပ ်း Email လက်ြေံရရှ ူ ည် အဆု ါ Attachment
ဖုင်ကု ဖင်မရာမှ Attachment တင် ါလာခ ာ အဖျက်အမ ာင်ကုဒ်မ ာ်းမှ စတင်အလု ်လု ်ပ ်း
ကန် ျူတာတင် ခပြေကု ်ယူ ါ ည်။ ထို့ုခနောက်ကန် ျူတာ ုို့ လာခရာက်ြေ တ်ဆက်ခ ာ Memory
Stick နှင် External Hard Disk က ုို့ခ ာ External Storage Devices မ ာ်းထံ ုို့ ကူ်းစက် ကာ
အပြော်းကန် ျူတာမ ာ်းထံ ုို့ ံွဲ့နှံို့ရန် ကကြု်းစာ်း ါ ည်။ PlugX သည် အင်တာနက်ချိတ်ဆက် ထာားမသာ
ကွန်ပျျူတာ ျာားထံ သတင်ားအချက်အလက် ျာားကို ခိုားယူရန် အထူားဖန်တားထာားမသာ Remote Access
Trojan ဖဖစ်ပါသည်။ Memory Stick က ခ
ုို့ ာ External Storage Devices မ ာ်းတင် PlugX
ကူ်းစက်ြေံထာ်းရလျှင် ိ ိတိုို့သိ ်ားဆည်ားထာားမသာ ဖိုင် ျာားအာားလံုား မပျာက်ဆံုားမန ည်ဖဖစ်ပပား ံု(၁) ါ
အတုင််း Shortcut ဖုင် (.lnk ဖုင်) တစ်ြေုတည််းကု ာ ခတွဲ့ပမင်ရမည် ပဖစ် ည်။ (မှတ်ချက်။ အချိ ျို့မသာ
PlugX ျိ ားကွွဲ ျာားတွင် Disk Icon အမယာင်မဆာင်ထာားမသာ .exe ဖိုင်တစ်ခုကိုသာ မတွျို့နိုငပ
် ါသည်။)

(ံု ၁) - PlugX RAT မှတုက်ြေုက်ပ ်းခ ာ Storage Device တင် Shortcut အခယာင်
ခဆာင်ထာ်းခ ာဖုငတ
် စ်ြေုတည််း ာ ခတွဲ့ပမင်ရ ံု

1
Copyright © Feb 8 2021, Myanmar Computer Emergency Response Team, mmCERT/cc
PlugX Removal Guide Version 1.2
Myanmar Computer Emergency Response Team

၃။ PlugX ကူ်းစက်ြေံထာ်းရခ ာ Memory Stick ကု ကန် ျူတာနှင်ြေ တ်ဆက်အ ံု်းပ ြု ည်အြေါ

၎င််း Shortcut ဖုင်ကုဖင်မ ါက ကန် ျူတာ၏ C:\ProgramData\AAM Updatesvlm Folder
ခအာက်တင် AAM Updates.exe၊ hex.dll နှင် adobeupdate.dat ဖုင(် ၃)ဖုင်ကု ဖန်တ်းမည်ပဖစ် ါ
ည်။ (ရှင်း် လင််းချက်။ PlugX Remote Access Trojan တွင် ဖိုင(် ၃)ဖိုင် အပ တ
ွဲ ွွဲပါမလရိပါသည်။ .exe
ဖိုင်သည် Adobe၊ Microsoft၊ SmadAV၊ Avast၊ ESET တိုို့ ထုတ်လပ
ု ်မရာင်ားချဖဖနို့်ချိမသာ
တရာားဝင်ပရိုဂရ ်ဖဖစ်ပါသည်။ .dll ဖိုင် ာ ၎င်ား .exe ဖိုင်နင်တွွဲဖက်အသံုားဖပ မသာ တရာားဝင် Dynamic
Link Library ဖိုင်ဖဖစ်ပပား ထိဖ
ု ိုင် တဆင် မနောက်ထပ် .dat ဖိုင်တစ်ခုအာားဖတ်ရှုနိုင်ရန် ဟက်ကာ ျာားက
ဖပ ဖပင်မရားသာားထာားပါသည်။ .dat ဖိုင်သည် Encrypt လုပ်ထာားမသာ အဖျက်အမ ာင်ကုဒ် ျာားပါသည်
ဖိုင်တစ်ဖင
ို ဖ် ဖစ်ပပား ၎င်ားဖိုငထ
် ွဲတွင် ဟက်ကာ ျာား၏ အ ိနို့မ
် ပားထိန်ားချ ပ်မရားဆာဗာနင်ပတ်သက်မသာ
အချက်အလက် ျာား၊ သတင်ားအချက်အလက် ျာားခိုားယူ ည် ကုဒ် ျာားပါဝင်ပါသည်။ (ဤလ ်ားညွှန်တွင်
ရင်ားလင်ားမဖာ်ဖပချက် ျာားသည် Adobe CEF Explorer အမယာင်မဆာင်ထာားမသာ PlugX ျိ ားကွွဲ ျာား
အတွက်သာဖဖစ်ပါသည်။)

