本件のマルウェアは日本にあるサーバに発見しました。海外からのブラックリストサービスからアラートが届きました。
■マルウェアのソースの説明
スキャンしたら下記の結果が直ぐに出ました↓
Virus Total Result: 33/43 (76.7%)
マルウェア名前はこんな下記の一覧となります↓
今回のマルウェアは下記のドメインに発見しました↓
http://www.xrea.com/
マルウェアのURLは下記のURLとなります↓
hxxp://myu-suke.s4.xrea.com/files/EyeInstaller.exe
本件のマルウェアのダウンロードURLが全体ブラックリストドメイン登録サイトに登録されている状況、と、殆どウイルス対策は対応が出来ていますが、HTTPで直接にダウンロードが出来ているので、報告が必要と思います。
Virus Total Result: 33/43 (76.7%)
マルウェア名前はこんな下記の一覧となります↓
TR/Agent.11776.U
Trojan/Win32.Genome.gen
Win32:PUP-gen
Generic16.BSQK
Trojan.Generic.817669
Trojan.Agent.ATV
W32/new-malware!Maximus
UnclassifiedMalware
Trojan.Click1.4051
Trojan.Win32.Genome!IK
W32/new-malware!Maximus
Trojan.Generic.817669
Trojan.Generic.817669
Trojan.Win32.Genome
Trojan/Agent.eazq
Trojan
Generic.dx
Heuristic.LooksLike.Win32.Suspicious.J!87
W32/Suspicious_Gen.VLG
Trojan/W32.Genome.11776.F
Trj/CI.A
Trojan.Generic
Trojan.Win32.Generic.1247472A
Mal/Generic-L
TROJ_Generic
TROJ_Generic
Trojan.Win32.Generic!BT
Worm.Win32.S.P2P-Palevo.11776.A
Trojan.Genome!GquG1UyWXkU
Trojan/Win32.Genome.gen
Win32:PUP-gen
Generic16.BSQK
Trojan.Generic.817669
Trojan.Agent.ATV
W32/new-malware!Maximus
UnclassifiedMalware
Trojan.Click1.4051
Trojan.Win32.Genome!IK
W32/new-malware!Maximus
Trojan.Generic.817669
Trojan.Generic.817669
Trojan.Win32.Genome
Trojan/Agent.eazq
Trojan
Generic.dx
Heuristic.LooksLike.Win32.Suspicious.J!87
W32/Suspicious_Gen.VLG
Trojan/W32.Genome.11776.F
Trj/CI.A
Trojan.Generic
Trojan.Win32.Generic.1247472A
Mal/Generic-L
TROJ_Generic
TROJ_Generic
Trojan.Win32.Generic!BT
Worm.Win32.S.P2P-Palevo.11776.A
Trojan.Genome!GquG1UyWXkU
今回のマルウェアは下記のドメインに発見しました↓
http://www.xrea.com/
マルウェアのURLは下記のURLとなります↓
hxxp://myu-suke.s4.xrea.com/files/EyeInstaller.exe
本件のマルウェアのダウンロードURLが全体ブラックリストドメイン登録サイトに登録されている状況、と、殆どウイルス対策は対応が出来ていますが、HTTPで直接にダウンロードが出来ているので、報告が必要と思います。
■マルウェアの説明
ダウンロードしたらファイルを直ぐに調査しましたので、下記のあやしい点を発見↓
不具合が多いので色んなスキャンサービスにスキャンしたら、結果は下記となります↓
【VirusTotal】【ThreatExpert】【PREVX】
↑結果を見たら確実にトロイですね。
1) PEのUPX (www.upx.sourceforge.net) パッカー(packer)ファイル
2) 書いたCRC情報と実の数が違う、Claimed: 0さらに計算したら: 27953
3) 上記のDLLをロードしたと書いたので…インストーラーがこんなDLLが要らないと
KERNEL32.DLL
ADVAPI32.dll
ole32.dll
SHELL32.dll
USER32.dll
WSOCK32.dll <--- そもそも何故ソケットDLLが必要かなぁ
↑あやしいのでsandboxに実行したら、GUIはこんな感じです↓
色々試したらあやしい点が増えて来ました↓
4) 下記のファイルを変更された↓
MountPointManager
PIPE\lsarpc
\Device\Afd\Endpoint
5) 下記のレジストリーを変更された↓
5.1) Key: [ HKU\S-1-5-21-842925246-1425521274-308236825-500\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a1094da8-30a0-11dd-817b-806d6172696f}\ ],
Value Name: [ BaseClass ], New Value: [ Drive ]
5.2)Key: [ HKU\S-1-5-21-842925246-1425521274-308236825-500\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a1094daa-30a0-11dd-817b-806d6172696f}\ ], Value Name: [ BaseClass ], New Value: [ Drive ]
6) EyeInstaller.exeを閉じてもプロセスがメモリーでずっと残っています。
7) ネットワーク接続動きが発見、下記の情報でリモートのIPに繋がりたいみたいですね↓
UNIXFREAXJP-SBOX:1038 to 194.251.249.103:27243
Wiresharkでパケットキャップチャしたらパケットのリクエスト動き確認が出来ます↓
2) 書いたCRC情報と実の数が違う、Claimed: 0さらに計算したら: 27953
3) 上記のDLLをロードしたと書いたので…インストーラーがこんなDLLが要らないと
KERNEL32.DLL
ADVAPI32.dll
ole32.dll
SHELL32.dll
USER32.dll
WSOCK32.dll <--- そもそも何故ソケットDLLが必要かなぁ
