本日、下記のURLを発見しました。
hxxp://182.48.22.158/cmxapp/CMX_1102231.zip
このURLをダウンロードしたら「CMX_1102231.zip」というファイルが保存されましたが、形を確認したら実はEXEファイルです。ファイルの形はPEファイルでMicrosoft C++でコンパイルした物と見えます。何故かEXEファイルをZIPにファイル名を変更したかと原因が分かりませんが、気になりますので調査しました。
このあやしいEXEファイルを詳しく調査したら下記の不具合を確認が出来ました↓
1. ファイルを実行したらWindowsのレジストリーを変更されていますので、Internet Explorerの設定が変わってしまいます(設定を戻す方法が無い状況)
2. レジストリーにも次のパソコン起動する時に本件のファイルも自動で実行されるように設定追加を発見しました。
3. キーボードのオペレーションをフックされている動きを発見しました。
4. 勝てに(裏で)台湾にあるリモートIPアドレスにDNSとHTTPコミュニケーションを繋ぐ動きを発見しました。
5. 勝てにパソコンのMACアドレス情報を台湾にあるリモートIPアドレスに送る動きを発見しました。
2. レジストリーにも次のパソコン起動する時に本件のファイルも自動で実行されるように設定追加を発見しました。
3. キーボードのオペレーションをフックされている動きを発見しました。
4. 勝てに(裏で)台湾にあるリモートIPアドレスにDNSとHTTPコミュニケーションを繋ぐ動きを発見しました。
5. 勝てにパソコンのMACアドレス情報を台湾にあるリモートIPアドレスに送る動きを発見しました。
上記の判断に付いて本件のファイルはマルウェアのように見えますが、アンチウイルスメーカ社から悪戯ソフトの形で認められましたけどマルウェアではありません。
ともかく本件のダウンロードソフトがあやしいですので、インストールしたらどんな動きが出るのかここで報告させて頂きます。
詳細な説明↓
1. ファイルを実行したらWindowsのレジストリーを変更されていますので、Internet Explorerの設定が変わってしまいます(設定を戻す方法が無い状況)
HKLM\?SYSTEM\?CURRENTCONTROLSET\?HARDWARE PROFILES\?CURRENT\?Software\?Microsoft\?windows\?CurrentVersion\?Internet Settings info ProxyEnable 0
HKLM\?Software\?Microsoft\?Windows\?CurrentVersion\?Explorer\?Shell Folders Common AppData C:\?Documents and Settings\?All Users\?Application Data
HKLM\?Software\?Microsoft\?Windows\?CurrentVersion\?Internet Settings\?Cache\?Paths info Directory C:\?Documents and Settings\?Administrator\?Local Settings\?Temporary Internet Files\?Content.IE5
HKLM\?Software\?Microsoft\?Windows\?CurrentVersion\?Internet Settings\?Cache\?Paths info Paths 4
HKLM\?Software\?Microsoft\?Windows\?CurrentVersion\?Internet Settings\?Cache\?Paths\?Path1 info CacheLimit 40852
HKLM\?Software\?Microsoft\?Windows\?CurrentVersion\?Internet Settings\?Cache\?Paths\?Path1 info CachePath C:\?Documents and Settings\?Administrator\?Local Settings\?Temporary Internet Files\?Content.IE5\?Cache1
HKLM\?Software\?Microsoft\?Windows\?CurrentVersion\?Internet Settings\?Cache\?Paths\?Path2 info CacheLimit 40852
HKLM\?Software\?Microsoft\?Windows\?CurrentVersion\?Internet Settings\?Cache\?Paths\?Path2 info CachePath C:\?Documents and Settings\?Administrator\?Local Settings\?Temporary Internet Files\?Content.IE5\?Cache2
HKLM\?Software\?Microsoft\?Windows\?CurrentVersion\?Internet Settings\?Cache\?Paths\?Path3 info CacheLimit 40852
HKLM\?Software\?Microsoft\?Windows\?CurrentVersion\?Internet Settings\?Cache\?Paths\?Path3 info CachePath C:\?Documents and Settings\?Administrator\?Local Settings\?Temporary Internet Files\?Content.IE5\?Cache3
HKLM\?Software\?Microsoft\?Windows\?CurrentVersion\?Internet Settings\?Cache\?Paths\?Path4 info CacheLimit 40852
HKLM\?Software\?Microsoft\?Windows\?CurrentVersion\?Internet Settings\?Cache\?Paths\?Path4 info CachePath C:\?Documents and Settings\?Administrator\?Local Settings\?Temporary Internet Files\?Content.IE5\?Cache4
HKLM\?Software\?Microsoft\?Windows\?CurrentVersion\?Explorer\?Shell Folders Common AppData C:\?Documents and Settings\?All Users\?Application Data
HKLM\?Software\?Microsoft\?Windows\?CurrentVersion\?Internet Settings\?Cache\?Paths info Directory C:\?Documents and Settings\?Administrator\?Local Settings\?Temporary Internet Files\?Content.IE5