၄။ AAM Updates.exe ဖိုင် ည် Symantec ဆုက်ဘာလံုခြေံြုခရ်းကုမပဏမှ Sign လု ်ထာ်းခ ာ

Adobe CEF Helper ပဖစ်ပ ်း ၎င််းဖုင်က DLL Hijacker ပဖစ်ခ ာ hex.dll ဖုင်ကုဖင်ကာ ၎င််းမှတဆင်
Encrypted လု ်ထာ်းခ ာ Payload ဖိုငပ် ဖစ် ည် adobeupdate.dat ကု ဖင်မည်ပဖစ် ါ ည်။ PlugX
ည် တုက်ြေုက်ြေံရခ ာ ကန် ျူတာမှ Microsoft Word ဖုင်မ ာ်း (.doc နှင် .docx)၊ Microsoft
Powerpoint ဖုင်မ ာ်း (.ppt, .pptx)၊ Microsoft Excel ဖုင်မ ာ်း (.xls, .xlsx) နှင် Adobe Acrobat ဖုင်မ ာ်း
(.pdf) တက
ုို့ ု ြေု်းယူကာ ၎င်ား၏အမနို့ခ
် ်းထန််းြေ ြု ်ခရ်းဆာဗာ (Command and Control Server) ထံ ုို့
တင််းအြေ က်အလက်မ ာ်းအာ်း ခ ်း ုို့ ါ ည်။ ထု ုို့ အမနို့ခ
် ်းထန််းြေ ြု ခ
် ရ်းဆာဗာမ ာ်းထံ ုို့ တင််း
အြေ က်အလက်မ ာ်းကု ြေု်းယူခ ်း ရ
ုို့ န်နှင် ၎င််း၏ အမနို့်ခ ်းထန််းြေ ြု ်ခရ်းဆာဗာမ ာ်းနှင် လတ်လ စ
် ာ
ဆက် ယ် နု င် ခစရန် အ တ က် Windows ၏ Firewall Setting မ ာ်းကု ပ င်ဆင် ါ ည်။

၅။ PlugX RAT ည် မ ြု်းကမ ာ်းမတူ ည်အလ ာက် ၎င််းတ၏

ုို့ အမနို့်ခ ်းထန််းြေ ြု ်ခရ်းဆာဗာမ ာ်း
ည် လ ည််း မတူည ခ ကာင််း ကုခတွဲ့ ရ ါ ည်။ ပမန်မာနုင်ငံအာ်း စ်မှ တ်ထာ်းတုက်ြေုက်ခ ာ PlugX
မ ြု်းက မ ာ်းအတ က် အမ နို့်ခ ်းထ န််း ြေ ြု ်ခရ်းဆာဗာမ ာ်းမှာ ခအာက် ါအတုင်း် ပဖစ် ါ ည်-

စဉ် PlugX ျိ ားကွွဲဖင

ို ် စတင်မတွျို့ရိရက် အ ိန်မ
ို့ ပားထိန်ားချ ပ်မရားဆာဗာ

၁ AAM Updates.exe (၁၀-၁၀-၂၀၁၉)၊ (၃-၁၂-၂၀၁၉)၊ 154.223.150.105

AcroRd32.exe (၁၃-၁၂-၂၀၁၉)၊ 42.99.117.95
AdobeUpdate.exe (၂၇-၁၂-၂၀၁၉)၊ (၁၀-၁-၂၀၂၀)၊ 45.134.83.41
AdobeHelp.exe (၁၅-၁-၂၀၂၀)၊ (၁၇-၁-၂၀၂၀)၊ 45.251.240.55
Explorer.exe (၁၀-၂-၂၀၂၀)၊ (၁၇-၂-၂၀၂၀) news.169mt.com
2
Copyright © Feb 8 2021, Myanmar Computer Emergency Response Team, mmCERT/cc
PlugX Removal Guide Version 1.2
Myanmar Computer Emergency Response Team

