水曜日, 5月 11, 2011

【マルウェア警告】日本のIDCにIRCボットのPerl/PHPマルウェアを発見!【対応済み】


マルウェアの種類はPerlとPHP経由のIRCボットです。PerlとPHPコールして、マシンのshellコマンドをexploitして、感染された環境からボットのスクリプトをダウンロードされるようなマルウェアです。スクリプトを実行されたらバックドアの動きを発見されています。その開いたポートがIRCサーバに繋がってボットマスターからの色んなコマンドの実行が出来ます。

現在未だアップしている状況ですので、マルウェアのスクリプトのソースコードを下記のURLで研究の為に見えます↓
hxxp://myvinhlong.com/me/public/user/d9/0a/c0x.txt
hxxp://myvinhlong.com/me/public/user/d9/0a/bismi2.txt
hxxp://myvinhlong.com/me/public/user/d9/0a/ID-RFI.txt
hxxp://myvinhlong.com/me/public/user/d9/0a/itile.txt

※スクリプトに書いたコメントを見たら、本件のマルウェアを作った国はマレーシアかインドネシア又はSingaporeだと思います。

このスクリプトがリモートから動かせるように見えるので、下記、日本にある感染されたマシンのURIをITW(In the Wild)で発見しました↓
hxxp://myvinhlong.com/me/public/user/d9/0a/c0x.txt??
hxxp://myvinhlong.com/me/public/user/d9/0a/bismi2.txt
hxxp://myvinhlong.com/me/public/user/d9/0a/ID-RFI.txt?
hxxp://myvinhlong.com/me/public/user/d9/0a/itile.txt
hxxp://myvinhlong.com/me/public/user/d9/0a/bismi2.txt?
hxxp://myvinhlong.com/me/public/user/d9/0a/c0x.txt???
hxxp://myvinhlong.com/me/public/user/d9/0a/ID-RFI.txt??


↑コードを見たら、このマルウェアツールを使うと色んなマシンに感染が出来ると、ボットの実行コマンドがIRCサーバから来るみたいです。その為にIRCと繋ぐポートを開けるように見えてます。他のマシンに感染させる仕組みですね。
日本のIDC付いてこの物が入ってしまったら危険な状況になったかと思います、攻撃されているマシンから見ると攻撃ソースはIDCのネットワークからとなりますので…困るでしょうね。

本件のマルウェアは昨日の夜アラートが出てきましたので、リモートからファイル一覧を出すようにして(遣り方は教えません、ごめん)、日付けとファイルの権限の確認が出来ます↓
-rwx------ 1 1223 May 9 01:12 ID-RFI.txt*
-rwx------ 1 19191 May 9 01:03 bismi2.txt*
-rwx------ 1 14831 May 9 01:04 c0x.txt*
-rwx------ 1 56267 May 9 00:57 itile.txt*

↑ファイルの日付けを見えますね。全てファイルが実行出来るような権限が持っていると確認が出来ました。
研究が今日の仕事終わってからさっき迄にやっていましたので、本件のサンプルもあちこちのAVメーカーにサンプルにも送っています。
今日もIDCの担当者に報告しましたので、そろそろ削除されると思います。念のためにこの事件もありますよと残す為にこのブログに書きました。

このマルウェアは1セット(4つファイル)で動かすしか出来ない物で、4つファイルのスキャン結果を見ると同じウイルス名出ると見えます⇒「PHP/WebShell」、「Trojan.Script」、「Backdoor.PHP.C99Shell」、など。詳細スキャン結果は下記となります

※マルウェア・スキャン結果(VIRUS TOTAL)↓


念のためにネットワーク情報も書きました↓

※DNS情報
ドメイン:http://myvinhlong.com/
;; QUESTION SECTION:
;myvinhlong.com. IN A

;; ANSWER SECTION:
myvinhlong.com. 3600 IN A 49.212.16.106

;; AUTHORITY SECTION:
myvinhlong.com. 3600 IN NS ns3.everydns.net.
myvinhlong.com. 3600 IN NS ns4.everydns.net.
myvinhlong.com. 3600 IN NS ns1.everydns.net.
myvinhlong.com. 3600 IN NS ns2.everydns.net.

