土曜日, 8月 25, 2012

#OCJP 058: Pseudoランダムマルウェア感染JSコード、日本(KDDIネットワーク)にも発見!「a-kenko.jp/1()24.211.27.154」


Pseudoランダム(Pseudo Random)マルウェアのJS感染コードとは、簡単にいうと、ランダム機能を使いのマルウェア感染URLです。名前通りでマルウェアの感染ページのドメインが隠された状態でページをアクセスされたら感染ドメイン名を転回されます。日本には本件の感染仕組みも「リアルで」来ましたので、情報は本件のレポートとなります。
■感染されたドメイン/IPアドレス↓

a-kenko.jp / 124.211.27.154
■感染されたURL↓

hxxp://a-kenko.jp/common.js
■ダウンロード証拠↓

--19:33:22--  hxxp://a-kenko.jp/common.js
           => `common.js'
Resolving a-kenko.jp... 124.211.27.154
Connecting to a-kenko.jp|124.211.27.154|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 65,861 (64K) [text/x-js]
100%[====================================>] 65,861        --.--K/s
19:33:22 (694.82 KB/s) - `common.js' saved [65861/65861]
■ウイルススキャン結果↓

MD5:        025a657ebc0bff67e013ccf02452ddc6
File size:  64.3 KB ( 65861 bytes )
File name:  common.js
File type:  JavaScript
Detection:  27 / 42
Date:      2012-08-25 11:11:30 UTC ( 7 分 ago )
Result:     [URL]

マルウェア名は下記となります↓
nProtect                 : Trojan.JS.Agent.GLM
McAfee                   : JS/Exploit-Blacole.eu
K7AntiVirus              : Trojan
F-Prot                   : JS/Blacole.BV
Norman                   : Iframe.MY
TrendMicro-HouseCall     : JS_BLACOLE.JDKK
Avast                    : JS:Iframe-QG [Trj]
ClamAV                   : JS.Blacole-6
Kaspersky                : Trojan-Downloader.JS.Iframe.cyt
BitDefender              : Trojan.JS.Agent.GLM
Emsisoft                 : Virus.JS.Agent!IK
Comodo                   : Exploit.JS.Blacole.DQ
F-Secure                 : Trojan.JS.Agent.GLM
VIPRE                    : Trojan.JS.Generic (v)
AntiVir                  : JS/Blacole.P
TrendMicro               : JS_BLACOLE.JDKK
McAfee-GW-Edition        : JS/Exploit-Blacole.eu
Sophos                   : Mal/Iframe-AF
Jiangmin                 : Trojan/Script.Gen
Antiy-AVL                : Trojan/JS.Iframe
Microsoft                : Trojan:JS/BlacoleRef.BO
ViRobot                  : JS.A.Iframe.65861
GData                    : Trojan.JS.Agent.GLM
Commtouch                : JS/Blacole.BV
Ikarus                   : Virus.JS.Agent
Fortinet                 : JS/Iframe.W!tr
AVG                      : JS/Agent

■マルウェア調査↓

英文の調査レポートはこちらへ(ENGLISH ANALYSIS IS IN HERE) VirusTotal Report

感染されたcommon.jsに下記のマルウェアコードを発見しました↓

見た目通りJavaScriptですね。
↑上記のコードを色んなやり方でクラックが出来ますので、結果はこんな感じとなります↓

↑今回はVB Scriptが出ますね、もっと分かりやすいように書き換えた方がいいと思うので、
その中に色んなランダム機能を発見が出来ます。
本件の感染コードにはマルウェアのドメイン名を隠されたので↓


上手く行くとマルウェアURLが下記のように見えます↓


ロシアのドメインですね↓

↑今現在はもうRO/Syncholeになっています。

■日本での感染されたサーバの情報↓

ネットワークは↓
inetnum:        124.208.0.0 - 124.215.255.255
descr:          KDDI CORPORATION
inetnum:        124.211.27.0 - 124.211.27.255
netname:        PURENIC02
descr:          PURENIC JAPAN., Inc
country:        JP
admin-c:        TH7108JP
tech-c:         TH7108JP
d. [電子メイル]                 domain@purenic.jp
f. [組織名]                     株式会社PURENICJAPAN
g. [Organization]               PURENIC JAPAN., Inc

グラフ↓


※感染されたドメイン管理者情報はインターネットで公開されておりますので、
手続きをしたい方々がどうぞ御調べて下さい。
----
ゼロデイ・ジャパン
http://0day.jp
マルウェア研究所
アドリアン・ヘンドリック
Sponsored by: 株式会社ケイエルジェイテック
Posted by unixfreaxjp at 9:18 午後

0 件のコメント:

コメントを投稿

登録: コメントの投稿 (Atom)