၂ Unsecapp.exe (၃-၃-၂၀၂၀) Antivirus ျာားက http_dll.dll ဖိင

ု ်
အာားဖျက်သွာားသဖဖင် C2 ဆာဗာကို
သိရိနုင
ိ ်ဖခင်ား ရိပါ။
၃ AdobeHelp.exe (၂၃-၆-၂၀၂၀) 45.248.87.162
Adobelm.exe
၄ SmadAv.exe (၅-၈-၂၀၂၀)၊ (၃-၉-၂၀၂၀) 43.254.217.165
Rzcef.exe (၂၅-၉-၂၀၂၀)
AdobePlay.exe
RzCefRenderProcess.exe
RzProcess.exe
၅ dbg.exe (၁၅-၁၂-၂၀၂၀) 160.20.147.254
Acrobat Read.exe
AdobeUpdat.exe

၆။ အထက်ခဖာ်ပ ါ C2C Server မှ တုက်ြေုက်ြေံရခ ာ ကန် ျူတာအာ်း ဝင်ခရာက် ကာ

Credential မ ာ်းအာ်း ြေု်းယူနုငပ် ြေင််း၊ Memory Stick မ ာ်းကု ကန် ျူတာတင် လာခရာက်တ ်ဆင် ါက
Encryption စနစ်ပဖင် ဝှက်ထာ်းခ ာ ဖုင်မ ာ်းကု Memory Stick ၏ RECYCLER.BIN Folder ခအာက်ရှ
CLSID နံ ါတ်ခ ်းထာ်းခ ာ Folder ခအာက်တင် မ််းဆည််းပြေင််း၊ တုက်ြေုက်ြေံရ ူ၏ ကန် ျူတာနှင်
တ် က်ခ ာ အြေ က်အလက်မ ာ်း၊ အ ံု်းပ ြုလ က်ရှခနခ ာ Port မ ာ်း၊ အလု ်လု ်ခနခ ာ Services
နှင် ရုဂရမ်မ ာ်းကု မှတ်တမ််းတင်ပြေင််းတက
ုို့ ု ပ ြုလု ် ါ ည်။

၇။ PlugX RAT ည် တုက်ြေုက်ပ ်းခ ာ ကန် ျူတာနှင် Storage Device မ ာ်းတင် Hidden
ဖုင်မ ာ်း၊ Hidden Folder မ ာ်းကု ဖန်တ်းပ ်း ကန် ျူတာတင် Background Process မ ာ်းအခနပဖင်
အလု ်လု ်ကာ တင််းအြေ က်အလက်မ ာ်းကု ြေု်းယူ ါ ည်။ ၎င််းမှ ဖန်တ်းထာ်းခ ာ Hidden ဖုငမ
် ာ်း၊
Hidden Folder မ ာ်းကု ခအာက် ါနမူနောခနရာမ ာ်းတင် ခတွဲ့ရှနုင် ါ ည်-

(က) C:\ProgramData\AAM Updatesvlm\

( ြေ ) C:\Users\[User Name]\AAM Updatesvlm\

(ဂ) [Storage Device's Logical Drive]\RECYCLER.BIN\ ( မ

ုို့ ဟုတ်)

[Storage Device's Logical Drive]\RECYCLERS.BIN\

(ဃ) HK Current User\Software\Microsoft\Windows\Current Version\Run

(Registry တင် Persistent အပဖစ် တ်မှတ်ပြေင််း)

3
Copyright © Feb 8 2021, Myanmar Computer Emergency Response Team, mmCERT/cc
PlugX Removal Guide Version 1.2
Myanmar Computer Emergency Response Team

၈။ အကယ်၍ အင်တာနက်မှတဆင် C2 ဆာဗာ ုို့ ြေ တ်ဆက်၍မရြေလျှင် ၎င််းတုို့ြေု်းယူမည်

ဖုင်မ ာ်းကု Memory Stick က ုို့ခ ာ External Storage Devices မ ာ်း၏ RECYCLER.BIN
( ုို့မဟုတ်) RECYCLERS.BIN folder ခအာက်တင် မ််းဆည််းမည်ပဖစ် ါ ည်။ ြေု်းယူထာ်းခ ာ
ဖုင်မ ာ်းကု CLSID တန်ဖု်းမ ာ်းပဖင် တည်ခဆာက်ထာ်းခ ာ Folder ခအာက်တင် ဖက်၍ မ််းဆည််းမည်
ပဖစ် ါ ည်။ ၎င််းဖုငမ
် ာ်းကု Command Prompt မှ ခြေေါ်ယူ၍ ာ ကည်နုငမ
် ည် ပဖစ် ါ ည်။ ံု(၂)။

