火曜日, 5月 31, 2011

【マルウェア警告】日本のサーバにオンラインゲーム経由のトロイの木馬を発見(対応中)


本件のマルウェアは日本にあるサーバに発見しました。海外からのブラックリストサービスからアラートが届きました。

■マルウェアのソースの説明
スキャンしたら下記の結果が直ぐに出ました↓
Virus Total Result: 33/43 (76.7%)
マルウェア名前はこんな下記の一覧となります↓
TR/Agent.11776.U
Trojan/Win32.Genome.gen
Win32:PUP-gen
Generic16.BSQK
Trojan.Generic.817669
Trojan.Agent.ATV
W32/new-malware!Maximus
UnclassifiedMalware
Trojan.Click1.4051
Trojan.Win32.Genome!IK
W32/new-malware!Maximus
Trojan.Generic.817669
Trojan.Generic.817669
Trojan.Win32.Genome
Trojan/Agent.eazq
Trojan
Generic.dx
Heuristic.LooksLike.Win32.Suspicious.J!87
W32/Suspicious_Gen.VLG
Trojan/W32.Genome.11776.F
Trj/CI.A
Trojan.Generic
Trojan.Win32.Generic.1247472A
Mal/Generic-L
TROJ_Generic
TROJ_Generic
Trojan.Win32.Generic!BT
Worm.Win32.S.P2P-Palevo.11776.A
Trojan.Genome!GquG1UyWXkU

今回のマルウェアは下記のドメインに発見しました↓
http://www.xrea.com/
マルウェアのURLは下記のURLとなります↓
hxxp://myu-suke.s4.xrea.com/files/EyeInstaller.exe
本件のマルウェアのダウンロードURLが全体ブラックリストドメイン登録サイトに登録されている状況、と、殆どウイルス対策は対応が出来ていますが、HTTPで直接にダウンロードが出来ているので、報告が必要と思います。

■マルウェアの説明
ダウンロードしたらファイルを直ぐに調査しましたので、下記のあやしい点を発見↓
1) PEのUPX (www.upx.sourceforge.net) パッカー(packer)ファイル
2) 書いたCRC情報と実の数が違う、Claimed: 0さらに計算したら: 27953
3) 上記のDLLをロードしたと書いたので…インストーラーがこんなDLLが要らないと
KERNEL32.DLL
ADVAPI32.dll
ole32.dll
SHELL32.dll
USER32.dll
WSOCK32.dll <--- そもそも何故ソケットDLLが必要かなぁ

↑あやしいのでsandboxに実行したら、GUIはこんな感じです↓


色々試したらあやしい点が増えて来ました↓

4) 下記のファイルを変更された↓
MountPointManager
PIPE\lsarpc
\Device\Afd\Endpoint

5) 下記のレジストリーを変更された↓
5.1) Key: [ HKU\S-1-5-21-842925246-1425521274-308236825-500\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a1094da8-30a0-11dd-817b-806d6172696f}\ ],
Value Name: [ BaseClass ], New Value: [ Drive ]
5.2)Key: [ HKU\S-1-5-21-842925246-1425521274-308236825-500\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a1094daa-30a0-11dd-817b-806d6172696f}\ ], Value Name: [ BaseClass ], New Value: [ Drive ]

6) EyeInstaller.exeを閉じてもプロセスがメモリーでずっと残っています。
7) ネットワーク接続動きが発見、下記の情報でリモートのIPに繋がりたいみたいですね↓
UNIXFREAXJP-SBOX:1038 to 194.251.249.103:27243
Wiresharkでパケットキャップチャしたらパケットのリクエスト動き確認が出来ます↓


不具合が多いので色んなスキャンサービスにスキャンしたら、結果は下記となります↓
【VirusTotal】【ThreatExpert】【PREVX】
↑結果を見たら確実にトロイですね。

■マルウェアのネットワークソース

------------------
IP 情報
------------------

IP: 219.163.200.68 OCN | JP | XREA.COM | DIGIROCK INC
ASN: 4713 219.160.0.0/14
inetnum: 219.160.0.0 - 219.165.255.255
netname: OCN
descr: OCN Provided By NTT-Communications which is ISP
descr: in Chiyoda-ku, Tokyo, Japan
country: JP
admin-c: JNIC1-AP
tech-c: JNIC1-AP

inetnum: 219.163.200.64 - 219.163.200.127
netname: DR-NET
descr: DigiRock,Inc.
country: JP
admin-c: KH5915JP
tech-c: KH5915JP
remarks: This information has been partially mirrored by APNIC from
remarks: JPNIC. To obtain more specific information, please use the
remarks: JPNIC WHOIS Gateway at
remarks: http://www.nic.ad.jp/en/db/whois/en-gateway.html or
remarks: whois.nic.ad.jp for WHOIS client. (The WHOIS client
remarks: defaults to Japanese output, use the /e switch for English
remarks: output)
changed: apnic-ftp@nic.ad.jp 20021107
changed: apnic-ftp@nic.ad.jp 20040528
source: JPNIC

------------------
ドメイン情報
------------------

Whois Server Version 2.0

Domain Name: XREA.COM
Registrar: KEY-SYSTEMS GMBH
Whois Server: whois.rrpproxy.net
Referral URL: http://www.key-systems.net
Name Server: NS1.VALUE-DOMAIN.COM
Name Server: NS2.VALUE-DOMAIN.COM
Name Server: NS3.VALUE-DOMAIN.COM
Name Server: NS4.VALUE-DOMAIN.COM
Name Server: NS5.VALUE-DOMAIN.COM
Status: clientDeleteProhibited
Status: clientTransferProhibited
Updated Date: 14-may-2011
Creation Date: 24-jul-2001
Expiration Date: 24-jul-2012

>>> Last update of whois database: Tue, 31 May 2011 13:25:30 UTC <<<

DOMAIN: XREA.COM

RSP: VALUE-DOMAIN, INC.
URL: http://www.value-domain.com

owner-contact: P-CGD92
owner-organization: DIGIROCK, INC.
owner-title: DOMAIN SECTION
owner-fname: c3fb1_VALUE
owner-lname: DOMAIN
owner-street: Chuo-ku Bakurou-cho 4-7-5
owner-city: Osaka-shi
owner-state: Osaka-fu
owner-zip: 541-0059
owner-country: JP
owner-phone: +81.662416585
owner-fax: +81.662416586
owner-email: domain-contact@digi-rock.com
(↑billing/tech/adminの情報は同じです)

nameserver: ns1.value-domain.com
nameserver: ns2.value-domain.com
nameserver: ns3.value-domain.com
nameserver: ns4.value-domain.com
nameserver: ns5.value-domain.com

; Please register your domains at
; http://www.value-domain.com

----
ゼロデイ・ジャパン
http://0day.jp
マルウェア研究所
アドリアン・ヘンドリック
Sponsored by: 株式会社ケイエルジェイテック

月曜日, 5月 30, 2011

【マルウェア警告】日本のウェブサーバにトロイ・ドロッパー&ダウンロードのURLを発見!色んな掲示板にダウンロードURLが書かれている状況、危険です。【対応済み】


また日本のサービスにマルウェアを発見しました。昨日から本件のマルウェア下記のサイトに見つけたので、色々チェックしてから今確実にマルウェアの確認が出来て報告させて頂きます。

