月曜日, 10月 17, 2011

【マルウェア警告】日本のホスティング会社のお客様サーバに[PHP PBot]マルウェアに感染されております


下記に書いたサーバがPHP経由マルウェアに感染されております。詳細情報は下記となります。

発見情報
K-PROX製品でのHTTPフィルターレポート整理結果:2011年10月14日
・調査結果:2011年10月16日
・DISCLOSURE: 2011年10月17日

感染されたサーバ情報
・ホスト名:asakusa-kagetudo.com
・ネット情報:【こちらへ】
・マルウェアURL:
 hxxp://asakusa-kagetudo.com/modules/shop/diams.txt
 hxxp://asakusa-kagetudo.com/modules/shop/now.jpg
 hxxp://asakusa-kagetudo.com/modules/shop/zoum.txt
 hxxp://asakusa-kagetudo.com/modules/shop/ton.jpg
・ファイルのスクリーンショット:

中身はASCIIテキストです、ファイルは実行権限が持っています、例えば下記の2個サンプル↓


マルウェア調査結果(ウイルストータル)

マルウェア説明
・本件のサンプルは恐らくインドネシアからのオリジンです
 (サンプルに書いた言語のジャッジ)
・asakusa-kagetudo.comサーバのHTTPサービスにある脆弱点の原因でマルウェアが
 外からインジェクトされております(サーバのPenTESTが必要)
・流れ的に最初はdiam.txtが入ってしまったので、その後now.jpgをダウンロードしたかと思われます(PoCはファイルの日付け/サーバ側)
・感染された日付けは大体:2011年9月8日~2011年10月8日の間
・本件のマルウェアが未だサーバに入っている状況です、下記の証拠となります↓
--13:49:22-- hxxp://asakusa-kagetudo.com/modules/shop/diams.txt?%3F
=> `diams.txt@%3F'
Resolving asakusa-kagetudo.com... 210.172.144.27
Connecting to asakusa-kagetudo.com|210.172.144.27|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 42,928 (42K) [text/plain]
100%[====================================>] 42,928 --.--K/s
13:49:22 (764.11 KB/s) - `diams.txt@%3F' saved [42928/42928]

--13:49:27-- hxxp://asakusa-kagetudo.com/modules/shop/now.jpg?%3F
=> `now.jpg@%3F'
Resolving asakusa-kagetudo.com... 210.172.144.27
Connecting to asakusa-kagetudo.com|210.172.144.27|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 15,552 (15K) [image/jpeg]
100%[====================================>] 15,552 --.--K/s
13:49:28 (542.88 KB/s) - `now.jpg@%3F' saved [15552/15552]

--15:41:27-- hxxp://asakusa-kagetudo.com/modules/shop/ton.jpg?%3F
=> `ton.jpg@%3F'
Resolving asakusa-kagetudo.com... 210.172.144.27
Connecting to asakusa-kagetudo.com|210.172.144.27|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 15,554 (15K) [image/jpeg]
100%[====================================>] 15,554 --.--K/s
15:41:27 (526.83 KB/s) - `ton.jpg@%3F' saved [15554/15554]

--15:41:38-- hxxp://www.asakusa-kagetudo.com/modules/shop/zoum.txt
=> `zoum.txt'
Resolving www.asakusa-kagetudo.com... 210.172.144.27
Connecting to www.asakusa-kagetudo.com|210.172.144.27|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 42,928 (42K) [text/plain]
100%[====================================>] 42,928 --.--K/s
15:41:38 (737.83 KB/s) - `zoum.txt' saved [42928/42928]


----
ゼロデイ・ジャパン
http://0day.jp
マルウェア研究所
アドリアン・ヘンドリック
Sponsored by: 株式会社ケイエルジェイテック

2 件のコメント:

  1. While analysis this malware I found the new malware, here
    (本マルウェアを調査した時に別のマルウェアをまた発見しました、同じサーバです)

    返信削除
  2. 現在ステータス:マルウェアファイルが未だ残っています↓
    *) The current info: the malware is still up and alive:

    --12:34:41-- hxxp://asakusa-kagetudo.com/modules/shop/diams.txt
    => `diams.txt'
    Resolving asakusa-kagetudo.com... 210.172.144.27
    Connecting to asakusa-kagetudo.com|210.172.144.27|:80... connected.
    HTTP request sent, awaiting response... 200 OK
    Length: 42,928 (42K) [text/plain]
    100%[====================================>] 42,928 --.--K/s
    12:34:41 (894.22 KB/s) - `diams.txt' saved [42928/42928]
    \GnuWin32\bin>date
    The current date is: 2011/10/19

    返信削除