ံု(၂) - တုက်ြေုက်မည် PlugX ဖုင် ည် External Storage Device ၏ RECYCER.BIN\ ခအာက်တင်

explorer.exe ( မ
ုို့ ဟုတ်) AAMupdates.exe အခနပဖင် ုန််းခအာင််းခနမည်ပဖစ် ါ ည်။

PlugX RAT မ ှား ွဲမ ှား၏ ကယဘိုယ လ ခဏ မ ှား

၉။ PlugX RAT ည် မ ြု်းကတစ်ြေုနှင်တစ်ြေုအခ ေါ်မူတည်၍ ဖိုငအ

် ည်မ ာ်း မတူညခ ာ်လည််း
ခအာက် ါ ဖုငအ
် မ ြု်းအစာ်း(၃)ြေုကု အပိုဒ်(၆)တွင် မဖာ်ဖပခွဲသည်မနရာ ျာား၏ Folder တစ်ြေုြေ င််းစ
ခအာက်တင် ဖန်တ်း ါ ည်-

(က) တရာ်းဝင် Signed လု ်ထာ်းခ ာဖုင် (ဥ မာ- AAM Update.exe)၊

( ြေ ) Signed လု ်ထာ်းခ ာဖုငမ

် ှ ခြေေါ်ယူအ ံု်းပ ြု ည် DLL ဖုင် (ဥ မာ- hex.dll)၊

(ဂ) Dll ဖုင်မှ ခြေေါ်ယူအ ံု်းပ ြုမည် အနတရာယ်ရှခ ာ ကုေ်မ ာ်း ါဝင် ည် binary (payload)
ဖုင် (ဥပ ာ- Adobeupdate.dat)။

၁၀။ အမ ြု်း ာ်းဆုက်ဘာလံုခြေံြုခရ်းဗဟုဌာန၏ Malware Analysis စစ်ခဆ်းြေ က်မ ာ်းအရ ခဖာ်ပ ါ

PlugX RAT မ ြု်းကမ ာ်းအာ်း ခအာက် ါ Registry ခနရာမ ာ်းတင်ရှခ ကာင််းစစ်ခဆ်းခတွဲ့ရှရ ါ ည်-

PlugX Sign Registry တင် Persistent ထ ှားရကသ

Dll ဖိုင် Payload ဖိုင်
မ ှား ွဲမ ှား လိုပ်ထ ှားကသ ဖိုင် အမည်နင် တည်ကနရ

4
Copyright © Feb 8 2021, Myanmar Computer Emergency Response Team, mmCERT/cc
PlugX Removal Guide Version 1.2
Myanmar Computer Emergency Response Team

Adobe CEF AAMUpdate.exe hex.dll Adobeupdate. HKEY_CURRENT_USER\Software\Micr

Helper dat osoft\Windows\CurrentVersion\Run
(AAM Updatevlm)

ESET HTTP unsecapp.exe http_dll.dll http_dll.dat HKEY_CURRENT_USER\Software\Micr

Server osoft\Windows\CurrentVersion\Run
Service (Microsoft Malware ProtectionbOr)

Smadav Smadav.exe SmadHook3 smadavupdate HKEY_CURRENT_USER\Software\Micr

Whitelisting 2c.dll .dat osoft\Windows\CurrentVersion\Run
Protection (SmadavIUe)

Razar RzCef.exe RzLog4CPP_ volenum.dat HKEY_CURRENT_USER\Software\Micr

Chromium Logger.dll osoft\Windows\CurrentVersion\Run
Render (RzCefcqf)
Process

Razar RzCefRenderPr RzLog4CPP_ adobeupdates. HKEY_CURRENT_USER\Software\Micr

Chromium ocess.exe Logger.dll dat osoft\Windows\CurrentVersion\Run
Render (xxxx)
Process

Razar RzProcess.exe RzLog4CPP_ RzLogger.dat xxx

Chromium Logger.dll
Render
Process

x64dbg dbg.exe x32bridge.dll USB.dat xx

၁၁။ PlugX RAT ည် ကန် ျူတာဖင်တုင်း် တင် အပမတမ််းအလု ်လု ်နုင်ရန်အတက် Windows
Registry တင်ဝင်ခရ်း လု ရုဂရမ်အာ်း တ်ြေလျှင် င် ဆယ်မနစ်တစ်ကကမ် အလု ်လု ်နုင်ရန်
အတက် Scheduled Task တစ်ြေုကုလည််း ဖန်တ်း ါ ည်။ ံု(၃)။

5
Copyright © Feb 8 2021, Myanmar Computer Emergency Response Team, mmCERT/cc
PlugX Removal Guide Version 1.2
Myanmar Computer Emergency Response Team

ံု(၃) - PlugX ည် ကန် ျူတာတင် ဆယ်မနစ်တစ်ကကမ်အလု ်လု ်နုင်ရန်အတင် Scheduled Task

ဖန်တ်းထာ်း ံု

PlugX RAT အ ှား တို ်ခို ်ခထ ှားရကသ န်ပ ျူတ မ ရင်ှားလင်ှားဖယ်ရ ှားခခင်ှား

၁၂။ PlugX RAT တုက်ြေုက်ြေံထာ်းရခ ာ ကန် ျူတာမှ PlugX RAT အာ်း ရှင််းလင််း ံုအဆင်အဆင်မှာ
ခအာက် ါအတုင်း် ပဖစ် ါ ည်-