;; ADDITIONAL SECTION:
ns1.everydns.net. 1864 IN A 208.76.61.100
ns2.everydns.net. 431 IN A 208.76.62.100
ns3.everydns.net. 2422 IN A 208.76.63.100

※WHOIS情報↓

NetRange: 49.0.0.0 - 49.255.255.255
CIDR: 49.0.0.0/8
OriginAS:
NetName: APNIC-49
NetHandle: NET-49-0-0-0-0
Parent:
NetType: Allocated to APNIC
Comment: This IP address range is not registered in the ARIN database.
Comment: For details, refer to the APNIC Whois Database via
Comment: WHOIS.APNIC.NET or http://wq.apnic.net/apnic-bin/whois.pl
Comment: ** IMPORTANT NOTE: APNIC is the Regional Internet Registry
Comment: for the Asia Pacific region. APNIC does not operate networks
Comment: using this IP address range and is not able to investigate
Comment: spam or abuse reports relating to these addresses. For more
Comment: help, refer to http://www.apnic.net/apnic-info/whois_search2/abuse-and-spamming
RegDate: 2010-08-12
Updated: 2010-08-16
Ref: http://whois.arin.net/rest/net/NET-49-0-0-0-0

OrgName: Asia Pacific Network Information Centre
OrgId: APNIC
Address: PO Box 2131
City: Milton
StateProv: QLD
PostalCode: 4064
Country: AU
RegDate:
Updated: 2004-03-01
Ref: http://whois.arin.net/rest/org/APNIC

ReferralServer: whois://whois.apnic.net

OrgTechHandle: AWC12-ARIN
OrgTechName: APNIC Whois Contact
OrgTechPhone: +61 7 3858 3188
OrgTechEmail: search-apnic-not-arin@apnic.net
OrgTechRef: http://whois.arin.net/rest/poc/AWC12-ARIN

# ARIN WHOIS data and services are subject to the Terms of Use
# available at: https://www.arin.net/whois_tou.html

% [whois.apnic.net node-1]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html

inetnum: 49.212.0.0 - 49.212.255.255
netname: SAKURA-OSAKA
descr: SAKURA Internet Inc.
descr: 1-8-14, Minami Honmachi, Chuo-ku, Osaka 541-0054, Japan
country: JP
admin-c: JNIC1-AP
tech-c: JNIC1-AP
status: ALLOCATED PORTABLE
remarks: Email address for spam or abuse complaints : abuse@sakura.ad.jp
changed: hm-changed@apnic.net 20101207
mnt-irt: IRT-JPNIC-JP
mnt-by: MAINT-JPNIC
mnt-lower: MAINT-JPNIC
source: APNIC

role: Japan Network Information Center
address: Kokusai-Kougyou-Kanda Bldg 6F, 2-3-4 Uchi-Kanda
address: Chiyoda-ku, Tokyo 101-0047, Japan
country: JP
phone: +81-3-5297-2311
fax-no: +81-3-5297-2312
e-mail: hostmaster@nic.ad.jp
admin-c: JI13-AP
tech-c: JE53-AP
nic-hdl: JNIC1-AP
mnt-by: MAINT-JPNIC
changed: hm-changed@apnic.net 20041222
changed: hm-changed@apnic.net 20050324
changed: ip-apnic@nic.ad.jp 20051027
source: APNIC

inetnum: 49.212.16.0 - 49.212.16.255
netname: SAKURA-NET
descr: SAKURA Internet Inc.
country: JP
admin-c: KT749JP
tech-c: KW419JP
remarks: This information has been partially mirrored by APNIC from
remarks: JPNIC. To obtain more specific information, please use the
remarks: JPNIC WHOIS Gateway at
remarks: http://www.nic.ad.jp/en/db/whois/en-gateway.html or
remarks: whois.nic.ad.jp for WHOIS client. (The WHOIS client
remarks: defaults to Japanese output, use the /e switch for English
remarks: output)
changed: apnic-ftp@nic.ad.jp 20110201
source: JPNIC


■最新情報アップデート↓

Wed May 10 11:27:00 JST 2011

本件のマルウェアがIDCの法に消してくれました。本件のフォローは「CLOSE/フォロー完了」となります。

----
ゼロデイ・ジャパン
http://0day.jp
マルウェア研究所
アドリアン・ヘンドリック
Sponsored by: 株式会社ケイエルジェイテック
Posted by unixfreaxjp at 12:02 午前

0 件のコメント:

コメントを投稿

登録: コメントの投稿 (Atom)