調べたら海外では本件のマルウェアが25日から始めたが日本に来るのは2日間が遅れた。
メールの形は下記のスナップショットとなります、
URLをクイックしてしまうと悪戯javascriptが動いて(何時ものdeobfusticatedの奴なので今回javascriptの部分の説明をしません)、裏でマルウェアサイトからマルウェアがダウンロードしてしまう、下記wgetでダウンロードして見たsナップショット↓
ダウンロードが出来たバイナリーは下記様なアイコンの物です↓
因みにファイルサイズ:318464 bytes、MD5は:15d893947ad3e3754e1874e9b0bd3773
気になって、色々ハックしました、先ずはバイナリーeditor↓
これでPE32フォアMS Windows (GUI) Intel 80386 32-bitの物が分かった、それで、バイナリーキャップチャーで動かしてみよう↓
↑この位システムのモジュールをコールされています
後は動かしながらハンドールとメモリーSTACK情報を見ていた↓
※ハンドール↓
※FPU↓
試してみてPerfx情報とクロスしたら、下記のファイルシステムには出た↓
これ以上は自分のパソコンには危険しすぐので、プロセスを止めて、周りレポートを確認した、数はvirustotalに送ったら下記の結果が出た(URLなので、クロックして下さい)↓
※今の時間ではSun Feb 27 17:52:10 JST 2011ですが下記のAVメーカが未だ検知で出来ていないみたい↓
Avast,F-Secure,Fprot,ClamAV,Commtouch,Ikarus,K-7, Panda, Nprotect, TrendMicro.
(↑ゲートウェイ製品が持っているメーカーがあります、注意して下さい)
追加情報、このマルウェアがWindowsシステムのポップアップでFakeウイルスアラートが出せます、ダウンロード仕組みはトロイDropper(ドロッパー)からマルウェアサイトに向いてダウンロードしてしまう仕組みです。
オリジンではUSAと南アフリカかと思われます。
---
ゼロデイ・ジャパン
http://0day.jp
マルウェア研究所
Tweet
0 件のコメント:
コメントを投稿