(က) ထမဦ်းစာ ံု(၃) ါအတုင်း် မမကန် ျူတာတင် အလု ်လု ်လ က်ရှခနခ ာ PlugX RAT
၏ Process (AAM Updates.exe) ကု Task Manager မှ End Process Tree လု ် ါ။

(ံု ၄) - Task Manager တင် အလု ်လု ်လ က်ရှခ ာ PlugX RAT ၏ Process အာ်း
ရ ်ဆုင််းပြေင််း

(ြေ) PlugX RAT ည် တုက်ြေုက်ြေံရခ ာကန် ျူတာတင် ခပြေကု ်ရယူရန် (ံု ၅)တင် ခဖာ်ပ
ထာ်းခ ာခနရာ၌ ဖုင(် ၃)ဖုငက
် ု ဖန်တ်း ည်အတက် C:\ProgramData\AAM
Updatevlm Folder ခအာက်ရှ AAM Update.exe၊ hex.dll နှင် adobeupdate.dat
ဖုင်မ ာ်းကု ဖ က်ရမည်။

(ံု ၅) - C:\ProgramData\ folder ခအာက်တင် PlugX RAT မှ ဖန်တ်းထာ်းခ ာ ဖုငမ

် ာ်း

(ဂ) အြေ ြုွဲ့ PlugX RAT မ ြု်းကမ ာ်း ည် (ံု ၆)တင်ခဖာ်ပ ထာ်း ည်အတုင်း် C:\Users\All
Users\AAM Updatevlm Folder တင်လည််း ၎င််း၏ဖုင်(၃)ြေုအာ်း ဖန်တ်းထာ်းရှ ည်ကု
ခတွဲ့ရ ည်အတက် ၎င််း Location ခအာက်တင်ရှခ ာ AAM Update.exe၊ hex.dll နှင်
adobeupdate.dat ဖုင်မ ာ်းကုလည််း ဖ က်ခ ်းရမည်။

6
Copyright © Feb 8 2021, Myanmar Computer Emergency Response Team, mmCERT/cc
PlugX Removal Guide Version 1.2
Myanmar Computer Emergency Response Team

(ံု ၆) - C:\Users\All Users\AAM Updatevlm Folder ခအာက်တင် PlugX RAT မှ

ဖန်တ်းထာ်းခ ာ ဖုင်မ ာ်း

(ဃ) PlugX RAT ည် ကန် ျူတာထတင် အပမတမ််းအလု ်လု ်ခနခစရန် အတက် Registry
ထရှ HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Run\
ခအာက်တင် AAM Updatevlm အမည်နှင် ဖန်တ်းထာ်း ည်ကု ခတွဲ့ရမည်ပဖစ်ပ ်း
၎င််းကုလည််း ဖ က်ခ ်းရန် လအ
ု ် ါ ည်။

(ံု ၇) - Registry ခအာက်တင် အပမအလု ်လု ်ရန်အတက် PlugX RAT မှ Run Key ဖန်တ်းထာ်း ံု

(င) ြေု်းယူမည်ဖုငမ
် ာ်းကု C:\Users\[UserName]\AppData\Roaming\Intel\[CLSID] ခအာက်တင်
မ််းထာ်းပြေင််းပဖစ် ပဖင် ၎င််း Folder ကုလည််း ဖ က်ခ ်းရန်လုအ ် ါ ည်။ (မှတ်ချက်။
အချိ ျို့မသာ ျိ ားကွွဲ ျာားတွင် ူ အဖခာားအ ည် ဖဖစ်မနနိုငပ
် ါသည်။ ဥပ ာ - rzcef.exe ဖိုင်၌
Render ဆိုမသာ Folder အ ည်ကို အသံုားဖပ ပါသည်။)

(ံု ၈) - တုက်ြေုက်ြေံထာ်းရခ ာကန် ျူတာမှ ခေတာမ ာ်းကု C2C Server ခ

ုို့ ်း ရ
ုို့ န်
ယာယထာ်းရှထာ်းခ ာမနရာ

7
Copyright © Feb 8 2021, Myanmar Computer Emergency Response Team, mmCERT/cc
PlugX Removal Guide Version 1.2
Myanmar Computer Emergency Response Team

PlugX RAT အ ှား တို ်ခို ်ခထ ှားရကသ Storage Devices မ ှားမ ရင်ှားလင်ှားဖယ်ရ ှားခခင်ှား

