火曜日, 6月 26, 2012

#OCJP-055:KDDI/LINODEのIDCにある「chaisen.me / 106.187.39.214」がBlackholeにマルウェア感染コードをインジェクトされた! 【対応最中】


■感染されたドメイン/IPアドレス↓

chaisen.me / 106.187.39.214

■感染されたURL↓

hxxp://chaisen.me/mail.htm

■ダウンロード証拠↓

--10:09:31-- hxxp://chaisen.me/mail.htm => `mail.htm' Resolving chaisen.me... 106.187.39.214 Connecting to chaisen.me|106.187.39.214|:80... connected. HTTP request sent, awaiting response... 200 OK Length: 3,067 (3.0K) [text/html] 100%[====================================>] 3,067 --.--K/s 10:09:31 (70.74 MB/s) - `mail.htm' saved [3067/3067]

■ウイルススキャン結果↓

File name: mail.htm File size: 3.0 KB ( 3067 bytes ) File type: HTML MD5: a6ec407e016d300f661375baa39d59c7 Detection ratio: 22/41 Analysis date: 2012-06-26 10:13:10 UTC URL Result: [CLICK]

■マルウェア名は下記となります↓

nProtect : Trojan.JS.Agent.GHO McAfee : JS/Blacole-Redirect.u K7AntiVirus : Riskware F-Prot : JS/Agent.QD.gen Norman : JS/Iframe.MJ Avast : JS:Blackcole-A [Trj] ClamAV : Trojan.Blackhole-488 Kaspersky : HEUR:Trojan.Script.Generic BitDefender : Trojan.JS.Agent.GHO Sophos : Mal/Iframe-W Comodo : TrojWare.JS.IFrame.JX F-Secure : Trojan.JS.Agent.GHO DrWeb : Exploit.BlackHole.28 VIPRE : Trojan.JS.Obfuscator.aa (v) AntiVir : JS/Dldr.Small.OD.1 Emsisoft : Trojan.Script!IK Microsoft : Trojan:JS/BlacoleRef.W GData : Trojan.JS.Agent.GHO Commtouch : JS/Agent.QD.gen Ikarus : Trojan.Script Fortinet : JS/Obfuscus.AACB!tr AVG : JS/Agent

■マルウェア調査↓

Blackholeに感染されたサーバに下記の感染コードを発見しました↓ ↑SCRIPTタグの所にマルウェア感染コードです。 その感染コードを綺麗に書くとこんな感じですね↓ ↑ちらっと見た感じでは2件同じ画されたコードがあると確認しました 上記のマルウェアコードには実は下記のコードを発見↓ ↑マークされた所はマルウェアの感染サーバのURLとなります。 ※遣り方はこのブログに何回も書きましたので「javascript malware」の単語を検索下さい マルウェアの感染サーバのURL/サーバは既に海外で手続きしましたので、現在はDOWN状況。 ↑なので、blackholeマルウェア感染サーバの情報を残しています。

■感染されたサーバ(@日本IDC)の情報↓

ドメイン登録情報↓ (オーナーは中国の方) Domain ID:D1773021-ME Domain Name:CHAISEN.ME Domain Create Date:27-Dec-2010 08:11:05 UTC Domain Last Updated Date:30-Mar-2012 07:52:34 UTC Domain Expiration Date:27-Dec-2012 08:11:05 UTC Last Transferred Date: Sponsoring Registrar:eNom Inc R32-ME Created by:eNom Inc R32-ME Last Updated by Registrar:eNom Inc R32-ME Registrant ID:135b335aff383bae Registrant Name:Chai sen Registrant Organization:chaisen Registrant Address:Room 101,Area4,Building4,Shang Registrant City:BeiJing Registrant State/Province:CHAOYANG Registrant Country/Economy:CN Registrant Postal Code:100085 Registrant Phone:+86.13810004490 Registrant E-mail:air0008@163.com Admin ID:135b335aff383bae Admin Name:Chai sen Admin Organization:chaisen Admin Address:Room 101,Area4,Building4,Shang Admin City:BeiJing Admin State/Province:CHAOYANG Admin Country/Economy:CN Admin Postal Code:100085 Admin Phone:+86.13810004490 Admin Phone Ext.: Admin E-mail:air0008@163.com 感染されたIP登録情報(どう見ても日本のネットワークですね) ip: 106.187.39.214 inetnum: 106.128.0.0 - 106.191.255.255 netname: KDDI descr: KDDI CORPORATION descr: GARDEN AIR TOWER,3-10-10,Iidabashi,Chiyoda-ku,Tokyo country: JP admin-c: JNIC1-AP tech-c: JNIC1-AP status: ALLOCATED PORTABLE remarks: Email address for spam or abuse complaints abuse@dion.ne.jp changed: hm-changed@apnic.net 20110315 mnt-irt: IRT-JPNIC-JP mnt-by: MAINT-JPNIC mnt-lower: MAINT-JPNIC source: APNIC inetnum: 106.187.32.0 - 106.187.39.255 netname: LINODE descr: Linode, LLC country: JP admin-c: KB2156JP tech-c: KB2156JP remarks: This information has been partially mirrored by APNIC from remarks: JPNIC. To obtain more specific information, please use the remarks: JPNIC WHOIS Gateway at remarks: http://www.nic.ad.jp/en/db/whois/en-gateway.html or remarks: whois.nic.ad.jp for WHOIS client. (The WHOIS client remarks: defaults to Japanese output, use the /e switch for English remarks: output) changed: apnic-ftp@nic.ad.jp 20110714 changed: apnic-ftp@nic.ad.jp 20110811 source: JPNIC a. [JPNICハンドル] KB2156JP b. [氏名] Brett Kaplan c. [Last, First] Brett, Kaplan d. [電子メイル] bKaplan@linode.com f. [組織名] Linode, LLC g. [Organization] Linode, LLC k. [部署] l. [Division] m. [肩書] n. [Title] o. [電話番号] +1-609-593-7103 p. [FAX番号] y. [通知アドレス] [最終更新] 2011/07/14 14:20:07(JST) db-staff@nic.ad.jp 最後に下記はIPノードのインターネットルーティンググラフ↓
----
ゼロデイ・ジャパン
http://0day.jp
マルウェア研究所
アドリアン・ヘンドリック
Sponsored by: 株式会社ケイエルジェイテック

0 件のコメント:

コメントを投稿