水曜日, 2月 13, 2013

#OCJP-092: nature.or.jpのサイトにマルウェア感染URLを発見!

下記のURLに個人情報+パスワード盗むトロイのダウンロードリンクです。
Blackhole ExploitKitに感染されております。サーバ管理情報が盗まれたそうですね。
hxxp://nature.or.jp/letter.htm

証拠↓(ダウンロード)
--2013-02-13 18:19:13--  hxxp://nature.or.jp/letter.htm
Resolving nature.or.jp... seconds 0.00, 101.110.212.39
Caching nature.or.jp => 101.110.212.39
Connecting to nature.or.jp|101.110.212.39|:80... seconds 0.00, connected.
:
GET /letter.htm HTTP/1.0
Referer: 適当に…
User-Agent: MalwareMustDie eates malware mornonz ALIVE!
Host: nature.or.jp
HTTP request sent, awaiting response...
:
HTTP/1.1 200 OK
Date: Wed, 13 Feb 2013 09:19:01 GMT
Server: Apache/2.0.64 (Unix)
Last-Modified: Wed, 13 Feb 2013 09:09:37 GMT
ETag: "f92e14-1a5-8059f640"
Accept-Ranges: bytes
Content-Length: 421
Keep-Alive: timeout=15, max=100
Connection: Keep-Alive
Content-Type: text/html
:
200 OK
Registered socket 1896 for persistent reuse.
Length: 421 [text/html]
Saving to: `letter.htm'
2013-02-13 18:19:13 (14.1 MB/s) - `letter.htm' saved [421/421]
中身にはマルウェア感染サイトの転送コードを発見しました↓


emaianem,ru:8080はblackhole感染サーバですので、
そのサーバから下記のマルウェアがダウンロードされます↓
GET /forum/links/column.php?rf=30:1n:1i:1i:33&le=2v:1k:1m:32:33:1k:1k:31:1j:1o&n=1k&rc=h&nm=z HTTP/1.0
Referer: hxxp://nature.or.jp/letter.htm
Host: emaianem.ru:8080
HTTP request sent, awaiting response...
  :
HTTP/1.1 200 OK
Server: nginx/1.0.10
Date: Wed, 13 Feb 2013 09:29:18 GMT
Content-Type: application/x-msdownload
Connection: keep-alive
X-Powered-By: PHP/5.3.18-1~dotdeb.0
Pragma: public
Expires: Wed, 13 Feb 2013 09:29:18 GMT
Cache-Control: must-revalidate, post-check=0, pre-check=0
Cache-Control: private
Content-Disposition: attachment; filename="info.exe"
Content-Transfer-Encoding: binary
Content-Length: 118784
 :
200 OK
Registered socket 1896 for persistent reuse.
Length: 118784 (116K) [application/x-msdownload]
Saving to: `info.exe'
100%[=================>] 118,784     58.0K/s   in 2.0s
2013-02-13 18:29:32 (58.0 KB/s) - `info.exe' saved [118784/118784]

このマルウェアです、Win32/Cridexと呼ばれます↓
レポートURL: 【クリック】
SHA1: 2cb8c9b65c51240ba045745489c85d94342ff910
MD5: d4151a003ae5699d5f3dedda92b9ab0d
File size: 116.0 KB ( 118784 bytes )
File name: info.exe
File type: Win32 EXE
Tags: peexe
Detection ratio: 21 / 45
Analysis date: 2013-02-13 12:20:01 UTC ( 31 minutes ago )
下記のURLにHTTP/POSTで感染されたパソコンを送信されます↓
hxxp://184.106.195.200:8080/N5nmLCAAA/LxcqKAA/GLkOVCAAAA/
hxxp://195.191.22.40:8080/N5nmLCAAA/LxcqKAA/GLkOVCAAAA/
hxxp://210.56.23.100:8080/N5nmLCAAA/LxcqKAA/GLkOVCAAAA/
hxxp://88.119.156.20:8080/N5nmLCAAA/LxcqKAA/GLkOVCAAAA/
hxxp://72.251.206.90:8080/N5nmLCAAA/LxcqKAA/GLkOVCAAAA/
hxxp://82.100.228.130:8080/N5nmLCAAA/LxcqKAA/GLkOVCAAAA/
hxxp://213.214.74.5:8080/N5nmLCAAA/LxcqKAA/GLkOVCAAAA/
hxxp://203.171.234.53:8080/N5nmLCAAA/LxcqKAA/GLkOVCAAAA/
それだけじゃなくて、本格的な情報盗むトロイをDROPします、Win32/Fareitと呼ばれます↓
レポートURL: 【クリック】
SHA1: 3d9e3b2bb2252ee96f3cd4566b95c7a5a56924d6
MD5: 2039c6ef5ef10d577cd91742128fb776
File size: 112.0 KB ( 114688 bytes )
File name: ExpressRes.dll
File type: Win32 EXE
Tags: peexe stealth
Detection ratio: 4 / 45
Analysis date: 2013-02-13 12:03:15 UTC ( 53 minutes ago )
↑このトロイはこのソフトのリストを盗みます→【クリック】
そして、銀行オンライン個人情報も盗みます→【クリック】
情報を下記のマルウェアサーバに送信されます↓(HTTP/1.1 POSTで)
hxxp://203.114.112.156:8080/asp/intro.php
hxxp://42.121.116.38:8080/asp/intro.php
hxxp://203.146.208.180:8080/asp/intro.php
hxxp://110.164.58.250:8080/asp/intro.php
hxxp://85.25.147.73:8080/asp/intro.php
hxxp://208.87.243.130:8080/asp/intro.php
hxxp://202.164.211.51:8080/asp/intro.php
hxxp://111.68.142.223:8080/asp/intro.php
hxxp://203.172.252.26:8080/asp/intro.php
hxxp://195.24.205.188:8080/asp/intro.php 
全てマルウェア証拠は下記のスナップショットとなります↓

早めに感染されたファイルを消して下さい。
そしてサーバの管理ログイン情報が完全に漏れてしまいましたので、直ぐに直して下さい。

1 件のコメント:

  1. 日本側の感染されたページが無くなりました↓

    【証拠】
    GET /letter.htm HTTP/1.0
    Host: nature.or.jp
    Connection: keep-alive
    Keep-Alive: 300
    :
    HTTP/1.0 404 Not Found
    Date: Thu, 14 Feb 2013 09:53:05 GMT
    Server: Apache/2.0.64 (Unix)
    P3P: CP="NOI NID ADMa OUR IND UNI COM NAV"

    返信削除