↑あやしいのでsandboxに実行したら、GUIはこんな感じです↓
色々試したらあやしい点が増えて来ました↓
4) 下記のファイルを変更された↓
MountPointManager
PIPE\lsarpc
\Device\Afd\Endpoint
5) 下記のレジストリーを変更された↓
5.1) Key: [ HKU\S-1-5-21-842925246-1425521274-308236825-500\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a1094da8-30a0-11dd-817b-806d6172696f}\ ],
Value Name: [ BaseClass ], New Value: [ Drive ]
5.2)Key: [ HKU\S-1-5-21-842925246-1425521274-308236825-500\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a1094daa-30a0-11dd-817b-806d6172696f}\ ], Value Name: [ BaseClass ], New Value: [ Drive ]
6) EyeInstaller.exeを閉じてもプロセスがメモリーでずっと残っています。
7) ネットワーク接続動きが発見、下記の情報でリモートのIPに繋がりたいみたいですね↓
UNIXFREAXJP-SBOX:1038 to 194.251.249.103:27243
Wiresharkでパケットキャップチャしたらパケットのリクエスト動き確認が出来ます↓
不具合が多いので色んなスキャンサービスにスキャンしたら、結果は下記となります↓
【VirusTotal】【ThreatExpert】【PREVX】
↑結果を見たら確実にトロイですね。
■マルウェアのネットワークソース
------------------
IP 情報
------------------
IP: 219.163.200.68 OCN | JP | XREA.COM | DIGIROCK INC
ASN: 4713 219.160.0.0/14
inetnum: 219.160.0.0 - 219.165.255.255
netname: OCN
descr: OCN Provided By NTT-Communications which is ISP
descr: in Chiyoda-ku, Tokyo, Japan
country: JP
admin-c: JNIC1-AP
tech-c: JNIC1-AP
inetnum: 219.163.200.64 - 219.163.200.127
netname: DR-NET
descr: DigiRock,Inc.
country: JP
admin-c: KH5915JP
tech-c: KH5915JP
remarks: This information has been partially mirrored by APNIC from
remarks: JPNIC. To obtain more specific information, please use the
remarks: JPNIC WHOIS Gateway at
remarks: http://www.nic.ad.jp/en/db/whois/en-gateway.html or
remarks: whois.nic.ad.jp for WHOIS client. (The WHOIS client
remarks: defaults to Japanese output, use the /e switch for English
remarks: output)
changed: apnic-ftp@nic.ad.jp 20021107
changed: apnic-ftp@nic.ad.jp 20040528
source: JPNIC
------------------
ドメイン情報
------------------
Whois Server Version 2.0
Domain Name: XREA.COM
Registrar: KEY-SYSTEMS GMBH
Whois Server: whois.rrpproxy.net
Referral URL: http://www.key-systems.net
Name Server: NS1.VALUE-DOMAIN.COM
Name Server: NS2.VALUE-DOMAIN.COM
Name Server: NS3.VALUE-DOMAIN.COM
Name Server: NS4.VALUE-DOMAIN.COM
Name Server: NS5.VALUE-DOMAIN.COM
Status: clientDeleteProhibited
Status: clientTransferProhibited
Updated Date: 14-may-2011
Creation Date: 24-jul-2001
Expiration Date: 24-jul-2012
>>> Last update of whois database: Tue, 31 May 2011 13:25:30 UTC <<<
DOMAIN: XREA.COM
RSP: VALUE-DOMAIN, INC.
URL: http://www.value-domain.com
owner-contact: P-CGD92
owner-organization: DIGIROCK, INC.
owner-title: DOMAIN SECTION
owner-fname: c3fb1_VALUE
owner-lname: DOMAIN
owner-street: Chuo-ku Bakurou-cho 4-7-5
owner-city: Osaka-shi
owner-state: Osaka-fu
owner-zip: 541-0059
owner-country: JP
owner-phone: +81.662416585
owner-fax: +81.662416586
owner-email: domain-contact@digi-rock.com
(↑billing/tech/adminの情報は同じです)
nameserver: ns1.value-domain.com
nameserver: ns2.value-domain.com
nameserver: ns3.value-domain.com
nameserver: ns4.value-domain.com
nameserver: ns5.value-domain.com
; Please register your domains at
; http://www.value-domain.com
----
ゼロデイ・ジャパン
http://0day.jp
マルウェア研究所
アドリアン・ヘンドリック
Sponsored by: 株式会社ケイエルジェイテック
Tweet
0 件のコメント:
コメントを投稿