■マルウェアのソースの説明
今回のマルウェアの種類はWindowsOS経由のトロイです。検知が出来てので、結果は下記のマルウェア名ようになります↓
TR/Dropper.Gen
Trojan/win32.agent.gen
Win32:Trojan-gen
Win32:Trojan-gen
Generic22.BIGN
Dropped:Trojan.Generic.6076049
W32/Heuristic-257!Eldorado
Trojan.MulDrop2.23915
Win32.Delf.te
Win32/MaranPWS!SFX
W32/Heuristic-257!Eldorado
W32/OnLineGames.JJ!tr.pws
Dropped:Trojan.Generic.6076049
Trojan-Downloader.Win32.Swfdown
Trojan/PSW.OnLineGames.cezu
Riskware
HEUR:Trojan.Win32.Generic
Artemis!B162CF455065
Artemis!B162CF455065
PWS:Win32/OnLineGames.FR
Win32/PSW.OnLineGames.PER
W32/Obfuscated.H!genr
Trj/CI.A
Trojan.Win32.Agent.zri
Mal/BHO-AT
Trojan.Agent/Gen-OnlineGames[Wilao
Trojan.Gen
TROJ_GEN.R47C2EQ
TROJ_GEN.R47C2EQ
Trojan.Win32.Small.102210
Trojan.Win32.Generic.pak!cobra
Trojan.PWS.OnLineGames!G1JDDTpmOqA

※Virus Totalのスキャン結果はこちらです

今回のマルウェアは下記のドメインに発見しました↓
http://www.uproda.net
サイトのスナップショットは下記となります↓

マルウェアのURLは下記のURLとなります↓
hxxp://www.uproda.net/down/uproda304784.rar
(警告、今現在マルウェアのダウンロードが未だできている状況で危ないなので、専門の方々じゃないと試して見ないで下さい)

マルウェアの感染仕組みは、色んな日本の掲示板にマルウェアのダウンロードURLを沢山書いてます。本件のマルウェアダウンロードURLをGoogleで検索したら沢山出てきます、画像スナップショットはこちらです↓

※現時点では「About 29 results (0.13 seconds) 」の検索結果が出ています。

※追加情報ですが、恐らく4月の頃には同じウェブサイトで似たようなトロイのマルウェアを発見し、同じ感染仕方をやっていました、前回のインシデントのレポートは⇒こちらです。

■マルウェアの説明
ダウンロードしたファイルはrarアーカイブとなりますので、中身は偽SCRファイルが入っています、下記は画像です↓


ファイルの情報は下記となります↓
File Name: 2010lov.scrですが、実は2010lov.sc.exe
File size : 290303 bytes
MD5 : 955a5fe7d6cde762827bad293dbe2458
SHA1 : a36b26dd5b079cfeb85ee1010795cdad92e9b231
SHA256: e6e1a9f7a82a0abb10ad0ec580fbca48dcee7747773d90ee2a651d2b2be5bed6
ファイルの形が、実行が出来るPEパッカーファイル、種類:RAR SFX

下記はこのファイルのあやしい点↓
1. 書いたCRC数を本当のCRC情報が違います(Claimed: 0でActual: 301322)
2. 見た目はscrファイルだけど実はexe+パッカーでrecompileの物
  (パッカーの目的はコードのDISASSEMBLYが出来ないように…)
3. 偽ファイルのアイコンを使っている(decrypterソフトで作ったっぽい)

↑あやしいので、中身をじっと見ます↓

RAR SFXの証拠↓


下記のDLLをロードされます:
ADVAPI32.DLL
KERNEL32.DLL
COMCTL32.DLL
COMDLG32.DLL
GDI32.DLL
SHELL32.DLL
USER32.DLL
OLE32.DLL
証拠↓


次は色々調査したらマルウェアの動きを説明が出来ます↓
1)ダウンロードされたrarファイルをextractしたら偽scrファイルが出て、クリックをすると実行されますので、WindowsシステムのフォルダにMXD.EXEファイルをドロップしてしまって(C:\WINDOWS\mxd.exe)、MDX.EXEを実行してしまいます。ここ迄RARファイルと偽SCRファイルの仕事が終わりみたいですね。
MXD.EXEのファイル情報はこちらです↓
FileName: C:\WINDOWS\mxd.exe
MD5: b162cf455065d98947525c330ed4e274
SHA-1: 12ebfb879c0fb84ee9b77d8768c13b734b342608
FileSize: 54624 Bytes

2)"C:\WINDOWS\mxd.exe"を実行されたら、Windowsのプロセスになります。
レジストリーのHKLM\​SOFTWARE\​CLASSES\​CLSID\​{3FDEB171-8F86-0022-1B01-69B8DB553683}\​INPROCSERVER32のバリューを変更しましたC:\​WINDOWS\​system32\​jHYrbty2.dll
(またいくつかレジストリーを弄ったみたいけれども…SKIPします)
それで、下記のファイルを作ったのです↓
C:\WINDOWS\system32\jHYrbty2.dll
C:\system1.exe
c:\aar.bat
↑ファイルを作ったらC:\system1.exeを実行します。MXDはプロセスでそのままで残っています。

3)これから本番ですね、C:\system1.exeを実行されたら、jHYrbty2.dllマルウェアのライブラリーをロードし、下記のフォルダー/ファイルを作られて↓
C:\Download
C:\Download\JPty
C:\Download\JPty\svchost.exe
C:\aar.bat
(↑上記のsvchost.exeはマルウェア用のsvchost.exeですね)
それで下記のプロセスが立上ります↓
C:\Download\JPty\svchost.exe
C:\WINDOWS\system32\cmd.exe
※cmd.exeがこのコマンドで実行されています⇒「cmd /c C:\aar.bat」ですね。
※因みにこのscvhst.exeは色んなマルウェアセットでよく使っている物ですので、ファイル情報は下記のようになります↓
 Filename: svchost.exe
 MD5: 98f0b58513717f987745529325fd9115
 SHA-1: 8b13eaca7cabdd857646b9bf51018c404b8e1767
 File Size: 54784 Bytes

4)ここ迄ですとmxd.exe、jHYrbty2.dll、偽scvhst.exe、と悪戯「cmd /c C:\aar.bat」がメモリーでプロセスを発見しました。この状態で色んなダウンロード動きの確認が誰も出来ますので、申し訳御座いませんが、明日仕事があるので、そこ迄には説明しません。
因みに「jHYrbty2.dll」を実行されたら色んなプロセス名が出てきました。
下記はプロセス名のテーブルとなります↓

※結論は下記となります↓
このダウンロードURLに色んなマルウェアが入っています↓
1. rarファイル=マルウェアのダウンロード・パッケージ
2. scrファイル=クリック感染為にマルウェアとmxd.exeマルウェアドロッパー
3. mxd.exe=トロイ・ドロッパー
4. jHYrbty2.dll、偽scvhst.exe、とaar.bat組み合わせて=トロイ・ダウンローダー
※確認の為にThreatExpertにサンプルを送りましたが結果はこちらです。

■マルウェアのネットワークソース

----------------------------
General IP Information
----------------------------
Host Name: www.uproda.net
IP Address: 122.249.94.169
Hostname: x094169.ppp.asahi-net.or.jp
ISP: ASAHI Net,Inc.
Organization: ASAHI Net,Inc.
Proxy: None detected
Type: Dial-up
Assignment: Static IP
Route: 122.249.0.0/16 AS4685

----------------------------
Geolocation Information
----------------------------
Country: Japan jp flag
State/Region: Tokyo
City: Tokyo
Latitude: 35.685
Longitude: 139.7514