HKLM\?Software\?Microsoft\?Windows\?CurrentVersion\?Internet Settings\?Cache\?Paths info Paths 4
HKLM\?Software\?Microsoft\?Windows\?CurrentVersion\?Internet Settings\?Cache\?Paths\?Path1 info CacheLimit 40852
HKLM\?Software\?Microsoft\?Windows\?CurrentVersion\?Internet Settings\?Cache\?Paths\?Path1 info CachePath C:\?Documents and Settings\?Administrator\?Local Settings\?Temporary Internet Files\?Content.IE5\?Cache1
HKLM\?Software\?Microsoft\?Windows\?CurrentVersion\?Internet Settings\?Cache\?Paths\?Path2 info CacheLimit 40852
HKLM\?Software\?Microsoft\?Windows\?CurrentVersion\?Internet Settings\?Cache\?Paths\?Path2 info CachePath C:\?Documents and Settings\?Administrator\?Local Settings\?Temporary Internet Files\?Content.IE5\?Cache2
HKLM\?Software\?Microsoft\?Windows\?CurrentVersion\?Internet Settings\?Cache\?Paths\?Path3 info CacheLimit 40852
HKLM\?Software\?Microsoft\?Windows\?CurrentVersion\?Internet Settings\?Cache\?Paths\?Path3 info CachePath C:\?Documents and Settings\?Administrator\?Local Settings\?Temporary Internet Files\?Content.IE5\?Cache3
HKLM\?Software\?Microsoft\?Windows\?CurrentVersion\?Internet Settings\?Cache\?Paths\?Path4 info CacheLimit 40852
HKLM\?Software\?Microsoft\?Windows\?CurrentVersion\?Internet Settings\?Cache\?Paths\?Path4 info CachePath C:\?Documents and Settings\?Administrator\?Local Settings\?Temporary Internet Files\?Content.IE5\?Cache4
2. レジストリーにも次のパソコン起動する時に本件のファイルも自動で実行されるように設定追加を発見しました
HKU\?S-1-5-21-842925246-1425521274-308236825-500\?Software\?Microsoft\?Windows\?CurrentVersion\?Explorer\?Shell Folders AppData C:\?Documents and Settings\?Administrator\?Application Data
HKU\?S-1-5-21-842925246-1425521274-308236825-500\?Software\?Microsoft\?Windows\?CurrentVersion\?Explorer\?Shell Folders Cache C:\?Documents and Settings\?Administrator\?Local Settings\?Temporary Internet Files
HKU\?S-1-5-21-842925246-1425521274-308236825-500\?Software\?Microsoft\?Windows\?CurrentVersion\?Explorer\?Shell Folders Cookies C:\?Documents and Settings\?Administrator\?Cookies
HKU\?S-1-5-21-842925246-1425521274-308236825-500\?Software\?Microsoft\?Windows\?CurrentVersion\?Explorer\?Shell Folders History C:\?Documents and Settings\?Administrator\?Local Settings\?History
HKU\?S-1-5-21-842925246-1425521274-308236825-500\?Software\?Microsoft\?Windows\?CurrentVersion\?Internet Settings\?ZoneMap\? info IntranetName 1
HKU\?S-1-5-21-842925246-1425521274-308236825-500\?Software\?Microsoft\?Windows\?CurrentVersion\?Internet Settings\?ZoneMap\? info ProxyBypass 1
HKU\?S-1-5-21-842925246-1425521274-308236825-500\?Software\?Microsoft\?Windows\?CurrentVersion\?Internet Settings\?ZoneMap\? info UNCAsIntranet 1
HKU\?S-1-5-21-842925246-1425521274-308236825-500\?Software\?Microsoft\?Windows\?CurrentVersion\?Run info CMX C:\?e83259b65f.exe
HKU\?S-1-5-21-842925246-1425521274-308236825-500\?Software\?Microsoft\?windows\?CurrentVersion\?Internet Settings info MigrateProxy 1
HKU\?S-1-5-21-842925246-1425521274-308236825-500\?Software\?Microsoft\?windows\?CurrentVersion\?Internet Settings info ProxyEnable 0