၁၃။ PlugX RAT ည် တုက်ြေုက်ြေံရခ ာကန် ျူတာမှ C2C Server ထံ ုို့ အင်တာနက်မှတဆင်
ြေ တ်ဆက်၍မရြေလျှင် ၎င််းတြေ
ုို့ ု်းယူမည်ဖုင်မ ာ်းကု Memory Stick က ခ
ုို့ ာ External Media မ ာ်း၏
RECYCLER.BIN ( ုို့မဟုတ်) RECYCLERS.BIN Folder ခအာက်တင် မ််းဆည််းမည်ပဖစ်ပ ်း C2C
Server နှင် ြေ တ်ဆက်မ ည်အြေါတင်မှ ခေတာမ ာ်းကု ခ ်း မ
ုို့ ည်ပဖစ် ည်။ PlugX RAT အာ်း
တုက်ြေုက်ြေံရခ ာ Storage Device မ ာ်းမှ ဖယ်ရှာ်းရန်အတက် (ံု ၉)တင်ပ ထာ်း ည် Location တင်
ာ်းခရာက်ဖ က်ခ ်းရမည်ပဖစ် ည်။

(ံု ၉) - Storage Device မ ာ်းအတင််းတင် PlugX RAT မှ ဖန်တ်းထာ်းရှခ ာ ဖုင်မ ာ်း

၁၄။ တုက်ြေုက်ြေံထာ်းရခ ာ Storage Device မ ာ်းမှ PlugX RAT အာ်း ဖယ်ရှာ်း ံုအဆင်ဆင်မှာ
ခအာက် ါအတုင်း် ပဖစ် ါ ည်-

(က) Windows ၏ Run Box မှတဆင် Command Prompt (cmd.exe) ကု ခြေေါ်ယူကာ

မမကန် ျူတာက တ ်ဆင်အ ံု်းပ ြုထာ်းခ ာ Storage Device အတက် ခဖာ်ပ
ခ ်းခ ာ Drive အတင််း ို့ု ဝင်ခရာက် ါ။ (ပံု(၁၀)တွင် ကကည်ရှုနိုင်ပါသည်။)

(ြေ) ထို့ခ
ု နောက် “dir/a” Command ကုအ ံု်းပ ြုကာ Storage Device အတင််းတင်
မည် ည် Folder မ ာ်း ရှ ည်ကု စစ်ခဆ်း ါ။ ထု ုို့ စစ်ခဆ်းရာတင် RECYCLER.BIN
( ုို့မဟုတ်) RECYCLERS.BIN ကု ခတွဲ့ရှ ါက ၎င််း Storage Device ည် PlugX RAT
တုက်ြေုက်ြေံထာ်းရပ ်း ပဖစ် ါ ည်။

8
Copyright © Feb 8 2021, Myanmar Computer Emergency Response Team, mmCERT/cc
PlugX Removal Guide Version 1.2
Myanmar Computer Emergency Response Team

(ံု ၁၀) - PlugX RAT တုက်ြေုက်ြေံထာ်းရခ ာ Storage Device တင် RECYCLERS.BIN Folder
အာ်း ပမင်ခတွဲ့ရ ံု

(ဂ) “cd RECYCLERS.BIN” Command ကုအ ံု်းပ ြု၍ RECYCLERS.BIN ( ုို့မဟုတ်)

RECYCLER.BIN အတင််း ဝ
ုို့ င်ခရာက်ကာ “dir/a” Command ကု အ ံု်းပ ြုပ ်း Folder
အတင််းရှ ဖုင်မ ာ်းကု စစ်ခဆ်း ါ။ ထု စ
ုို့ စ်ခဆ်းရာတင် ံု(၁၁)တင် ခဖာ်ပ ထာ်း ည်
အတုင််း AdobeUpdate.exe ( မ
ုို့ ဟုတ်) အြေ ြုွဲ့မ ြု်းကမ ာ်းတင် explorer.exe၊ hex.dll
နှင် adobeupdate.dat ဖုငတ
် က
ုို့ ု ခတွဲ့ရမည်ပဖစ် ည်။ ထု ခ
ုို့ တွဲ့ရှရ ါက Command
Prompt မှ “del *.*” Command ကု အ ံု်းပ ြု၍ ဖုင်မ ာ်းအာ်းလ်းံု ကု ဖ က်ခ ်းရမည်။ “del
*.*” Command နှင် ဖုင်မ ာ်းကု ဖ က် ည်အြေါ ဖုင်မ ာ်းကု ဖ က်၊ မဖ က် Are you sure
(Y/N)? ဟုခမ်းလျှင် “y” ကုခရ်းြေ ယ်ပ ်း ဖ က်ခ ်းရမည်။ ပ ်းလျှင် ဖုင်မ ာ်းက န်ရှခနပြေင််း
မရှခစရန် “dir/a” command ကု အ ံု်းပ ြု၍ ဖပန်လည်စစ်ခဆ်းခ ်းရန် လုအ ် ါ ည်။

