日曜日, 4月 17, 2011

【マルウェア警告】日本国内ネットワークにあるトロイ・バックドアマルウェアのダウンロードURLが発見しました【対応済み】


マルウェア種類はWindowsOS経由トロイ・バックドアのマルウェアです。
Dephiでコンパイルされた物で、感染されたページにあるバイナリーはPE32種類です。
本件のマルウェアが実行されたらWindowsシステムにある正しいプログラムを使われてバックドアのプロセスが始まります。
このブログを書いた時にも本件のマルウェアが未だアップされていますので、緊急にフォローが欲しいです、レスポンスが遅いからここで書きました。確認の為に気をつけて下さい。

詳しい調査情報は下記となります。

---------------------------------
第一、対応履歴
---------------------------------

2011年4月15日 K-PROXウェブフィルター製品で「疑わしい」アラートが出ました、対策AVメーカーとサンプルサイトに登録しました
2011年4月16日 マルウェア確認、発見日
2011年4月16日 Malcodeデータベースに登録確認を取りました
2011年4月17日 0DAY.JPマルウェア研究所に確認しました
2011年4月17日 0DAY.JPのブログでレポート作成しました
2011年4月17日 ISPにレポートしました、JPCERT/CCに報告しました
2011年4月17日 20:42 サイトに書いた連絡先に電話して伝言をいれました。20:47:56に未だダウンロードが出来ています。
2011年4月18日 06:30< ダウンロードURLが止めてくれました


---------------------------------
第二、マルウェアソース情報
---------------------------------

1. 感染ソースは下記のウェブ情報となります↓
hxxp://www.wangzhu.jp/content/sys/windowsultimate.exe
現状(Sun Apr 17 19:36:48 JST 2011)は「UP&ALIVE!」↓
URL Status Content Type
http://..../sys/windowsultimate.e x e 200 application/x-dosexec
(PE32 executable for MS Windows (GUI) Intel 80386 32-bit)

2. ネットワーク情報↓
ASN : 9371場所:日本
[登録者名] 王 柱
[Registrant] wangzhu
[Name Server] wangzhu.sakura.ne.jp
[Name Server] ns2.dns.ne.jp
[登録年月日] 2010/05/17
[有効期限] 2011/05/31
[状態] Active
[最終更新] 2010/05/20 21:50:49 (JST)
Contact Information: [公開連絡窓口]
[名前] さくらインターネットドメイン登録
[Name] SAKURA Internet Domain Registration
[Email] jprs-staff@sakura.ad.jp
 :(などなど)
 :


---------------------------------
第三、マルウェアの証明情報
---------------------------------

1. オンライン・スキャン結果↓

2. マルウェア説明↓
何故か本件のバイナリーマルウェアかと?動き敵にあやしいです、実行したらIEのセキュリティ設定を先に弄られて、その後には悪戯コマンドでdwwin.exeとdrwtsn32.exeを実行されてしまいます。
マルウェアの証明に付いて判断の原因は下記の動きが見えています↓
・foreignメモリーエーリアに書き込み発見、続いて他のバイナリー実行コマンド発見
・ウイルス対策ソフトにスキャンしたら「疑わしい」又は(Trojan.Backdoor.Win32)のマルウェア検知結果が出た
・実行したら真面目に閉じないようにコードで見えます
・Windows Registryを書き込み発見、システムファイルにコピー行動も発見
・IEセキュリティ設定を変更する動きも発見
・システムファイルの変更動き発見
・裏で新しいWindowsプロセスを作る動きも発見

3. サンプルファイル情報↓
形:PE32 executable for MS Windows (GUI)
MD5: f9a3210b241c2235636bd65de16d76e5
SHA-1: e3cc4b65d143e8ccd523ea54effffc988086e34b
File Size: 451584 Bytes

4. ロードタイムDLL一覧↓
Module Name: [ C:\WINDOWS\system32\ntdll.dll ],
Base Address: [0x7C900000 ], Size: [0x000AF000 ]
Module Name: [ C:\WINDOWS\system32\kernel32.dll ],
Base Address: [0x7C800000 ], Size: [0x000F6000 ]
Module Name: [ C:\WINDOWS\system32\user32.dll ],
Base Address: [0x7E410000 ], Size: [0x00091000 ]
Module Name: [ C:\WINDOWS\system32\GDI32.dll ],
Base Address: [0x77F10000 ], Size: [0x00049000 ]
Module Name: [ C:\WINDOWS\system32\advapi32.dll ],
Base Address: [0x77DD0000 ], Size: [0x0009B000 ]
Module Name: [ C:\WINDOWS\system32\RPCRT4.dll ],
Base Address: [0x77E70000 ], Size: [0x00092000 ]
Module Name: [ C:\WINDOWS\system32\Secur32.dll ],
Base Address: [0x77FE0000 ], Size: [0x00011000 ]
Module Name: [ C:\WINDOWS\system32\oleaut32.dll ],
Base Address: [0x77120000 ], Size: [0x0008B000 ]
Module Name: [ C:\WINDOWS\system32\msvcrt.dll ],
Base Address: [0x77C10000 ], Size: [0x00058000 ]
Module Name: [ C:\WINDOWS\system32\ole32.dll ],
Base Address: [0x774E0000 ], Size: [0x0013D000 ]
Module Name: [ C:\WINDOWS\system32\shell32.dll ],
Base Address: [0x7C9C0000 ], Size: [0x00817000 ]
Module Name: [ C:\WINDOWS\system32\SHLWAPI.dll ],
Base Address: [0x77F60000 ], Size: [0x00076000 ]
Module Name: [ C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll ],
Base Address: [0x773D0000 ], Size: [0x00103000 ]
Module Name: [ C:\WINDOWS\system32\comctl32.dll ],
Base Address: [0x5D090000 ], Size: [0x0009A000 ]