----------------------------
IP ADDRESS Information
----------------------------
inetnum: 122.249.0.0 - 122.249.255.255
netname: ASAHI-NET
descr: ASAHI Net,Inc.
descr: 6-6-7 Ginza Chuo-ku, Tokyo
country: JP
admin-c: JNIC1-AP
tech-c: JNIC1-AP
status: ALLOCATED PORTABLE
remarks: Email address for spam or abuse complaints : ap-net@asahi-net.or.jp
changed: hm-changed@apnic.net 20061120
mnt-by: MAINT-JPNIC
mnt-lower: MAINT-JPNIC
source: APNIC

role: Japan Network Information Center
address: Kokusai-Kougyou-Kanda Bldg 6F, 2-3-4 Uchi-Kanda
address: Chiyoda-ku, Tokyo 101-0047, Japan
country: JP
phone: +81-3-5297-2311
fax-no: +81-3-5297-2312
e-mail: hostmaster@nic.ad.jp
admin-c: JI13-AP
tech-c: JE53-AP
nic-hdl: JNIC1-AP
mnt-by: MAINT-JPNIC
changed: hm-changed@apnic.net 20041222
changed: hm-changed@apnic.net 20050324
changed: ip-apnic@nic.ad.jp 20051027
source: APNIC

inetnum: 122.249.0.0 - 122.249.255.255
netname: ASAHI-NET-CIDR-BLK-JP
descr: ASAHI Net,Inc.
remarks: Email address for spam or abuse complaints : ap-net@asahi-net.or.jp
country: JP
admin-c: JP00057756
tech-c: JP00057756
remarks: This information has been partially mirrored by APNIC from
remarks: JPNIC. To obtain more specific information, please use the
remarks: JPNIC WHOIS Gateway at
remarks: http://www.nic.ad.jp/en/db/whois/en-gateway.html or
remarks: whois.nic.ad.jp for WHOIS client. (The WHOIS client
remarks: defaults to Japanese output, use the /e switch for English
remarks: output)
changed: apnic-ftp@nic.ad.jp 20061120
changed: apnic-ftp@nic.ad.jp 20100630
source: JPNIC

----------------------------
Domain Name Information
----------------------------
Whois Server Version 2.0

Domain names in the .com and .net domains can now be registered
with many different competing registrars. Go to http://www.internic.net
for detailed information.

Domain Name: UPRODA.NET
Registrar: KEY-SYSTEMS GMBH
Whois Server: whois.rrpproxy.net
Referral URL: http://www.key-systems.net
Name Server: NS1.VALUE-DOMAIN.COM
Name Server: NS2.VALUE-DOMAIN.COM
Name Server: NS3.VALUE-DOMAIN.COM
Name Server: NS4.VALUE-DOMAIN.COM
Name Server: NS5.VALUE-DOMAIN.COM
Status: ok
Updated Date: 10-mar-2011
Creation Date: 09-apr-2009
Expiration Date: 09-apr-2012

>>> Last update of whois database: Mon, 30 May 2011 11:34:53 UTC <<<

DOMAIN: UPRODA.NET

RSP: VALUE-DOMAIN, INC.
URL: http://www.value-domain.com

owner-contact: P-VID1530
owner-organization: VALUE-DOMAIN COM
owner-title: PRIVACY PROXY
owner-fname: VALUE
owner-lname: DOMAIN
owner-street: Honmachi TS Bld. 6F Bakurou-machi 4-7-5, Chuo-ku
owner-city: Osaka-shi
owner-state: Osaka-fu
owner-zip: 541-0059
owner-country: JP
owner-phone: +81.662416585
owner-fax: +81.662416586
owner-email: uprodanet@gmail.com

admin-contact: P-VID1530
admin-organization: VALUE-DOMAIN COM
admin-title: PRIVACY PROXY
admin-fname: VALUE
admin-lname: DOMAIN
admin-street: Honmachi TS Bld. 6F Bakurou-machi 4-7-5, Chuo-ku
admin-city: Osaka-shi
admin-state: Osaka-fu
admin-zip: 541-0059
admin-country: JP
admin-phone: +81.662416585
admin-fax: +81.662416586
admin-email: uprodanet@gmail.com

tech-contact: P-VZD735
tech-organization: VALUE-DOMAIN COM
tech-title: PRIVACY PROXY
tech-fname: VALUE
tech-lname: DOMAIN
tech-street: Honmachi TS Bld. 6F Bakurou-machi 4-7-5, Chuo-ku
tech-city: Osaka-shi
tech-state: Osaka-fu
tech-zip: 541-0059
tech-country: JP
tech-phone: +81.662416585
tech-fax: +81.662416586
tech-email: domain-contact@digi-rock.com

billing-contact: P-VZD735
billing-organization: VALUE-DOMAIN COM
billing-title: PRIVACY PROXY
billing-fname: VALUE
billing-lname: DOMAIN
billing-street: Honmachi TS Bld. 6F Bakurou-machi 4-7-5, Chuo-ku
billing-city: Osaka-shi
billing-state: Osaka-fu
billing-zip: 541-0059
billing-country: JP
billing-phone: +81.662416585
billing-fax: +81.662416586
billing-email: domain-contact@digi-rock.com

nameserver: ns1.value-domain.com
nameserver: ns2.value-domain.com
nameserver: ns3.value-domain.com
nameserver: ns4.value-domain.com
nameserver: ns5.value-domain.com

----------------------------
Web Server Information
----------------------------
HTTP/1.1 200 OK
Date: Mon, 30 May 2011 11:51:35 GMT
Server: Apache
X-Powered-By: PHP/5.2.10
Vary: Accept-Encoding,User-Agent
Content-Encoding: gzip
Content-Length: 20
Connection: close
Content-Type: text/html

今現在マルウェアがアップされている状況です、証拠は下記となります↓


Tue May 31 12:04:58 JST 2011の追加情報
早めに手続きが出来る様に先ほど直接uproda.netにメールで報告しました↓


本件のマルウェアURLが沢山掲示板に書かれておりますので、早めにマルウェアダウンロードURLを止めたいから詳細レポートをこのブログに書きました。
もしマルウェアを削除行動が頂ければ非常にありがたいですね。
関係者様のご協力をどうか宜しくお願いします m(_ _)m

----
ゼロデイ・ジャパン
http://0day.jp
マルウェア研究所
アドリアン・ヘンドリック
Sponsored by: 株式会社ケイエルジェイテック

日曜日, 5月 29, 2011

Androidスマートフォーンのゼロデイ対応


最近Androidスマートフォーンが持っている方々が増えました。沢山Google便利なサービスがAndroidスマートフォーンに入っていますね、「カレンダー」、「ギャラリー」、「地図」、「コンタクト情報」、など。それぞれのサービスには個人情報が沢山入っています、自分の情報、知り合いメールアドレス、電話番号と住所、など。
全ての情報は自動又は手動でGoogleサーバに同期されています。

つい最近AndroidOSのセキュリティ問題が発見されております、内容は簡単に言いますと、同期した時にデータが平文の形でサーバとスマートフォーンで送信と受信しているとので、情報が漏れる可能性が出ます。Wiresharkのソフトを使うと情報が直ぐに見られます↓

