水曜日, 12月 16, 2009

今年末のメールウイルス調査「 Bredolab 」トロイ

簡単なメールウイルス調査を差し上げますと、まずはK-SHIELD製品で調査しました、K-SHIELDのスペードが早いからhoneypotようの設定が簡単に出来ます。
最新2ヶ月のデータを取りました、画像はこちらです↓

↑これを見たら先月のトラフィックメールの中に2.9%は確実にウイルスメール、さらに0.3%は疑わしい(ウイルスかもしれない)メールとなります。
それで、先月ウイルス一覧データをみたら↓

見た結果では↓
最近いつも出たウイルスメールKrap,Sasfis,Iksmas,Trojan-spy.html.fraudは新しい種類沢山出ませんが、ZbotとBredolabのトロイ種類が結構増えてきます。Zbotに付いて別のブログの話題で色々書きましたが(アクセスはこちらへ)、Bredolabトロイを何故か増えたのか?詳しく調査したいですがその前に今月はどのぐらいBredolab割合と種類かと↓

↑これを見たら、先月の種類が増えてきました、さらに新しい種類も出てきました。Zbotよりもそんなに沢山出れないけど、何物か何のメールか詳しく見たいですね。

Bredolabトロイはメールのみのトロイです、メールの添付ファイルで色んなネットワークにあるsmtpサーバにbotnetから送れます。下記3つのサンプルを取りました↓
今年後半よく来ましたbredolabトロイメールはこんな形の英文メールです 、SNS(Facebook, twitterなど)のみのメール文書であちこち送られます。


今年末に向かったらBredolabメールのカラーが増えて宅急便報告メールのパターン大分増えました、詰まり下記の画像↓

さらに、添付ファイルを詳しく見たらzip形式ファイル名で添付したのに、実は色んなMS Officeファイル(例えばexcelやwordファイル)、目的はクリックしちゃうと1番上のパソコン権限で実行が出来ます。詰まり下記のイメージです↓


Bredolabのサンプルをスキャンしたら色んな形のウイルス名を出てます、詰まりkrapなど、これはそれぞれのウイルス対策スキャン仕方の順番の問題だけです、よく見たら沢山ウイルス名前が出れますね例えばこちらへ

実はこの添付データは何の目的ですか?下記の画像仕組みを見て頂いて説明が簡単に出来ます↓

メール添付データを実行されますとBredolabトロイサーバに接続されます、そこから本格的なBredolabトロイと他のウイルスがダウンロードされます、動きについてトロイウイルスですので、沢山種類ダウンロード対応が出来ます(password stealers, bots, rootkits, backdoors)、下記結構Bredolabからダウンロードされたウイルス一覧(symantecより)


結論は最近宅急便関係のメール、特に添付あり英文のメールが来ましたらご注意くださいませ。
---
株式会社ケイエルジェイテック
http://www.kljtech.com
ウイルスモニターセンター

0 件のコメント:

コメントを投稿