HKU\?S-1-5-21-842925246-1425521274-308236825-500\?Software\?Microsoft\?windows\?CurrentVersion\?Internet Settings\?Connections info SavedLegacySettings 0x3c0000001600000001000000000000000000000000000000040000000000
3. キーボードのオペレーションをフックされている動きを発見しました
Keyboard Hook call at: 0x53b5a8 GetAsyncKeyState
Keyboard Hook call at: 0x53b5ac GetKeyboardState
Keyboard Hook call at: 0x53b6f8 GetKeyState
4. 裏で台湾にあるリモートIPアドレスにDNSとHTTPコミュニケーション動きを発見しました
詳しいネットワーク動き情報は下記のURLでダウンロードが出来ます↓
http://0day.jp/data/20110607-1.traffic.pcap
※ネットワークフックのコール情報↓
0x53b860 InternetCloseHandle
0x53b86c HttpOpenRequestW
0x53b874 InternetConnectW
0x53b87c InternetReadFile
0x53b88c InternetOpenW
※ネットワーク動き↓
※※DNS リクエアストやり取り:
Name Query Type Query Result Successful Protocol
app.cm-x.jp DNS_TYPE_A 122.255.83.136 YES udp
count.cm-x.jp DNS_TYPE_A 122.255.83.136 YES udp
※※HTTPやり取り:
From LOCAL:1028 to 122.255.83.136:80 - [app.cm-x.jp]
Request: POST /cmxVerCk.php?Version=1102231&mac=000E0C6517E2
Response: 200 "OK"
From LOCAL:1029 to 122.255.83.136:80 - [count.cm-x.jp]
Request: POST /control.php?companyID=&mac=000E0C6517E2&Cmd=cnt
Response: 200 "OK"
5. パソコンのMACアドレス情報を台湾にあるリモートIPアドレスに送る動きを発見しました
上記4番のデータを基づいて↓
From LOCAL:1028 to 122.255.83.136:80 - [app.cm-x.jp]
Request: POST /cmxVerCk.php?Version=1102231&mac=000E0C6517E2 ←MACアドレス
Response: 200 "OK"
From LOCAL:1029 to 122.255.83.136:80 - [count.cm-x.jp]
Request: POST /control.php?companyID=&mac=000E0C6517E2 ←MACアドレス
&Cmd=cnt
Response: 200 "OK"
本件のマルウェアを詳しく確認したいならば下記のスキャン結果で御確認が出来ます↓
1)http://camas.comodo.com/cgi-bin/submit?file=c2d148dc3d5bc1f89b585bc7a2f208988dbf147829a64cadc10ce3d2caaf4432
2)http://www.virustotal.com/file-scan/report.html?id=c2d148dc3d5bc1f89b585bc7a2f208988dbf147829a64cadc10ce3d2caaf4432-1305895231
3)http://www.threatexpert.com/report.aspx?md5=d84ae086fc40fefa1f76bfb43b89f608
さらに本件のマルウェアに付いて下記の情報と関係があるかと思われます↓
http://www.cm-jittai.com/comBee/
http://questionbox.jp.msn.com/qa6419620.html
マルウェアのソースに付いて
下記のネットワークにマルウェアを発見しました↓
ログ↓
-18:32:32-- hxxp://182.48.22.158/cmxapp/CMX_1102231.zip
=> `CMX_1102231.zip.2'
Connecting to 182.48.22.158:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 1,776,960 (1.7M) [application/zip]
100%[====================================>] 1,776,960 1.00M/s
18:32:34 (1.00 MB/s) - `CMX_1102231.zip.2' saved [1776960/1776960]
IP: 182.48.22.158
inetnum: 182.48.0.0 - 182.48.63.255
netname: SAKURA-OSAKA
descr: SAKURA Internet Inc.
descr: 1-8-14, Minami Honmachi, Chuo-ku, Osaka 541-0054, Japan
country: JP
admin-c: JNIC1-AP
tech-c: JNIC1-AP
status: ALLOCATED PORTABLE
remarks: Email address for spam or abuse complaints: abuse@sakura.ad.jp
mnt-by: MAINT-JPNIC
mnt-lower: MAINT-JPNIC
changed: XXXXXXXXXX@apnic.net 20100217
source: APNIC
感染されたPCのMACアドレス情報を台湾のIPアドレスに送ってしまう動きを発見しましたので、証拠は下記となります。
From LOCAL:1028 to 122.255.83.136:80 - [app.cm-x.jp]
Request: POST /cmxVerCk.php?Version=1102231&mac=000E0C6517E2
Response: 200 "OK"
From LOCAL:1029 to 122.255.83.136:80 - [count.cm-x.jp]
Request: POST /control.php?companyID=&mac=000E0C6517E2&Cmd=cnt
Response: 200 "OK"
Name: app.cm-x.jp
Address: 122.255.83.136
Name: count.cm-x.jp
Address: 122.255.83.136
IP: 122.255.83.136
ASNチェック@ 122.255.83.136 からの出力..
