海外で本件のトロイが発見されています。
本件はモジュールされているマルウェアです、マルチプルDLLファイルがばらばらURLからダウンロードされて、ダウンロードがまとめたらマルウェアの動き始めます。
※このブログにも前回モジュール仕組みマルウェア内容がいくつか書きました、リファレンスの為に読んで欲しいです⇒「2010年5月マルウェアモジュール仕組みについて」「2010年6月Black Energy」、宜しくお願いします。
C++で作ったプログラムで、いくつかDLLで分割されていますので、それぞれのDLLをスキャンしたら他のマルウェア情報が引っかかりましたので、検知しにくいです。
rootkitの機能が持っていますので、PCが感染されてもマルウェアのファイルが直ぐに見つかりませんでした。
モジュールDLLファイルが全て暗号されてます、ダウンロードしてからRAMでデクリプトされて、Windowsのrunningプロセスにインジェクトする動きが発見です。
モジュールの説明↓
ModEmailGrabber: PCにあるメールアドレス情報を盗む事、WindowsMailとOutlookを探すモジュールです
Coredb: トロイの設定管理、データが3DESで暗号されてます。
Comm Support Library: トロイとコントロールセンター(リモート)の繋ぐプロトコル管理モジュール
File Patcher: リモートからのファイルをダウンロード機能が持っています、目的未だ不明
ModMalwareRemover:Zeusマルウェアとその他ボットネットマルウェアのリモーバー機能、目的はターゲットされたPCは自分の物だけにしたい
ModBlockAVTraffic: AVソフトのリモートトラフィックをブロックするモジュール
ModDynamicInjection:HTMLインジェックション
このトロイは下記のサイトに繋ぐ動きが発見↓
http://hacked_site.com/com/m.php?f=module.dll
http://hacked_site.com/com/c.php
http://hacked_site.com/com/d.php
http://control_panel/srvpnl/upload/module.dll
下記のTCP動きも発見されtましたした
このトロイはダウンロードの前に下記のブラウザ情報を認識します↓
* Internet Explorer
* Mozilla Firefox
* Google Chrome
* Opera
* MinefieldMaxthoon
* Netscape
* Safari
* Konqueror
---
ゼロデイ・ジャパン
http://0day.jp
マルウェア研究所
Tweet
0 件のコメント:
コメントを投稿