土曜日, 4月 30, 2011

【マルウェア警告】日本国内ネットワークにトロイ・ドロッパーとキーロガーマルウェアのダウンロードURLが発見された、現在マルウェアが消されております。【対応済み】

マルウェア種類は「トロイ・ドロッパー」です。
あるURLに普通にウェブアクセスでダウンロードが出来ます、ファイル名は「uproda292524.zip」ですね。
アーカイブの中にマルウェアが隠されている状況で、普通のZIPアーカイブです↓


但し、ZIPアーカイブの中身を開いたら下記のようなファイルが出ます↓

↑見た限りではまた別のフォルダーがあるみたいですね、実はトロイ・ドロッパーです。クリックをさせるようにわざっとフォルダーの形で作られました。

この「フォルダー」っぽいの物をクリックしてしまうと、下記のステップが起きてしまいます↓
%Windir%\cg35_097.jpg 、%System%\safemon.dllをパソコンにコピーされます。
この「フォルダーっぽい」トロイファイルはこのままで残っています。

それでsafemon.dllを下記のようにメモリーにロードしてしまいます↓


それからパソコンのレジストリーに下記のように悪戯レコードを書かれてしまいます↓

↑目的は、次パソコンが再起動の後に「safemon.dll」を自動に起動が出来る事です。

追加情報ですが「safemon.dll」のファイルはまた別のマルウェアです。
起動してから外にあるIPアドレスにポート80番で繋がれます↓

そのネットワーク情報は↓
OrgName: ThePlanet.com Internet Services, Inc.
OrgId: TPCM
Address: 315 Capitol
Address: Suite 205
City: Houston
StateProv: TX
PostalCode: 77002
Country: US
RegDate: 1999-08-31
Updated: 2010-10-13
Ref: http://whois.arin.net/rest/org/TPCM

↑アメリカのIDCサーバにあるマシンですね。
何の為に繋ぐかと、中身を見てみましょう↓

↑キーボードのインターラプトがフックされているので、間違いなくキーロガーのマルウェアかと思われます。マルウェアサイトにスキャンして見ましょう↓
1)threat expert↓

2)virus total↓
File name: safemon.dll
Submission date: 2011-04-29 18:44:45 (UTC)
Current status: finished
Result Summary: 25/ 42 (59.5%)
Reesult: http://www.virustotal.com/file-scan/report.html?id=7ab1a406b4eb1f743394a2604a7dc7057577537fde30a92d9ad6bb8462d336c6-1304149131

↑「safemon.dll」はやっぱり情報を盗むトロイ/マルウェアですね。。。

それで、ZIPに入った「フォルダーっぽい」のファイルはvirus totalにスキャンしたら、下記の結果が出ました↓
File name: [14954]MMOJPEG.scr.#
Submission date: 2011-04-29 12:44:01 (UTC)
Current status: finished
Result Summary: 31 /42 (73.8%)
Result: http://www.virustotal.com/file-scan/report.html?id=204b37bdf2d1630585c8eb372ca9cd06246c882ccce6b13bb36314323b234e6d-1304081041

↑トロイ・ドロッパーですね。

トロイは色んな種類があります、トロイ・ドロッパーは他のトロイをドロップする目的で作られたマルウェアですね、本件ではドロップされたマルウェアは別の種類トロイ・キーロガーですね。

現時点、ダウンロードのURLは未だアップですので↓
Sat Apr 30 05:31:01 JST 2011
--05:32:46-- hxxp://www.uproda.net/down/uproda292524.zip
=> `uproda292524.zip.2'
Resolving xx.uproda.net... 122.249.94.169
Connecting to www.uproda.net|122.249.94.169|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 220,695 (216K) [application/octet-stream]
100%[===================================> ] 220,695 962.80K/s
05:32:46 (959.96 KB/s) - `uproda292524.zip.2' saved [220695/220695]

↑これはお手続きしなきゃ行け無い物ですね。手続きの為に感染されたサーバの情報は下記となります↓
DOMAIN: UPRODA.NET
RSP: VALUE-DOMAIN, INC.
URL: http://www.value-domain.com
owner-contact: P-VID1530
owner-organization: VALUE-DOMAIN COM
owner-title: PRIVACY PROXY
owner-fname: VALUE
owner-lname: DOMAIN
owner-street: Honmachi TS Bld. 6F Bakurou-machi 4-7-5, Chuo-ku
owner-city: Osaka-shi
owner-state: Osaka-fu
owner-zip: 541-0059
owner-country: JP
owner-phone: +81.662416585
owner-fax: +81.662416586
owner-email: uprodanet@gmail.com

inetnum: 122.249.0.0 - 122.249.255.255
netname: ASAHI-NET
descr: ASAHI Net,Inc.
descr: 6-6-7 Ginza Chuo-ku, Tokyo
country: JP
admin-c: JNIC1-AP
tech-c: JNIC1-AP
status: ALLOCATED PORTABLE
remarks: Email address for spam or abuse complaints : XXXXXX@asahi-net.or.jp
changed: XXXXXXXXXX@apnic.net 20061120
mnt-by: MAINT-JPNIC
mnt-lower: MAINT-JPNIC
source: APNIC