2914 | 122.255.80.0/20 | NTT-COMMUNICATIONS-2 | TW | NEC.COM.TW | NTT TAIWAN LTD
↑台湾のNEC.COM...IDCっぽいですね。
WHOISで確認したら↓
[Domain Name] CM-X.JP
[登録者名] 株式会社セントラルマーケット
[Registrant] Central Market,Inc.
[Name Server] ns1.value-domain.com
[Name Server] ns2.value-domain.com
[Name Server] ns3.value-domain.com
[Name Server] ns4.value-domain.com
[Name Server] ns5.value-domain.com
[Signing Key]
[登録年月日] 2010/09/08
[有効期限] 2011/09/30
[状態] Active
[最終更新] 2010/09/08 20:40:44 (JST)
Contact Information: [公開連絡窓口]
[名前] バリュードメイン登録代行サービス
[Name] VALUE-DOMAIN.COM
[Email] info@value-domain.com
[Web Page] https://www.value-domain.com/
[郵便番号] 541-0059
[住所] 大阪府大阪市中央区博労町4-7-5
本町TSビル 6F
[Postal Address]
[電話番号] 06-6241-6585
[FAX番号] 06-6241-6586
-18:32:32-- hxxp://182.48.22.158/cmxapp/CMX_1102231.zip
=> `CMX_1102231.zip.2'
Connecting to 182.48.22.158:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 1,776,960 (1.7M) [application/zip]
100%[====================================>] 1,776,960 1.00M/s
18:32:34 (1.00 MB/s) - `CMX_1102231.zip.2' saved [1776960/1776960]
IP: 182.48.22.158
inetnum: 182.48.0.0 - 182.48.63.255
netname: SAKURA-OSAKA
descr: SAKURA Internet Inc.
descr: 1-8-14, Minami Honmachi, Chuo-ku, Osaka 541-0054, Japan
country: JP
admin-c: JNIC1-AP
tech-c: JNIC1-AP
status: ALLOCATED PORTABLE
remarks: Email address for spam or abuse complaints: abuse@sakura.ad.jp
mnt-by: MAINT-JPNIC
mnt-lower: MAINT-JPNIC
changed: XXXXXXXXXX@apnic.net 20100217
source: APNIC
感染されたPCのMACアドレス情報を台湾のIPアドレスに送ってしまう動きを発見しましたので、証拠は下記となります。
From LOCAL:1028 to 122.255.83.136:80 - [app.cm-x.jp]
Request: POST /cmxVerCk.php?Version=1102231&mac=000E0C6517E2
Response: 200 "OK"
From LOCAL:1029 to 122.255.83.136:80 - [count.cm-x.jp]
Request: POST /control.php?companyID=&mac=000E0C6517E2&Cmd=cnt
Response: 200 "OK"
Name: app.cm-x.jp
Address: 122.255.83.136
Name: count.cm-x.jp
Address: 122.255.83.136
IP: 122.255.83.136
ASNチェック@ 122.255.83.136 からの出力..
2914 | 122.255.80.0/20 | NTT-COMMUNICATIONS-2 | TW | NEC.COM.TW | NTT TAIWAN LTD
↑台湾のNEC.COM...IDCっぽいですね。
WHOISで確認したら↓
[Domain Name] CM-X.JP
[登録者名] 株式会社セントラルマーケット
[Registrant] Central Market,Inc.
[Name Server] ns1.value-domain.com
[Name Server] ns2.value-domain.com
[Name Server] ns3.value-domain.com
[Name Server] ns4.value-domain.com
[Name Server] ns5.value-domain.com
[Signing Key]
[登録年月日] 2010/09/08
[有効期限] 2011/09/30
[状態] Active
[最終更新] 2010/09/08 20:40:44 (JST)
Contact Information: [公開連絡窓口]
[名前] バリュードメイン登録代行サービス
[Name] VALUE-DOMAIN.COM
[Email] info@value-domain.com
[Web Page] https://www.value-domain.com/
[郵便番号] 541-0059
[住所] 大阪府大阪市中央区博労町4-7-5
本町TSビル 6F
[Postal Address]
[電話番号] 06-6241-6585
[FAX番号] 06-6241-6586
報告以上です。
----
ゼロデイ・ジャパン
http://0day.jp
マルウェア研究所
アドリアン・ヘンドリック
Sponsored by: 株式会社ケイエルジェイテック
Tweet
0 件のコメント:
コメントを投稿