5. ランタイムDLL一覧↓
Module Name: [ C:\WINDOWS\system32\xpsp2res.dll ],
Base Address: [0x01100000 ], Size: [0x002C5000 ]
Module Name: [ C:\WINDOWS\system32\NETAPI32.dll ],
Base Address: [0x5B860000 ], Size: [0x00055000 ]
Module Name: [ C:\WINDOWS\system32\rsaenh.dll ],
Base Address: [0x68000000 ], Size: [0x00036000 ]
Module Name: [ C:\WINDOWS\system32\faultrep.dll ],
Base Address: [0x69450000 ], Size: [0x00016000 ]
Module Name: [ C:\WINDOWS\system32\WINSTA.dll ],
Base Address: [0x76360000 ], Size: [0x00010000 ]
Module Name: [ C:\WINDOWS\system32\USERENV.dll ],
Base Address: [0x769C0000 ], Size: [0x000B4000 ]
Module Name: [ C:\WINDOWS\system32\wintrust.dll ],
Base Address: [0x76C30000 ], Size: [0x0002E000 ]
Module Name: [ C:\WINDOWS\system32\IMAGEHLP.dll ],
Base Address: [0x76C90000 ], Size: [0x00028000 ]
Module Name: [ C:\WINDOWS\system32\WTSAPI32.dll ],
Base Address: [0x76F50000 ], Size: [0x00008000 ]
Module Name: [ C:\WINDOWS\system32\SETUPAPI.dll ],
Base Address: [0x77920000 ], Size: [0x000F3000 ]
Module Name: [ C:\WINDOWS\system32\CRYPT32.dll ],
Base Address: [0x77A80000 ], Size: [0x00095000 ]
Module Name: [ C:\WINDOWS\system32\MSASN1.dll ],
Base Address: [0x77B20000 ], Size: [0x00012000 ]
Module Name: [ C:\WINDOWS\system32\apphelp.dll ],
Base Address: [0x77B40000 ], Size: [0x00022000 ]
Module Name: [ C:\WINDOWS\system32\VERSION.dll ],
Base Address: [0x77C00000 ], Size: [0x00008000 ]

6. レジストリー変更情報↓
 ごめんなさい、テキストが長いのでここでダウンロードどうぞ。

7. 作ったファイル↓
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\cca9_appcompat.txt

8. 読み込みファイル↓
C:\WINDOWS\system32\rsaenh.dll
C:\WINDOWS\system32\winsock.dll
PIPE\lsarpc

9. メモリーでのマップファイル↓
C:\場なりー名.exe
C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll
C:\WINDOWS\WindowsShell.Manifest
C:\WINDOWS\system32\Apphelp.dll
C:\WINDOWS\system32\SETUPAPI.dll
C:\WINDOWS\system32\WINSTA.dll
C:\WINDOWS\system32\WTSAPI32.dll
C:\WINDOWS\system32\advapi32.dll
C:\WINDOWS\system32\apphelp.dll
C:\WINDOWS\system32\comctl32.dll
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\dwwin.exe
C:\WINDOWS\system32\faultrep.dll
C:\WINDOWS\system32\gdi32.dll ]
C:\WINDOWS\system32\kernel32.dll
C:\WINDOWS\system32\ntdll.dll
C:\WINDOWS\system32\ole32.dll
C:\WINDOWS\system32\oleaut32.dl]
C:\WINDOWS\system32\rsaenh.dll
C:\WINDOWS\system32\shell32.dll
C:\WINDOWS\system32\user32.dll
C:\WINDOWS\system32\wininet.dll
C:\WINDOWS\system32\winsock.dll
C:\WINDOWS\system32\xpsp2res.dll
C:\Windows\AppPatch\sysmain.sdb