↑上記のデータはギャラリーの同期した時のデータです。

本件バグに付いてGoogle社が直ぐに直ったので、Androidバーション2.3.4OSをリリースしました。HTTPの同期仕組みはHTTPSの対応に追加を入られましたが、現時点では殆どのスマートフォーンが未だバーション2.3.4になっていません、例えば下記のAndroidの画像が未だバーション2.2.1ですね(日本のAndroidスマートフォーンの画像)↓


実はどのAndroidバーションがHTTPSに対応しているのか?
下記のテーブルでどのAndroidOSバーションと何アプリーがHTTPSで同期されているのか直ぐに見えます↓


では、今現在何が出来るの?↓
1. 出来たら、Android 2.3.4に早めにアップグレードが必要です。これはキャリアーのサービスによりますね。
2. Googleが現在古いバーションAndroidOSにも対応する動きがあると、パッチが出来る方法が開発されているみたいので、少し待ちましょう。
3. 暫く同期機能を標準設定から手動に設定を変更して下さい。パブリックWiFiの所には必ずGoogleに同期をしないで下さい。
4. 出来たら自分の個人WiFiサービスでずっと繋がったほうがいいと思います。これで個人情報がもっと守れるでしょ。

----
ゼロデイ・ジャパン
http://0day.jp
マルウェア研究所
アドリアン・ヘンドリック
Sponsored by: 株式会社ケイエルジェイテック

Zeus/ZBot 2.0.8.9のコードのレビュー


大分迄から私がずっとZeuSボット/ZBotをモニターしました、このブログには何回も書きました。今回ZeuSボットのバーション2.0.8.9のソースコードがリークされた時に調査依頼が来ましたので、もう一度ZeuSボットを書きます。

■バックグラウンド
先ずは現時点ではZeuSがバーション2しか発見していませんので、下記の履歴情報が明確に書いてあります↓

リークされたコードは2.0.8.9ですので、恐らく最新版ではありません。但し中身を確認したら本物のZeuSコードですと確認しました。

リークされたZeusのソースコードはC++コード(大体32,500ライン)とPHPコード(大体7,500ライン)で作ったコードです。C++のコードZeusビルダーのコードとUIでPHPコードはウェブインターフェースGUIとなります。コードに対応しているOSではXP、Vista、Seven、Server 2003、Server 2003 R2、Server 2008とServer 2008 R2とx32/x64環境です(そうです、x64にコンパイルしましたら動きます)。詳細な環境requirementがここで確認が出来ます。下記はZeuSのUIスナップショット↓
※ビルダー↓

※GUI↓


自分はC++少しは分かるので、色々コードの中に見たらこのバーションZeuSボットの動き、どんな書き方を発見したかというとこのブログに説明します。この情報を分かれば今後本件のマルウェア対策がもっときちんと対応が出来るかと思われます。

■一人のプログラマーで作ったコードって分かりました↓
何故か分かったかと…同じプログラミングのクセが何回も見えています、例えば…
・英語の基本的な文保ミスが多い↓


↑このクセに当たって基本的な文保ミスが多いので母国語が英語じゃないと確認が出来ました。

・コードのcondition/loopの条件の書き方が長い、この方はこの書き方が好きみたいですね、このクセを診たら良くあるSOLOIST(1人)のプログラマーの書き方だと思います↓

・コメントは必ず「//」で書いてます。
・"GOTO"のジャンプの遣り方が結構使われてます。

■コードを書いた人が東ヨーロッパ経由のプログラマー
今迄の疑問がはっきり分かりました、間違いなく東ヨーロッパの方の作ったマルウェアですね。何故かというと↓
・ロシア語のコメントが結構多いですので、自分の為にコメントは殆どロシア語使っています↓

但し、色んな環境エディターで中々読みにくい、例えば↓Cyrilicだけど文字化け…

・ロシア語版のインターフェースも発見されていますは例えば下記のUIメッセージ↓

・誰でも使えるようにこの方は頑張って英語のメッセージを用意したみたいので、上記に書いたように母国語が英語じゃないと確認が出来ました。

■ZeuSボットのソフト仕組み

上記のダウンロードしたコードの中にを色々見たらこのバーションのZeuS仕組みを説明が出来ます↓
・感染されたらZeuSボットは全てパソコンにあるプロセスにコードをインジェクトする動きを発見しました。
・目的は上手く行けるプロセスでパソコンにrootkitをインストールする動きを発見
・上記2件の為に沢山windowsのライブラリーを使われており、オリジナルバイナリーが無いと分かりました。
・インジェクトが出来たら「Core::_injectEntryForModuleEntry」の「routine」を実行されます、「Core::_injectEntryForModuleEntry」の目的はここでシステムのOEPのフックとコールのポイントを決めるみたいですね。ZeuSボットのオップションによりますが「Core::_injectEntryForModuleEntry」が最初から立上る時もあります。「Core::_injectEntryForModuleEntry」が重要で、ここで次のプロセスを起動されます↓
・TCPサーバを起動されます、目的はキーロガーとスクリーンショット画像を取る為にプロキシでサービスが動いております。
・BackConnectサービスが立上り、コミュニケーションセンターの目的ですが下記詳細情報を説明します。
・CONFIGアップデーターのサービス(何分1回にパソコンの最新情報を取ります)
・レポートのサービス、ボットネットのC&Cに情報を送る事をやっています。
・感染サービス、MUTEXの情報をチェックし未だ感染されていないプロセスが見えたら幹線する動きをやっています。
・Autorunサービス、200ミリ秒1回にパソコンのレジストリー(HKCU\..\Run)に書き込みします。目的はボットのサービスがやり続くように…
・WINNET/Nsrp4を使いIEやFirefoxのブラウザとFlashのCOOKIEを取る、アップロードする、削除する事をやっています。
・WINNETを使い、パソコンに登録されたSSL認証を取る、アップロードする、削除する事をやっています。
・FlashFXP3、TotalCommander、WS_FTP、FileZilla、FAR Manager、WINSCP、FTP Commander、CoreFTPとSmartFTPの
FTPアカウントログイン情報とパスワードを取る、外に送る事をやっています。
・Windows Mail、Windows Contact Book、Outlook Express、Windows Address Bookからのメールアカウント情報と全てやり取りメールアドレスを取る、外に送る事をやっています。

■IPV6のデュアルスタック対応
・現在検証迄には行かないけど(私はipv6のデュアルスタック環境が無いから)コメントを見たらIPV4とIPV6に対応するつもりと見えます↓

■back-connectサービス

ZeuSのコードにはBackConnectボットの機能があります。コンポネントは下記となります↓

BackConnectボットとはBackConnectサーバのクライアントソフトで、サーバからのIM(インスタントメッセージ)プロトコル経由のコマンドを聞き、コマンドをZeuSボットクライアントソフトに渡すし、サーバにもコマンドを返します。この2つポート番号設定とIPv4/IPv6の設定がコマンドラインで出来ます。SYNTAXは下記となります↓
Zsbcs.exe listen –ipv4 –bp:[bot port] –cp:[client port]
追加情報、パソコンI/Oのやり取りを見たら、server:port:protocolの情報を書き込みと読み込みがると見えます。
BackConnectボットを起動した時にVNCサーバを起動します。下記がVNC機能の説明となります。BackConnectボットのコードスナップショット↓