(ံု ၁၁) - RECYCLERS.BIN အတင််းရှ PlugX RAT မှ ဖန်တ်းထာ်းခ ာ

ဖုင်မ ာ်းဖ က် ံုအဆင်ဆင်

9
Copyright © Feb 8 2021, Myanmar Computer Emergency Response Team, mmCERT/cc
PlugX Removal Guide Version 1.2
Myanmar Computer Emergency Response Team

(ဃ) အကယ်၍ C2C Server ုို့ြေ တ်ဆက်နုငပ် ြေင််းမရှခ ်းလျှင် တုက်ြေုက်ြေံထာ်းရခ ာ Storage
Device မ ာ်းတ င် ြေု်းယူ ထာ်းခ ာဖု င် မ ာ်းကု ံု(၁၂) ါအတုင်း် Folder တစ်ြေု
တည်ခဆာက် ၍ မ််းဆည််းထာ်းပြေင််း ကု ခတွဲ့ရမည်ပဖစ်ပ ်း အဆု ါဖုငမ
် ာ်းကု ဖ က် စ်
ရန် “del foldername” Command ကု အ ံု်းပ ြုရမည်။

(ံု ၁၂) - ခိုားယူ ည်မဒတာ ျာားကို 7E6A6672ED364119 Folder တွင် ယာယသိ ်ားဆည်ားထာားပံု

PlugX RAT တို ်ခို ်မခရကအ င် ယ်ခခင်ှား

၁၅။ PlugX RAT တိုက်ခိုက် ှု ခံရမရားအတွက် မအာက်ပါအတိုငား် လိက

ု ်နောမဆာင်ရွက်သင်ပါသည်-

(က) ိ ိ သိရိမသာသူ ျာား မပားပိုမ

ို့ သာ ည်သည်ဖိုင်ကို ဆိ၊ု Link ျာားကို ဆို စစ်မဆားဘွဲ
အလွယ်တကူဖွင် ကကည်ရန်။

(ခ) ိ ိသိရိမသာသူ မပားပိမ

ုို့ သာမ ားလ်ဖဖစ်ခွဲလျှင် ည်သည်အမကကာင်ားမကကာင် ထိုမ ားလ်ကို
လက်ခံရရိသည်ကို မဝခွွဲ ရသည်အခါတွင် မပားပိုို့သူအာား မသချာမအာင် မ ားဖ န်ားပပား သာ
မ ားလ်အာားဖွင်ကကည်ရန်။

(ဂ) သကကာဖွယ်မ ားလ် ျာား လက်ခံရရိပါက ထိမ

ု ားလ် ျာားအာား အဖခာားသူ ျာားထံ Forward
လုပ်ဖခင်ား ျာား လုပ်ဘွဲ mmCERT သိမ
ုို့ ပားပိ၍
ုို့ တိုငက် ကာားရန်။

(ဃ) ယံု ကကည်ရမသာ Website ျာား ပရိ ုဂရ ် ျာား၊ ဖို င ် ျာား Download လု ပ် ရာတွ င်
Virustotal (www.virustotal.com) ကွဲ သိ ု ို့ Website ျာားတွင ် မသချာမအာင်
စစ်မဆားပပား ဖွင်ကကည်ရန်။

( င) Microsoft Word ဖိုင်အဖဖစ် မပားပိလ

ုို့ ာမသာဖိုင် ျာားအာား Mircosoft Word ဖိုင် ဟုတ်၊
ဟုတ် Notepad ဖဖင် စစ်မဆားရန်။

( စ) Memory Stick ထွဲရိ ဖိုင် ျာားကို ဖွင်ရာတွင် ပရိုဂရ ်ဖုင

ိ ် ျာားပါရိပါက စစ်မဆားပပား သာ
ဖွင်ကကည်ရန်။ Shortcut ဖိုင် ျာားကို ဖွင် ကကည်ရန်။

10
Copyright © Feb 8 2021, Myanmar Computer Emergency Response Team, mmCERT/cc
PlugX Removal Guide Version 1.2
Myanmar Computer Emergency Response Team

(ဆ) ိ တ
ိ ၏
ိုို့ Microsoft Windows၊ Microsoft Office ပရိုဂရ ် ျာားနင် Anti-virus
ပရိုဂရ ် ျာားကို မနောက်ဆံုားအမဖခအမနအထိ Update ဖပ လုပ်ပပား Anti-virus အာား
ည်သည်အမကကာင်ားမကကာင်ားဖဖင် ျှ ပိတ်ရန်။