10. 新しい作ったプロセス↓
C:\WINDOWS\system32\dwwin.exe -x -s 236
C:\WINDOWS\system32\drwtsn32 -p 1196 -e 192 -g


警告の内容以上

------------------------------------------
第四 追加/アップデート情報
------------------------------------------

1. 2011/04/17 20:33現状は、未だ誰からも行動が起こさないみたいで、下記のようにマルウェアのダウンロードが未だ出来ています。履歴に書いたように、あちこちに警告を投げたが、やならきゃ行け無い事が一つだけしな無いので直接私からサイトの管理者に電話します。wangzhu.jpの情報で電話します。履歴をアップデートします。
>date/t
2011/04/17
>time/t
20:33
>wget hxxp://xxx.wangzhu.jp/oshienaiyo!/content/sys/windowsu
mate.exe
--20:33:40-- hxxp://xxx.wangzhu.jp/oshienaiyo!/content/sys/windowsu
mate.exe
=> `windowsultimate.exe.6'
Resolving xxxxx.wangzhu.jp... 219.94.128.154
Connecting to xxxxx.wangzhu.jp|219.94.128.154|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 451,584 (441K) [application/x-msdownload]
100%[====================================>] 451,584 991.29K/s
20:33:41 (988.93 KB/s) - `windowsultimate.exe.6' saved [451584/451584]

2. 2011/04/17 20:42の追加情報、電話しました、話の伝言センターに転送された、何人か分からないだが日本語で伝言を入れるしか無い…、一応入れました。これで全て私のやらなきゃ行け無い事がやりました。次は頼むしか出来ないので、本当にお願いしますよ。
一応確認したらダウンロードされています。。。下記証拠です↓
C:\Program Files\GnuWin32\bin>time/t
20:47
Connecting to xxxxxwangzhu.jp|219.94.128.154|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 451,584 (441K) [application/x-msdownload]
100%[====================================>] 451,584 977.83K/s

3. 2011/04/17 21:23の追加情報、ツイッターからのアドバイスで、JPCERT/CCにインシデントに関して報告しました。フォームの書くのは少し面倒みたが、とりあえず送信しました。下記はインシデント番号↓


4. Sun Apr 17 21:45:04 JST 2011の追加情報、今virustotalで見たら、メージャーウイルス対策ソフトからのウイルスDBパターン対応が未だ未だ出ません証拠はこちら↓
http://www.virustotal.com/file-scan/report.html?id=ce45d531d949d34bcb89cea27e7cc663d199f3ccd67371cca37ef98543b9b781-1302968199
では、本件のインシデントに付いて、①ネットワークの対応が出来てません、ウイルスダウンロードが未だ出来ている状況 ②ウイルス対策アップデート対応も未だ遅いと、③そのURLに向いている迷惑メールがもう沢山出てきました。本件について日本側にあるゼロデイ問題となります。

5. Sun Apr 17 23:03:39 JST 2011の追加情報、ツイッターでアドバイス頂いたように、ウェブ登録は沢山やったけれど、念のためにAVメーカーのマルウェア登録メールアドレス一覧にサンプルを送りました。結果はこちらでモニターが出来るかと思います。因みにマルウェアダウンロードが今でも未だ出来てます↓
--23:06:20-- hxxxp://xxxx.oshienaiyo.wangzhu.jp/content/sys/windowsultimate.exe
=> `windowsultimate.exe.27'
Resolving oshienaiyo.wangzhu.jp... 219.94.128.154
Connecting to oshienaiyo.wangzhu.jp|219.94.128.154|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 451,584 (441K) [application/x-msdownload]
100%[====================================>] 451,584 758.23K/s
23:06:21 (755.48 KB/s) - `windowsultimate.exe.27' saved [451584/451584]


6. 最穂の今日の追加情報23:39です。
全て出来る事がやった。マルウェアのダウンロードが未だ出来ていると確認確認しました。このURLにあるマルウェアが日本にEPIDEMICにならないようにお祈りします。今日のマルウェア研究者の仕事が終了です。

7. 2011年4月18日 09:24の追加情報です。
マルウェアのダウンロードURLが止めてくれました。06:30にアクセスがIDC管理者で削除されました。安心です!ミッション完了ですね。本件のマルウェアURLが発見してから止めた迄に56時間ぐらいがかかります。
--09:22:47-- http://www.wangzhu.jp/content/sys/windowsultima
=> `windowsultimate.exe'
Resolving www.wangzhu.jp... 219.94.128.154
Connecting to www.wangzhu.jp|219.94.128.154|:80... connected.
HTTP request sent, awaiting response... 403 Forbidden
09:22:47 ERROR 403: Forbidden.

---
ゼロデイ・ジャパン
http://0day.jp
ゼロデイセキュリティとマルウェア研究所
アドリアン・ヘンドリック
Sponsored by: 株式会社ケイエルジェイテック

0 件のコメント:

コメントを投稿