下記はBackConnectサービスのセッティング確認スナップショット↓

■VNCサービス
このVNCのコードもZeuSコードの中に発見しました

ZeuSのVNCサーバは「Socks4/5/socks4a」とTCP Tunnelプロトコルには対応していいます。VNCサービスの作り方仕組みがいいと思います。なるべくオリジナルコードを使うよりもパソコンのUSER32のAPIとGDI32/KERNEL32/USER32の機能をコールしてVNCサービスを作りました。ZeuSのVNCサービスは2つSOCKETしか開けません、一つはback-connectサービスからのTCP Tunnel情報を聞く為に、と、もう1つは情報を返す為にです。
下記はVNCサーバの確認スナップショット↓

■ZeuSボットのAPI一覧

上記はZeuSボットクライアントが使っているAPI一覧です。キーワードのコピーの為に下記のテキストを使えると思います↓
ntdll!LdrLoadDll ntdll!NtQueryDirectoryFile
kernel32!GetFileAttributesExW wininet!HttpSendRequest(Ex)A/W
wininet!InternetCloseHandle wininet!InternetReadFile(ExA)
wininet!InternetQueryDataAvailable wininet!HttpQueryInfoA
ws2_32!send/WSASend ws2_32!closesocket
user32!TranslateMessage user32!GetClipboardData
crypt32!PFXImportCertStore 

他のリファレンスはVNCサービスのAPIとなります↓
OpenInputDesktop, SwitchDesktop, DefWindowProcA/W, DefDlgProcA/W, DefFrameProcA/W, DefMDIChildProcA/W, CallWindowProcA/W, RegisterClass(Ex)A/W, BeginPaint, EndPaint, GetDCEx, GetDC, GetWindowDC, ReleaseDC, GetUpdateRect, GetUpdateRgn, GetMessagePos, Get/SetCursorPos, Get/SetCapture, ReleaseCapture, GetMessageA/W, PeekMessageA/W
※上記のAPI説明では名前を見たら大体意味が分かるかと思います

■リモートの繋ぎ先の方法
ソースコードパッケージに書いたように下記のサイト一覧にZeuSの繋ぎ先情報となります、HTTPとHTTPSプロトコルに対応しています↓
*.ebay.com/*eBayISAPI.dll?*
*//mail.yandex.ru/
*//mail.yandex.ru/index.xml
*//money.yandex.ru/
*//money.yandex.ru/index.xml
*/my.ebay.com/*CurrentPage=MyeBayPersonalInfo*
*banquepopulaire.fr/*
*wellsfargo.com/*
hxxp://*.osmp.ru/
hxxp://caixasabadell.net/banca2/tx0011/0011.jsp
hxxp://www.hsbc.co.uk/1/2/personal/internet-banking*
hxxps://areasegura.banif.es/bog/bogbsn*
hxxps://banca.cajaen.es/Jaen/INclient.jsp
hxxps://bancaonline.openbank.es/servlet/PProxy?*
hxxps://bancopostaonline.poste.it/bpol/bancoposta/formslogin.asp
hxxps://banesnet.banesto.es/*/loginEmpresas.htm
hxxps://banking*.anz.com/*
hxxps://cardsonline-consumer.com/RBSG_Consumer/VerifyLogin.do
hxxps://carnet.cajarioja.es/banca3/tx0011/0011.jsp
hxxps://easyweb*.tdcanadatrust.com/servlet/*FinancialSummaryServlet*
hxxps://empresas.gruposantander.es/WebEmpresas/servlet/webempresas.servlets.*
hxxps://extranet.banesto.es/*/loginParticulares.htm
hxxps://extranet.banesto.es/npage/OtrosLogin/LoginIBanesto.htm
hxxps://hb.quiubi.it/newSSO/x11logon.htm
hxxps://home.cbonline.co.uk/login.html*
hxxps://home.ybonline.co.uk/login.html*
hxxps://home.ybonline.co.uk/ral/loginmgr/*
hxxps://home2ae.cd.citibank.ae/CappWebAppAE/producttwo/capp/action/signoncq.do
hxxps://ibank.barclays.co.uk/olb/x/LoginMember.do
hxxps://ibank.barclays.co.uk/olb/x/LoginMember.do
hxxps://ibank.internationalbanking.barclays.com/logon/icebapplication*
hxxps://intelvia.cajamurcia.es/2043/entrada/01entradaencrip.htm
hxxps://internetbanking.aib.ie/hb1/roi/signon
hxxps://light.webmoney.ru/default.aspx
hxxps://light.webmoney.ru/default.aspx
hxxps://lot-port.bcs.ru/names.nsf?#ogin*
hxxps://montevia.elmonte.es/cgi-bin/INclient_2098*
hxxps://oi.cajamadrid.es/CajaMadrid/oi/pt_oi/Login/login
hxxps://oie.cajamadridempresas.es/CajaMadrid/oie/pt_oie/Login/login_oie_1
hxxps://olb2.nationet.com/MyAccounts/frame_MyAccounts_WP2.asp*
hxxps://olb2.nationet.com/signon/signon*
hxxps://online*.lloydstsb.co.uk/logon.ibc
hxxps://online.wamu.com/Servicing/Servicing.aspx?targetPage=AccountSummary
hxxps://online.wellsfargo.com/das/cgi-bin/session.cgi*
hxxps://online.wellsfargo.com/login*
hxxps://online.wellsfargo.com/signon*
hxxps://onlinebanking#.wachovia.com/myAccounts.aspx?referrer=authService
hxxps://onlinebanking.nationalcity.com/OLB/secure/AccountList.aspx
hxxps://onlinebanking.norisbank.de/norisbank/login.do?method=login*
hxxps://online-business.lloydstsb.co.uk/customer.ibc
hxxps://onlineeast#.bankofamerica.com/cgi-bin/ias/*/GotoWelcome
hxxps://online-offshore.lloydstsb.com/customer.ibc
hxxps://pastornetparticulares.bancopastor.es/SrPd*
hxxps://privati.internetbanking.bancaintesa.it/sm/login/IN/box_login.jsp
hxxps://probanking.procreditbank.bg/main/main.asp*
hxxps://resources.chase.com/MyAccounts.aspx
hxxps://scrigno.popso.it*
hxxps://web.da-us.citibank.com/*BS_Id=MemberHomepage*
hxxps://web.da-us.citibank.com/cgi-bin/citifi/portal/l/autherror.do*
hxxps://web.da-us.citibank.com/cgi-bin/citifi/portal/l/l.do
hxxps://web.secservizi.it/siteminderagent/forms/login.fcc
hxxps://welcome23.smile.co.uk/SmileWeb/start.do
hxxps://welcome27.co-operativebank.co.uk/CBIBSWeb/start.do
hxxps://www#.citizensbankonline.com/*/index-wait.jsp
hxxps://www#.XXXXXXXXXXXXXXXXXXXXXXXXXXXX (censored upon requested)
hxxps://www*.banking.first-direct.com/1/2/*
hxxps://www.53.com/servlet/efsonline/index.html*
hxxps://www.bancajaproximaempresas.com/ControlEmpresas*
hxxps://www.bancoherrero.com/es/*
hxxps://www.bbvanetoffice.com/local_bdno/login_bbvanetoffice.html
hxxps://www.bgnetplus.com/niloinet/login.jsp
hxxps://www.caixagirona.es/cgi-bin/INclient_2030*
hxxps://www.caixalaietana.es/cgi-bin/INclient_2042
hxxps://www.caixaontinyent.es/cgi-bin/INclient_2045
hxxps://www.caixatarragona.es/esp/sec_1/oficinacodigo.jsp
hxxps://www.cajabadajoz.es/cgi-bin/INclient_6010*
hxxps://www.cajacanarias.es/cgi-bin/INclient_6065
hxxps://www.cajacirculo.es/ISMC/Circulo/acceso.jsp
hxxps://www.cajadeavila.es/cgi-bin/INclient_6094
hxxps://www.caja-granada.es/cgi-bin/INclient_2031
hxxps://www.cajalaboral.com/home/acceso.asp
hxxps://www.cajasoldirecto.es/2106/*
hxxps://www.cajavital.es/Appserver/vitalnet*
hxxps://www.ccm.es/cgi-bin/INclient_6105
hxxps://www.citibank.de*
hxxps://www.clavenet.net/cgi-bin/INclient_7054
hxxps://www.dab-bank.com*
hxxps://www.ebank.hsbc.co.uk/main/IBLogon.jsp
hxxps://www.e-gold.com/acct/balance.asp*
hxxps://www.e-gold.com/acct/li.asp
hxxps://www.fibancmediolanum.es/BasePage.aspx*
hxxps://www.gbw2.it/cbl/jspPages/form_login_AV.jsp*
hxxps://www.gruposantander.es/bog/sbi*?ptns=acceso*
hxxps://www.gruppocarige.it/grps/vbank/jsp/login.jsp
hxxps://www.halifax-online.co.uk/_mem_bin/*
hxxps://www.halifax-online.co.uk/_mem_bin/formslogin.asp*
hxxps://www.halifax-online.co.uk/MyAccounts/MyAccounts.aspx*
hxxps://www.in-biz.it*
hxxps://www.isbank.com.tr/Internet/ControlLoader.aspx*
hxxps://www.isideonline.it/relaxbanking/sso.Login*
hxxps://www.iwbank.it/private/index_pub.jhtml*
hxxps://www.mybank.alliance-leicester.co.uk/login/*
hxxps://www.nwolb.com/Login.asp*
hxxps://www.nwolb.com/Login.aspx*
hxxps://www.paypal.com/*/webscr?cmd=_account
hxxps://www.paypal.com/*/webscr?cmd=_login-done*
hxxps://www.rbsdigital.com/Login.asp*
hxxps://www.sabadellatlantico.com/es/*
hxxps://www.suntrust.com/portal/server.pt*parentname=Login*
hxxps://www.unicaja.es/PortalServlet*
hxxps://www.uno-e.com/local_bdnt_unoe/Login_unoe2.html
hxxps://www.us.hsbc.com/*
hxxps://www.wellsfargo.com/*
hxxps://www2.bancopopular.es/AppBPE/servlet/servin*

