土曜日, 6月 23, 2012

#OCJP-054:さくらIDCにある「hpi.co.jp/112.78.125.12」がBlackholeからのマルウェア感染コードにインジェクトされました! 【対応最中】


Blackholeに感染されたサイトが未だ沢山出てきました。今回のレポートは日本国内VPSウェブサーバのBlackholeに感染された事件です。詳しく下記の情報となります。

■感染されたドメイン/IPアドレス↓

hpi.co.jp / 112.78.125.12

■感染されたURL↓

hxxp://hpi.co.jp/mail.htm

■ダウンロード証拠↓

--19:57:56-- hxxp://hpi.co.jp/mail.htm => `mail.htm' Resolving hpi.co.jp... 112.78.125.12 Connecting to hpi.co.jp|112.78.125.12|:80... connected. HTTP request sent, awaiting response... 200 OK Length: 3,056 (3.0K) [text/html] 100%[===================================> ] 3,056 --.--K/s 19:57:56 (76.71 MB/s) - `mail.htm' saved [3056/3056]

■ウイルススキャン結果↓

File name: mail.htm File type: HTML File size: 3.0 KB ( 3056 bytes ) MD5: 72ff4549404e7003ae186732e042b30a Detection ratio: 13/42 Analysis date: 2012-06-23 11:34:03 UTC Result: [CLICK] マルウェア名は下記となります↓ F-Secure : JS:Trojan.JS.Downloader.AB NOD32 : JS/Kryptik.QD Microsoft : Trojan:JS/BlacoleRef.BL AntiVir : JS/iFrame.LQ McAfee-GW-Edition : JS/Exploit-Blacole.ea Sophos : Mal/Iframe-W nProtect : JS:Trojan.JS.Downloader.AB GData : JS:Trojan.JS.Downloader.AB BitDefender : JS:Trojan.JS.Downloader.AB McAfee : JS/Exploit-Blacole.ea Ikarus : Trojan.JS.Blacole Fortinet : JS/Iframe.W!tr Emsisoft : Trojan.JS.BlacoleRef!IK

■マルウェア調査↓

main.htmlファイルの中身を見たらマルウェア感染Java<SCRIPT>が発見しました↓ DEOBFSをすると結果は下記となりますので、マルウェア感染URLを見えます↓ 最近同じマルウェアURLに感染された事件がありましたので、例えば↓ 現状「hxxp://hpi.co.jp/mail.htm」をアクセスすると下記のブラウザ画像となります↓ 本件のマルウェアURLが海外経由で手続きしましたので、 マルウェアドメインで既にブロックされました。

■日本での感染されたサーバの情報↓

感染されたドメイン情報↓
a. [Domain Name] HPI.CO.JP g. [Organization] HPI Corporation l. [Organization Type] Corporation m. [Administrative Contact] KM3938JP n. [Technical Contact] KM3938JP p. [Name Server] ns1.dns.ne.jp p. [Name Server] ns2.dns.ne.jp [State] Connected (2013/03/31) [Registered Date] 2000/03/21 [Connected Date] 2000/03/23 [Last Update] 2012/04/01 01:17:52 (JST)

感染されたウェブサーバのルーティング情報を見たら、日本国内にあるVPSサービス↓ さらに、同じIPアドレスに他の37ドメインがあると分かりました↓ ↑リスクが出ますので、早めにサイトの脆弱性とマルウェア感染されたHTMLを削除して頂きたいですね。

【注意点】現状、別のドメインに同じ感染で同じVPSサーバ/IPに発見しました↓

hxxp://hiduki.info/mail.htm
----
ゼロデイ・ジャパン
http://0day.jp
マルウェア研究所
アドリアン・ヘンドリック
Sponsored by: 株式会社ケイエルジェイテック

1 件のコメント:

  1. このコメントは投稿者によって削除されました。

    返信削除