日曜日, 4月 01, 2012

#OCJP-033:中国からテイルズウィーバー用(オンラインゲーム)トロイのURLが”ばら撒かれた”


ファイルアップローダーサービス便利なサービスだと思います。今回の発見が「わざっと」でファイルアップローダーのサーバにマルウェアをアップロードされて、それでそのダウンロードURLを色んな掲示板で配っているの事件です。証拠を纏めてこのブログ内容に報告をさせて頂きます、詳細な内容は下記となります↓
■感染されたサーバ情報↓

upload.saloon.jp / 219.94.129.14
■マルウェアのダウンロードURL↓

http://upload.saloon.jp/src/up4754.lzh
http://upload.saloon.jp/src/up4753.zip
■どんなマルウェアでしょうか?

マルウェア種類: トロイ・ドロッパー・キーロガー
マルウェア名 : Win32/Trojan/Agent/Dropper/Downloader
マルウェア機能: ドロッパー(Spyware)機能、ダウンローダー機能
説明     : 1. 感染されたパソコンの情報をログされる(Spyware)、
                 2. 他のマルウェアをPCに保存する(ドロッパー)
■ご注意!

上記の感染されたURLがインターネットでばら撒かれたそうです。
グーグルで検索したら↓

upload.saloon.jp/src/up4754.lzh


upload.saloon.jp/src/up4753.zip


内容は下記のスナップショットとなります↓

※日付けは3月19日ですね。

↑因みに本件の感染事件は何回も発見されました、
同じマルウェアサンプル、同じ遣り方で、掲示板の書き方を見ると恐らく同じ人です。
前回発見したのリンク↓
http://unixfreaxjp.blogspot.jp/2012/02/ocjp-008-lodajp-1413214164-url.html
http://unixfreaxjp.blogspot.jp/2011/06/fonojp.html
http://unixfreaxjp.blogspot.jp/2011/06/loadjp34.html
http://unixfreaxjp.blogspot.jp/2011/05/urlurlupalive.html
本件のやり方で国内のアップローダサービス「LODA.JP」、「FONO.JP」、「UPRODA」が
このアタッカーにやられてしまいましたので、今回は「upload.saloon.jp」の番ですね。
■ダウンロードの証拠↓

--15:05:13--  hxxp://upload.saloon.jp/src/up4754.lzh
           => `up4754.lzh'
Resolving upload.saloon.jp... 219.94.129.14
Connecting to upload.saloon.jp|219.94.129.14|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 424,958 (415K) [application/octet-stream]
100%[====================================>] 424,958      819.60K/s
15:05:14 (817.94 KB/s) - `up4754.lzh' saved [424958/424958]

--15:05:25--  http://upload.saloon.jp/src/up4753.zip
           => `up4753.zip'
Resolving upload.saloon.jp... 219.94.129.14
Connecting to upload.saloon.jp|219.94.129.14|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 344,146 (336K) [application/zip]
100%[====================================>] 344,146        1.46M/s
15:05:25 (1.46 MB/s) - `up4753.zip' saved [344146/344146]

※上記は本当のアーカイブファイルですので、
中身はマルウェアファイル「viploda.jpg.scr」が入ってます。
■ファイルの情報↓

-rwx------   1 344,146 Mar 18 16:52 up4753.zip
-rwx------   1 424,958 Mar 18 21:57 up4754.lzh
-rwx------   1 474,646 Apr 13  2011 viploda.jpg.scr

■ウイルススキャン情報↓

File name:       viploda.jpg.scr
File size:       463.5 KB ( 474,646 bytes )
File type:       PE/Win32 EXE
Tags:            upack
Detection ratio: 36 / 42
Analysis date:   2012-04-01 06:07:13 UTC
Scan RESULT:     [CLICK]
■マルウェア調査結果↓

ファイルSTRUCTURE:
MIMEType.................: application/octet-stream
Subsystem................: Windows GUI
MachineType..............: Intel 386 or later, and compatibles
TimeStamp................: 2007:09:20 14:34:46+02:00
FileType.................: Win32 EXE
PEType...................: PE32
CodeSize.................: 81920
LinkerVersion............: 5.0
EntryPoint...............: 0x1000
InitializedDataSize......: 19456
SubsystemVersion.........: 4.0
ImageVersion.............: 0.0
OSVersion................: 4.0
UninitializedDataSize....: 0
Compilation timetamp.....: 2007-09-20 12:34:46
Target machine...........: 0x14C (Intel 386 or later processors and compatible processors)
Entry point address......: 0x00001000
PE Sections..............:
Name    Address Size     Raw     Entropy  MD5
.text   4096    81920    79872   6.47  8c499086717691066d921075ed5bdb09
.data   86016   28672     2560   4.91  0cb811e47f78b5404a658fb36b591857
.idata  114688   4096     4096   5.12  8bf175092a70a21f11fd06cc4087c7d0
.rsrc   118784  12507    12800   5.51  984d7583beada574d16b4a912bd1c808
※バイナリーで書いた言語コードを見たら間違いなく中国WindowsOSで作った物です!