----
ゼロデイ・ジャパン
http://0day.jp
マルウェア研究所
アドリアン・ヘンドリック
Sponsored by: 株式会社ケイエルジェイテック

金曜日, 5月 20, 2011

【マルウェア警告】日本のウェブサーバに(203.104.246.158)台湾/中国経由トロイ・マルウェアを発見!感染されたら(221.250.15.7)のホストにHTTPで監視されています【対応済み】


本件のマルウェアが昨日の夜に発見しました。日本にあるウェブサーバにこのマルウェアがHTTPでダウンロードが出来てしまいます。マルウェアのURLがK-SHIELDでフィルターされた迷惑メールの文書に見つけました。
マルウェアの種類はWindowsOSのトロイの木馬ですね、Borland/Deplhiで作られたバイナリーです。今現在本件のマルウェアが未だアップされている状況ですので、非常に危険ですが、安全の為にURLを隠しております。下記、研究結果の情報を説明致します。

■マルウェア仕組み/バックグラウンド
このマルウェアの感染仕組みが単純で、ある有名なソフトの①アプリケーション(バイナリー)と②インストーラーパッケージを真似して、セキュリティ問題があるウェブページに入れているみたいです。
問題は、検知が直ぐに出来ないように真似されたソフトのオリジナルコンポネントもそのままで使っています。もしトロイ/マルウェアの部分を検知が出来ても「誤検知」可能性の疑問を出したいみたいです。この原因で詳しく中身迄に確認しないと見た目の確認だけでは分からない状況でした。

■マルウェアのソースの情報

下記のURLで下記の画像でブラウザで開けます↓
hxxp://f15.aaa.livedoor.jp/~poiugg/201105/


本件のマルウェアURLをブラウザでクリックしたらダウンロードされていますが下記のwgetように
--19:42:44-- hxxp://f15.aaa.livedoor.jp/~poiugg/201105/USBDiskSecurity_6.0.0.126.exe
=> `USBDiskSecurity_6.0.0.126.exe.1'
Resolving f15.aaa.livedoor.jp... 203.104.246.158
Connecting to f15.aaa.livedoor.jp|203.104.246.158|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 4,950,665 (4.7M) [application/octet-stream]
100%[====================================>] 4,950,665 1.84M/s
19:42:47 (1.83 MB/s) - `USBDiskSecurity_6.0.0.126.exe.1' saved [4950665/4950665]

このマルウェアを提供しているURLのネットワークは日本です、情報は下記となります↓
inetnum: 203.104.224.0 - 203.104.255.255
netname: DATAHOTEL
descr: Livedoor Co., Ltd.
descr: DataHotel TaskForce
country: JP
admin-c: LN137-AP
tech-c: LN137-AP
mnt-by: APNIC-HM
mnt-lower: MAINT-JP-LIVEDOOR
changed: hm-changed@apnic.net 20010525
changed: hm-changed@apnic.net 20030530
status: ALLOCATED PORTABLE
changed: hm-changed@apnic.net 20040302
changed: hm-changed@apnic.net 20100324
source: APNIC
person: Livedoor Network Operations
nic-hdl: LN137-AP
e-mail: ipaddress@data-hotel.net
address: 2-16-9, Kabuki-cho, Shinjuku-ku, Tokyo
phone: +81-3-5155-2012
fax-no: +81-3-5155-5290
country: JP
changed: ipaddress@data-hotel.net 20080617
mnt-by: MAINT-JP-LIVEDOOR
source: APNIC

※Googleでロケーションを確認したら下記の情報が出ます↓

■マルウェアのバイナリー情報
本件のマルウェアをダウンロードされたら「USBDiskSecurity_6.0.0.126.exe」のファイルが来ます。このファイルの情報は下記となります↓
FileName: USBDiskSecurity_6.0.0.126.exe
PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5 : 7be97670b45fca4b119713f483ae8c99
SHA1 : d56e9f9fcc7df4fcb7835366ab66fb09bee10756
SHA256: b93aaa9e2dc301b9bfb17addf9a801f7a1bd5a08a4716b52532c5d5c01a403f2
File size : 4,950,665 bytes

私はダウンロードしたの物では下記の形で見えます↓

↑本物のソフトのインストーラーを手元に用意が出来たので、見た目だけを比べたら全然違いますので、本物のソフトでは「USB Disk Security 6 for Windows」でインストーターがちゃんとしっかりインストーラーとなります。

偽USBDiskSecurity_6.0.0.126.exeは普通のPE32パッカー(PACKER)の圧縮フォーマットなので、WinRARソフトで開けますが中身はこうになります↓

↑何か難しい漢字「防隨身碟病毒軟體」が出てきたので読めないですがあやしいと感じます。
辞書では、 病毒 【びょうどく】 (n) virus; ED、それで、 軟 【なん】 (adj-t,adv-to) soft; ED、と見えますので他の字の意味合いが分からないですね。。