၁၆။ PlugX RAT တိုက်ခိုက်ခံရ ှုနင်ပတ်သက်၍ အမသားစိတ်မ ားဖ န်ားလိုပါက ၀၆၇-၃၄၂၂၂၇၂ သိုို့
ဖုန ်ား ဆက် မ ားဖ န်ား နို င ်ပပ ား တို က် ခ ို က် ခ ံ ထ ာားရမသာ ကွန ် ပျျူတာ ျာားကို စစ်မ ဆားခံ လို ပ ါက
အ ျိ ားသာားဆိုက်ဘာလံခု ခံ မရားဗဟိုဌာန၊ S12 Exchange Building၊ ဇ ္ျူျို့ကျက်သမရလ ်ား၊ ဇ ္ျူသရိ
ပ ိ ျို့နယ်တွင် လာမရာက်စစ်မဆားနိုငပ
် ါမကကာင်ား အသိမပားအပ်ပါသည်။

မမန်မာနိုင်ငက
ံ ွန်ပျျူတာအရရ်းရပေါ်တံိုုံ့မပန်ရရ်းအဖွွဲ့ (mmCERT/cc)

Reference

https://cyware.com/news/plugx-rat-the-tale-of-the-rat-that-has-been-used-in-various-
cyber-espionage-campaigns-7aabe7b2

https://insights.oem.avira.com/new-wave-of-plugx-targets-hong-kong/

https://www.trendmicro.com/vinfo/us/threat-encyclopedia/web-attack/112/pulling-the-
plug-on-plugx

Indicators of Compromise (IOCs)

File Name MD5 Value

adobeupdate.dat 38baabddffb1d732a05ffa2c70331e21, cf3eca063449eb5b3aa5b5e33b13ebd4,
8cedb5d84b80d76d281a768487ab913c, e21e8f398c6d61ae8335664b1ad0444f,
11a9f4e43fcf839c2d5c4bba0b1d98c5, 70e8898810ac014a3820e6579519bee5,
0e2c8d92d63e33eb26ccbcef12694855, 1557d751b7a760a39ec743e27ad2af58,
bb705766d736447b1dc8f720d5a9388b, 6c08a93af10d065551c6078911e064c1
461fefae3ea10d82cd2c76e257622c67
adobehelp.exe c43de22826a424b2d24cf1b4b694ce07, f26179d65b42720b2a4984d717c309de
hex.dll 21ae18f2fc557e2751840bc517eaf8b5, 041415cdc204f8efa12e01581205dec1,
43529e54971a2302ae736c40f39d65df, c33d3d6970dbb19062ae09505a6eb376,

11
Copyright © Feb 8 2021, Myanmar Computer Emergency Response Team, mmCERT/cc
PlugX Removal Guide Version 1.2
Myanmar Computer Emergency Response Team

60a4cd6356aa47d507bc41ea59074f7a, 8166372d3aace7f9965f0a57fa03fc4e
4c36ab90a5f74df2c37e7ad029d52ece
volenum.dat 798810d4ab0637916e699eeeffb393db
wmiav.exe e0d96cb8e6e6e40f5ef3c70cc4aab69a
RzLog4CPP_Logger.dll 5afa942f967ec2952b1ae295f3de8230
smadavupdate.dat 504a73639a7868ed8576ea3cbafc0239
smadav.exe ab5d85079e299ac49fcc9f12516243de
SmadHook32c.dll fc55344597d540453326d94eb673e750
adobeupdates.dat aa59340b2be14c4d9d4eb69329729b7b
AdobePlay.exe 440277d0c826aba62ba95d65a67c4aa7
RzLog4CPP_Logger.dll 29ed39c6e66a8882fb8571db34473c4e
Rzlogger.dat 747bce4a7891a9e186ccd80ce6e196a5
RzProcess.exe ea7f5b7fdb1e637e4e73f6bf43dcf090
RzLog4CPP_Logger.dll ed9372ec28556ff71efd4810a0a3ac6e
USB.dat 089f71fb66a4bd2a158e34a130635f68
dbg.exe 18315184dc464bbad1f202306c055d1e
x32bridge.dll 8fa9dec74b1a6ef999bd31bd3bce1027

ထုတ်မဝဖခင်ား

၁။ ပထ အကကိ ်ထုတ်မဝဖခင်ား (၂၀၁၉ ခုနစ်၊ ဇွန်လ ၉ ရက်)

၂။ ဒုတိယအကကိ ်ဖဖည်စွက်ထုတ်မဝဖခင်ား (၂၀၂၀ ဖပည်နစ်၊ ဒဇင်ဘာလ ၃၀ ရက်)

12
Copyright © Feb 8 2021, Myanmar Computer Emergency Response Team, mmCERT/cc