↑大阪にある会社ですね、ファイルアップロードサービスがやっているIT会社だと思います。これからちゃんと連絡して早めにウイルス情報を消さないと危険な事となります。
追加情報(thank's to @isako) ホストのIPアドレスは東京のもののようですね。プロバイダはASAHIネットです。

困ったのは、同じタイミングで沢ウェブ山掲示板に本件のマルウェアURLが書いてあります、例えば下記のスナップショット↓

それと↓

など…

GoogleでマルウェアのURLを検索したら沢山出ました↓

Googleの検索結果を直接確認したいならこちらへ

【注意点】この状況を見たら、誰かわざっとこのマルウェアをアップロードして、それで他の方々に感染させるように沢山ブログ/掲示板にマルウェアのダウンロードURLを書いたみたいです、危険な仕組みですね、早めにURLにある物をけしたいなぁ。。、もうこのブログを下記ながら手続きを始まっています。

手続きのアップデート情報がタイムラインで書いて、ここからです↓
----------------------------------------------------------------------------
Sat Apr 30 05:52:38 JST 2011 ドメイン登録連絡先にメールしました
Sat Apr 30 06:20:00 JST 2011 ↑電話もかけたけど出れなかった
Sat Apr 30 06:30:22 JST 2011 ツイッター@kchrさんに声をかけてみました
Sat Apr 30 06:43:27 JST 2011 wgetで未だダウンロードが出来ています↓
  100%[==========================> ] 220,695 1002.94K/s
  06:43:27 (1001.91 KB/s) - `uproda292524.zip.6' saved [220695/220695]
Sat Apr 30 06:43:27 JST 2011 ツイッター@IPA_MITOHさんに声をかけた
Sat Apr 30 07:20:12 JST 2011 色んな掲示板スナップショット追加しました
Sat Apr 30 07:21:05 JST 2011 ダウンロードが未だ出来てしまいます↓
  100%[==========================> ] 220,695 985.63K/s
  07:21:05 (982.24 KB/s) - `uproda292524.zip.8' saved [220695/220695]
Sat Apr 30 07:48:01 JST 2011 GoogleでマルウェアのURL書いた掲示板のページを計算しようと思ったら、数が増えてきた、↓10ページから24ページになったーー;)

Sat Apr 30 07:51:00 JST 2011 マルウェアバイナリーをもう一度見てみましたが、どうもアジアで作かれたかと思われます。ダウンロードURLが書いた掲示板の内容を見たら、中国?韓国?若しかしたら日本の方かも知れない…
Sat Apr 30 08:13:00 JST 2011 今もダウンロードが未だ出来ています、誰か止めて欲しいです。自分は今迄未だ寝てないからこれ以上無理で寝ます。全てやれる事をやりました。後は本当に責任者に任したいと思います。
Sat Apr 30 09:00:00 JST 2011 未だダウンロードが出来てしまいます↓
   --09:00:42-- hxxp://www.uproda.net/down/uproda292524.zip
    => `uproda292524.zip.13'
   Resolving www.uproda.net... 122.249.94.169
   Connecting to www.uproda.net|122.249.94.169|:80... connected.
   HTTP request sent, awaiting response... 200 OK
   Length: 220,695 (216K) [application/octet-stream]
   100%[======================> ] 220,695 702.03K/s
   09:00:43 (700.93 KB/s) - `uproda292524.zip.13' saved [220695/220695]
Sat Apr 30 16:05:05 JST 2011 さっき迄寝てしまった、起きたら下記と確認した↓
   ①マルウェアが未だダウンロードが出来ちゃいます↓
    100%[===================================> ] 220,695 405.03K/s
    15:59:45 (404.59 KB/s) - `uproda292524.zip.14' saved [220695/220695]
   ②www.uproda.net送ったメールの返事が無かった、電話も未だ留守電
   ③マルウェアダウンロードURLが書いたある掲示板/ブログの数は
    2個増えた、現在22件でごおgぇ検索結果が出てきました↓


Sat Apr 30 20:24:02 JST 2011 先ほど確認したらURLにあるマルウェアが消されてのです(^^v 本件はCLOSE!
    下記は確認ログ↓
--20:22:13-- http://www.uproda.net/down/uproda292524.zip
=> `uproda292524.zip.18'
Resolving www.uproda.net... 122.249.94.169
Connecting to www.uproda.net|122.249.94.169|:80... connected.
HTTP request sent, awaiting response... 404 Not Found
20:22:13 ERROR 404: Not Found.
----------------------------------------------------------------------------
ゼロデイ・ジャパン
http://0day.jp
マルウェア研究所
アドリアン・ヘンドリック
Sponsored by: 株式会社ケイエルジェイテック

0 件のコメント:

コメントを投稿