続いて「USBDiskSecurity_6.0.0.126.exe」のバイナリーエディターで色々調べたら下記のあやしい点も発見しました↓

↑普通のインストーラーですとそこ迄Shellをコール必要が無いので、本件のパッカーがあやしいと思います。

続いて、次は偽者(マルウェア)のパッケージ中身と本物ソフトの中身を比べたら↓

↑これを見たら少し驚いた。偽者/マルウェアのインストーラーの中身を見たら、本物ソフトのコンポネントをそのままで入っていますと分かりました。
違いなのはマルウェアのパッカー(英語だとPACKER)の中に下記のファイルが入っています↓
1)desktop.ini ←パッカーのアイコン/設定コマンドが入っています、コメントは中国語です。
2)USB Disk Security Update Log.txt ←只に本物ソフトのテキストログファイル
3)「偽USBGuard.exe」のファイルを発見 ←本物ソフトと比べたらアイコンとファイル名が似ているけれどもサイズと日付けが違う情報が入っています、恐らくマルウェアかと思われます。

続いて「偽USBGuard.exe」のファイル情報は下記となります↓
PEiD: BobSoft Mini Delphi -> BoB / BobSoft
PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5 : 87eac2a3e5bdc7aaed146bfb5145985f
SHA1 : d3b6dab07d71e1d12c005c55667e48cbc4e6e4ea
SHA256: 4618c6bd1471f4845d73dd77ba92f38753c5a09c1f01e25a8396cf695d668a8e
File size : 709,668 bytes

■マルウェアの動きの研究結果(behavior analysis)
ここ迄を見たら「USBDiskSecurity_6.0.0.126.exe」と「偽USBGuard.exe」をsandboxにテストしてみましょう↓
「USBDiskSecurity_6.0.0.126.exe」では下記動きが発見しました↓

※レジェンド↓
赤色:
  ①リモートからダウンロードされたファイル、と、
  ②設定を変更されたIEをメモリーマップへ残す
青色:
  ①キーボードのオペレーションをモニターされています(intercepted)
紫色:
  ①UDPでDNSリクエストをなげてます、ホスト名は「uttxus.s206.xrea.com」
  ②HTTPで「uttxus.s206.xrea.com/221.250.15.7:80」リクエストが投げています
※因みに「偽USBGuard.exe」をsandboxに動かしたらエラーとなり、実行が出来ませんでした。

■マルウェア対策ソフトのスキャン結果
続いて、今迄の調査結果を見たら、もうおかしいですので、色んなマルウェア対策ソフトをスキャンしました。下記の結果となります↓
「USBDiskSecurity_6.0.0.126.exe」⇒ 【ウイルストータル】【ThreatExpert】
「偽USBGuard.exe」⇒ 【ウイルストータル】【ThreatExpert】

スキャンの結果を見ると、確実にマルウェアの証明が出来ました、マルウェア名は下記のようになります↓
W32/Internet-Trojan-patched-based!Maximus(F-Prot)、Trojan.Generic.5508394(F-Secure/GData/BitDefender)、Trojan.Win32.Antavmu.xxx(Ikarus/Kaspersky)、Sus/ComPack-C(Sophos)、Trojan.ADH(Symantec)、TROJ_GEN.R21C3BF(TrendMicro)、など

ここで追加情報が出ます、下記の画像となります、私は何も言えません↓

■繋ぐ先のサイトのアナリシス
本件のマルウェアは「221.250.15.7」のIPアドレスにHTTPでやり取りしています、「221.250.15.7」のIP情報を見たらまた驚いたのです、ボットネットの関係ホストの可能性が高いです、下記ネットワークのリンク画像↓

このIP「221.250.15.7」で本件のマルウェアが監視されていると間違いがありません。
念のために221.250.15.7のネットワーク情報とロケーションも日本となりますが、情報は下記となります↓
inetnum: 221.250.15.0 - 221.250.15.15
netname: N-OS0010-268
descr: DIGIROCK,INC.
country: JP
admin-c: JP00022296
tech-c: JP00022296
remarks: This information has been partially mirrored by APNIC from
remarks: JPNIC. To obtain more specific information, please use the
remarks: JPNIC WHOIS Gateway at
remarks: http://www.nic.ad.jp/en/db/whois/en-gateway.html or
remarks: whois.nic.ad.jp for WHOIS client. (The WHOIS client
remarks: defaults to Japanese output, use the /e switch for English
remarks: output)
changed: apnic-ftp@nic.ad.jp 20050520
source: JPNIC
inetnum: 221.240.0.0 - 221.255.255.255
netname: usen
descr: UCOM Corp.
descr: FTTH Broad Band Service Provider
descr: 4-2-8, Shibaura, Minato-ku, Tokyo 108-0023,Japan
country: JP
admin-c: JNIC1-AP
tech-c: JNIC1-AP
remarks: abuse@ucom.ne.jp
remarks: JPNIC's member direct allocation
mnt-by: MAINT-JPNIC
mnt-lower: MAINT-JPNIC
status: ALLOCATED PORTABLE
changed: ip-apnic@nic.ad.jp 20070221
changed: ip-apnic@nic.ad.jp 20070507
source: APNIC


■マルウェア対応履歴
下記の段取りで対応動きとなります↓
Thu May 19 JST 2011
・本件のマルウェアURLが発見
・研究はじめ
・マルウェア未だアップしている状況

Fri May 20 12:43:54 JST 2011
・研究終わり
・色んなアンチウイルスにサンプルを送る
・ブログのレポートを書く、ブログ警告を提供
・マルウェア・ブラックリスト・ドメインを登録
・マルウェア未だアップしている状況

Sat May 21 12:45:32 JST 2011
・JPCERT/CCへレポート作成
・マルウェア未だアップしている状況

Thu May 26 14:15:09 JST 2011
・マルウェアに入ったサイトに先ほど確認しましたら、
 マルウェアのバイナリーが変わってしまいました、同じファイル名で、0byteのexeファイルになりました。

※本件の最期の結論は↓
1. マルウェアの証拠が変わってしまったが、ファイル名前が同じで0byteのexeファイルがアップされています。おかしい不具合がありましたが、WindowsOSの動きの仕様でした。
2. ファイル名が残っている原因が分かりません。そもそも0byteのファイルですね、ファイルを削除すればよかったかと思います。
3. 暫く本件のサイトのモニターをやり続きます。様子見ます

----
ゼロデイ・ジャパン
http://0day.jp
マルウェア研究所
アドリアン・ヘンドリック
Sponsored by: 株式会社ケイエルジェイテック

水曜日, 5月 11, 2011

【マルウェア警告】日本のIDCにIRCボットのPerl/PHPマルウェアを発見!【対応済み】


マルウェアの種類はPerlとPHP経由のIRCボットです。PerlとPHPコールして、マシンのshellコマンドをexploitして、感染された環境からボットのスクリプトをダウンロードされるようなマルウェアです。スクリプトを実行されたらバックドアの動きを発見されています。その開いたポートがIRCサーバに繋がってボットマスターからの色んなコマンドの実行が出来ます。

現在未だアップしている状況ですので、マルウェアのスクリプトのソースコードを下記のURLで研究の為に見えます↓
hxxp://myvinhlong.com/me/public/user/d9/0a/c0x.txt
hxxp://myvinhlong.com/me/public/user/d9/0a/bismi2.txt
hxxp://myvinhlong.com/me/public/user/d9/0a/ID-RFI.txt
hxxp://myvinhlong.com/me/public/user/d9/0a/itile.txt

※スクリプトに書いたコメントを見たら、本件のマルウェアを作った国はマレーシアかインドネシア又はSingaporeだと思います。

このスクリプトがリモートから動かせるように見えるので、下記、日本にある感染されたマシンのURIをITW(In the Wild)で発見しました↓
hxxp://myvinhlong.com/me/public/user/d9/0a/c0x.txt??
hxxp://myvinhlong.com/me/public/user/d9/0a/bismi2.txt
hxxp://myvinhlong.com/me/public/user/d9/0a/ID-RFI.txt?
hxxp://myvinhlong.com/me/public/user/d9/0a/itile.txt
hxxp://myvinhlong.com/me/public/user/d9/0a/bismi2.txt?
hxxp://myvinhlong.com/me/public/user/d9/0a/c0x.txt???
hxxp://myvinhlong.com/me/public/user/d9/0a/ID-RFI.txt??