バイナリーファイルの中にそのままでマルウェア悪戯コマンドを見れます↓

マルウェアの動きは↓

viploda.jpg.scrのコンパイルした時に「uproda1048.exe」との名前をつけたみたいですね。
実行されたら下記の順番でメモリー上でマルウェアプロセスが立ち上がりました↓

viploda.jpg.scr +---> uproda1048.exe
                        |  
                        +--mxd.exe 4c5f8c191a7929f17e1ac573fecedf53 163,942 Bytes
                             |         (Upack v0.24~v0.28alpha SN:185)
                             +--mxd.exe 4c5f8c191a7929f17e1ac573fecedf53 163,942 Bytes
                                 |
                                 +--aa.bat
                                 |
                                 +--explorer.exe
viploda.jpg.scrを実行したら下記のファイルをWindowsフォルダーへ保存されました

C:\WINDOWS\3074243.jpg
C:\WINDOWS\__tmp_rar_sfx_access_check_499468
C:\WINDOWS\mxd.exe 
それでregistryのデータを変更されました、沢山あるけど需要な物だけで下記書きました↓

ブラウザのインターネットの​ZoneMap設定を変更↓
HKU\..\Internet Settings\​ZoneMap\​info IntranetName  1 (有効にしました) 
HKU\..\Internet Settings\​ZoneMap\​info ProxyBypass  1 (有効にしました)
HKU\..\Internet Settings\​ZoneMap\​info UNCAsIntranet  1(有効にしました)

保存されたmxd.exeをshellで自動実行登録設定↓
HKU\..\Software\Microsoft\Windows\ShellNoRoam\MUICache\​ C:\​WINDOWS\​mxd.exe mxd 

アーカイブSFXを実行が出来るように設定変更を発見↓
HKU\..\Software\WinRAR SFX  C%%WINDOWS C:\​WINDOWS
起動された時の動きに付いて↓

viploda.jpg.scrが実行の前にwin.iniのデータを取ります。
それでmdx.exeを実行されます。
mxd.exeが実行されたらコマンドラインで(SHELL)" "C:\WINDOWS\mxd.exe"もまた実行されているようです。
目的は必ずmxd.exeが立ち上がるように実行したかと思われます。
それでviploda.jpg.scr又はuproda1048.exeのプロセスは終了です。
MXD.EXEのオペレーションを監視したら下記の動きが分かりました↓

・自動起動機能をregistryに登録されます↓
 証拠: HKLM\​Software\​Microsoft\​Windows\​CurrentVersion\​Run info syspler 
         C:\​WINDOWS\​system32\​mxd.exe  
・パソコンのキーボードの履歴をログされる事(キーローガー)
 証拠: VK_SHIFT (16) 
・マルウェアファイルを保存されます↓
   C:\WINDOWS\system32\jHYrbty2.dll
   C:\WINDOWS\system32\system.exe
   C:\aa.bat
・下記のプロセスを実行されます↓
   C:\WINDOWS\explorer.exe "C:\WINDOWS\explorer.exe"
   C:\WINDOWS\system32\cmd.exe <--- "cmd /c c:\aa.bat" 

プロセスのスナップショット↓

MXD.EXEでのウイルススキャン結果↓

File name:       mxd.exe
File size:       160.1 KB ( 163,942 bytes )
File type:       Win32 EXE
MD5:             4c5f8c191a7929f17e1ac573fecedf53
Tags:            upack
Detection ratio: 38 / 42
Scan Result:     [CLICK]

中国のマルウェアにも確認しましたので、本マルウェアは中国でゲームの世界にも結構流行ったそうです
下記は中国でのスキャン結果となります↓(沢山発見したですね)
http://r.virscan.org/d2f1e885dcb3a8a8f2aea6836d1a3373
http://r.virscan.org/e617830d85012ae7270bbfde16575d94
http://r.virscan.org/d2f1e885dcb3a8a8f2aea6836d1a3373

■念のためにネットワークルーティングと連絡先情報



[Domain Name]                   SALOON.JP
[Registrant]                    SAKURA Internet Inc
[Name Server]                   ns1.dns.ne.jp
[Name Server]                   ns2.dns.ne.jp
[Signing Key]                   
[Created on]                    2005/09/27
[Expires on]                    2012/09/30
[Status]                        Active
[Last Updated]                  2011/10/01 01:05:01 (JST)
Contact Information:
[Name]                          SAKURA INTERNET Inc
[Email]                         jprs-staff@sakura.ad.jp
[Web Page]                       
[Postal code]                   541-0054
[Postal Address]                Sakaisujihonmachi Bldg.9F 1-8-14
                                Minami-honmachi, Chuo-ku, Osaka-shi,
                                Osaka 541-0054 Japan
[Phone]                         06-6265-4830
[Fax]                           06-6265-4834
----
ゼロデイ・ジャパン http://0day.jp
マルウェア研究所
Analyst: アドリアン・ヘンドリック / Hendrik ADRIAN
Sponsored by: 株式会社ケイエルジェイテック


TO BE NOTICED: All of the findings and exposed material in this site is belong to the site owner and is an original
materials. Any COPY of research material without written permission from unixfreaxjp/site owner is strictly prohibited. Any attempt to camouflage and attempt to owning this research material will be prosecuted by law.
Posted by unixfreaxjp at 5:45 午後

1 件のコメント:

  1. unixfreaxjp2012年4月8日 14:00:00 JST

    マルウェアファイルが削除してくれまして、有難う御座いました。本件の対応は終了です。下記は証拠です。

    --14:00:17-- http://upload.saloon.jp/src/up4754.lzh
    => `up4754.lzh'
    Resolving upload.saloon.jp... 219.94.129.14
    Connecting to upload.saloon.jp|219.94.129.14|:80... connected.
    HTTP request sent, awaiting response... 404 Not Found
    14:00:17 ERROR 404: Not Found.

    ご協力頂き有難う御座いました。 m(_ _)m

    返信削除

登録: コメントの投稿 (Atom)