木曜日, 2月 16, 2012

#OCJP-016: 日本USENネットワークにあるmayaweb.jp(221.251.54.213)にトロイ・スパイウェア発見! 【対応済み】


■下記のサイト

mayaweb.jp / 221.251.54.213

■下記のURL

hxxp://s3.mayaweb.jp/videoplayer/shock/Play_Video_Click_Run.exe

■下記のマルウェアを発見しました↓

アファイル  :「Play_Video_Click_Run.exe」 マルウェア種類: トロイ・バックドア・スパイウェア マルウェア名 : Win32/Trojan/Backdoor/Spyware/ Vundo/Jorik マルウェア機能: バックドア(Port: 34354)、スパイウェア(情報送信動き発見) 説明     : 感染されたPCにsvchost.exe経由でPort: 34354のバックドアを開いたそう 情報を中国サーバのIPアドレスに送信される

■ダウンロード証拠↓

--17:40:13-- hxxp://s3.mayaweb.jp/videoplayer/shock/Play_Video_Click_Run.exe => `Play_Video_Click_Run.exe' Resolving s3.mayaweb.jp... 221.251.54.213 Connecting to s3.mayaweb.jp|221.251.54.213|:80... connected. HTTP request sent, awaiting response... 200 OK Length: 221,696 (217K) [application/x-msdownload] 100%[====================================>] 221,696 1.25M/s 17:40:13 (1.25 MB/s) - `Play_Video_Click_Run.exe' saved [221696/221696]

■ウイルススキャン結果↓

File name: Play_Video_Click_Run.exe MD5: 065efd579429de85c9a0c55df7e8cabe File size: 216.5 KB ( 221696 bytes ) File type: Win32 EXE DetectionRatio: 27 / 43 Analysis date: 2012-02-16 08:41:53 UTC Result: [CLICK]

■マルウェア行動説明↓

・本マルウェアが実行されましたら、メモリーの中にずっと起動されおります。 ・下記のダイレクトリーにマルウェアファイルがコピーされています↓ %Windir%\$NtUninstallKB2064$ %Windir%\assembly\GAC ・そしてパソコンWindowsのマルウェアが設定した「svchost.exe」が実行されます。 ・ポート番号34354のバックドアが出てきました。 ・このままで本件のマルウェアファイルとsvchost.exeのプロセスが立ちっ放しです。 ・下記のネットワーク動きが行動分析調査の上で発見↓

HTTPやり取り↓

GET REQUEST HTTP/1.1 IP: 178.32.190.142 http://mcaybaoe.cn/stat2.php?w=30005&i=00000000000000000000000062fd2e74&a=7 http://mcaybaoe.cn/stat2.php?w=30005&i=00000000000000000000000062fd2e74&a=8 http://mcaybaoe.cn/stat2.php?w=30005&i=00000000000000000000000062fd2e74&a=23 http://mcaybaoe.cn/stat2.php?w=30005&i=00000000000000000000000062fd2e74&a=25 http://mcaybaoe.cn/stat2.php?w=30005&i=00000000000000000000000062fd2e74&a=24 http://mcaybaoe.cn/stat2.php?w=30005&i=00000000000000000000000062fd2e74&a=26 http://mcaybaoe.cn/stat2.php?w=30005&i=00000000000000000000000062fd2e74&a=27 http://mcaybaoe.cn/stat2.php?w=30005&i=00000000000000000000000062fd2e74&a=11

バックドアの接続情報↓

IP: 24.3.100.196 PORT: 34354 IP: 67.187.11.201 PORT: 34354 IP: 89.215.217.157 PORT: 34354 IP: 178.32.190.142 PORT: 34354

ポート34354の送信パケットをキャップチャーしたら下記の情報となります↓

00000000 | E5AA C031 7429 C9F6 315B 7408 4D9B 39C1 | ...1t)..1[t.M.9. 00000010 | 2A58 FCF1 | *X..
↑恐らく感染の監視報告送信情報かと思われます。

■感染されたドメイン/IP登録情報(手続き連絡先の為)↓

インターネットルーティング図↓ 登録情報↓ IP: 221.251.54.213 inetnum: 221.240.0.0 - 221.255.255.255 netname: usen descr: UCOM Corp. descr: FTTH Broad Band Service Provider descr: 4-2-8, Shibaura, Minato-ku, Tokyo 108-0023,Japan country: JP admin-c: JNIC1-AP tech-c: JNIC1-AP remarks: abuse@ucom.ne.jp inetnum: 221.251.54.208 - 221.251.54.215 netname: N-TK0039-806 descr: Nazca Co.Inc. country: JP admin-c: JP00022296 tech-c: JP00022296
----
ゼロデイ・ジャパン
http://0day.jp
マルウェア研究所
アドリアン・ヘンドリック
Sponsored by: 株式会社ケイエルジェイテック

1 件のコメント:

  1. マルウェアのファイルが削除してくれました。
    本件の対応は終了です。
    ご協力頂き誠に有難う御座いました。

    証拠↓
    --14:06:19-- hxxp://s3.mayaweb.jp/videoplayer/shock/Play_Video_Click_Run.exe
    => `Play_Video_Click_Run.exe'
    Resolving s3.mayaweb.jp... 221.251.54.213
    Connecting to s3.mayaweb.jp|221.251.54.213|:80... connected.
    HTTP request sent, awaiting response... 404 Not Found
    14:06:19 ERROR 404: Not Found.

    返信削除