↑コードを見たら、このマルウェアツールを使うと色んなマシンに感染が出来ると、ボットの実行コマンドがIRCサーバから来るみたいです。その為にIRCと繋ぐポートを開けるように見えてます。他のマシンに感染させる仕組みですね。
日本のIDC付いてこの物が入ってしまったら危険な状況になったかと思います、攻撃されているマシンから見ると攻撃ソースはIDCのネットワークからとなりますので…困るでしょうね。

本件のマルウェアは昨日の夜アラートが出てきましたので、リモートからファイル一覧を出すようにして(遣り方は教えません、ごめん)、日付けとファイルの権限の確認が出来ます↓
-rwx------ 1 1223 May 9 01:12 ID-RFI.txt*
-rwx------ 1 19191 May 9 01:03 bismi2.txt*
-rwx------ 1 14831 May 9 01:04 c0x.txt*
-rwx------ 1 56267 May 9 00:57 itile.txt*

↑ファイルの日付けを見えますね。全てファイルが実行出来るような権限が持っていると確認が出来ました。
研究が今日の仕事終わってからさっき迄にやっていましたので、本件のサンプルもあちこちのAVメーカーにサンプルにも送っています。
今日もIDCの担当者に報告しましたので、そろそろ削除されると思います。念のためにこの事件もありますよと残す為にこのブログに書きました。

このマルウェアは1セット(4つファイル)で動かすしか出来ない物で、4つファイルのスキャン結果を見ると同じウイルス名出ると見えます⇒「PHP/WebShell」、「Trojan.Script」、「Backdoor.PHP.C99Shell」、など。詳細スキャン結果は下記となります

※マルウェア・スキャン結果(VIRUS TOTAL)↓


念のためにネットワーク情報も書きました↓

※DNS情報
ドメイン:http://myvinhlong.com/
;; QUESTION SECTION:
;myvinhlong.com. IN A

;; ANSWER SECTION:
myvinhlong.com. 3600 IN A 49.212.16.106

;; AUTHORITY SECTION:
myvinhlong.com. 3600 IN NS ns3.everydns.net.
myvinhlong.com. 3600 IN NS ns4.everydns.net.
myvinhlong.com. 3600 IN NS ns1.everydns.net.
myvinhlong.com. 3600 IN NS ns2.everydns.net.

;; ADDITIONAL SECTION:
ns1.everydns.net. 1864 IN A 208.76.61.100
ns2.everydns.net. 431 IN A 208.76.62.100
ns3.everydns.net. 2422 IN A 208.76.63.100

※WHOIS情報↓

NetRange: 49.0.0.0 - 49.255.255.255
CIDR: 49.0.0.0/8
OriginAS:
NetName: APNIC-49
NetHandle: NET-49-0-0-0-0
Parent:
NetType: Allocated to APNIC
Comment: This IP address range is not registered in the ARIN database.
Comment: For details, refer to the APNIC Whois Database via
Comment: WHOIS.APNIC.NET or http://wq.apnic.net/apnic-bin/whois.pl
Comment: ** IMPORTANT NOTE: APNIC is the Regional Internet Registry
Comment: for the Asia Pacific region. APNIC does not operate networks
Comment: using this IP address range and is not able to investigate
Comment: spam or abuse reports relating to these addresses. For more
Comment: help, refer to http://www.apnic.net/apnic-info/whois_search2/abuse-and-spamming
RegDate: 2010-08-12
Updated: 2010-08-16
Ref: http://whois.arin.net/rest/net/NET-49-0-0-0-0

OrgName: Asia Pacific Network Information Centre
OrgId: APNIC
Address: PO Box 2131
City: Milton
StateProv: QLD
PostalCode: 4064
Country: AU
RegDate:
Updated: 2004-03-01
Ref: http://whois.arin.net/rest/org/APNIC

ReferralServer: whois://whois.apnic.net

OrgTechHandle: AWC12-ARIN
OrgTechName: APNIC Whois Contact
OrgTechPhone: +61 7 3858 3188
OrgTechEmail: search-apnic-not-arin@apnic.net
OrgTechRef: http://whois.arin.net/rest/poc/AWC12-ARIN

# ARIN WHOIS data and services are subject to the Terms of Use
# available at: https://www.arin.net/whois_tou.html

% [whois.apnic.net node-1]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html

inetnum: 49.212.0.0 - 49.212.255.255
netname: SAKURA-OSAKA
descr: SAKURA Internet Inc.
descr: 1-8-14, Minami Honmachi, Chuo-ku, Osaka 541-0054, Japan
country: JP
admin-c: JNIC1-AP
tech-c: JNIC1-AP
status: ALLOCATED PORTABLE
remarks: Email address for spam or abuse complaints : abuse@sakura.ad.jp
changed: hm-changed@apnic.net 20101207
mnt-irt: IRT-JPNIC-JP
mnt-by: MAINT-JPNIC
mnt-lower: MAINT-JPNIC
source: APNIC

role: Japan Network Information Center
address: Kokusai-Kougyou-Kanda Bldg 6F, 2-3-4 Uchi-Kanda
address: Chiyoda-ku, Tokyo 101-0047, Japan
country: JP
phone: +81-3-5297-2311
fax-no: +81-3-5297-2312
e-mail: hostmaster@nic.ad.jp
admin-c: JI13-AP
tech-c: JE53-AP
nic-hdl: JNIC1-AP
mnt-by: MAINT-JPNIC
changed: hm-changed@apnic.net 20041222
changed: hm-changed@apnic.net 20050324
changed: ip-apnic@nic.ad.jp 20051027
source: APNIC

inetnum: 49.212.16.0 - 49.212.16.255
netname: SAKURA-NET
descr: SAKURA Internet Inc.
country: JP
admin-c: KT749JP
tech-c: KW419JP
remarks: This information has been partially mirrored by APNIC from
remarks: JPNIC. To obtain more specific information, please use the
remarks: JPNIC WHOIS Gateway at
remarks: http://www.nic.ad.jp/en/db/whois/en-gateway.html or
remarks: whois.nic.ad.jp for WHOIS client. (The WHOIS client
remarks: defaults to Japanese output, use the /e switch for English
remarks: output)
changed: apnic-ftp@nic.ad.jp 20110201
source: JPNIC


■最新情報アップデート↓

Wed May 10 11:27:00 JST 2011

本件のマルウェアがIDCの法に消してくれました。本件のフォローは「CLOSE/フォロー完了」となります。

----
ゼロデイ・ジャパン
http://0day.jp
マルウェア研究所
アドリアン・ヘンドリック
Sponsored by: 株式会社ケイエルジェイテック