本件のレポートは下記の環境で作りました↓
・K-SHIELDメールフィルターアプライアンス3台(関西、関東と東北1台ずつ)
・ClamAVとカスペルスキーAVスキャンエンジン
・疑わしいメールは隔離されて再スキャンを行っている状況
・shadowserver.org、clean mxとhoneynet.orgの参考情報
1. 5月のボットネットの状況
5月の前半にはボットネットの台数が減れますが5月の中旬から段々増えている状況です。
※ボットネットの台数のグラフ↓
![](https://lh5.googleusercontent.com/-Y534imGVCyc/TeuQj9ka90I/AAAAAAAACL0/BqS8y7534gk/botnet1.jpg)
原因は恐らくRUSTOCKの次のボットネットが沢山出てくるかと思われます
※ボットネットの繋ぎ数(C&C)のグラフ
![](https://lh5.googleusercontent.com/-UrdQAwICklY/TeuQkrBjmBI/AAAAAAAACL4/bzWI-M7SI_U/botnet2.jpg)
↑台数が増える状況でボットネットのC&C(コントロール・センター)繋ぎ数も5月の中旬には増えるように見えます。
2. 世界の5月のマルウェアメール状況
全世界インターネットのメールマルウェアの状況はやはりボットネットの状況と同じ形で見えます。4月は結構酷かったけれども、4月よりも5月の状況が少し落ち着くように見えます。下記の情報は参考で使えるかと思います↓
↑上記のグラフを見た限りでは平均で4月の数よりも半分が減れましたけれども、
前回の情報から見たら、マルウェアメールの平均数が結構上がってしまいました。
3. 日本国内の5月のマルウェアメールの状況
日本の5月のマルウェアメールは、ボットネットの状況と海外のマルウェアメールの影響と関係があります。
K-SHIELDでのモニターしたいる5月のマルウェアメール割合は1.13%~4.1%となります。5月の状況と比べたら大体半分ぐらい減れましたが1月~3月の割合状況と比べたら2倍以上が超えてます。
下記K-SHIELD(1台)のマルウェアメール統計グラフです↓
![](https://lh5.googleusercontent.com/-iCXTCSz0SwU/TeuQlMlFljI/AAAAAAAACME/ihk2tc2soZc/mailviris-may2011-1-0.41.jpg)
どんなマルウェアが検知されたかというと、下記のスナップショットをご覧下さい↓
![](https://lh3.googleusercontent.com/-SFjGr4bs-ck/TeuQkpzNwDI/AAAAAAAACL8/3gX6N35GFMk/mailviris-may2011.jpg)
Trojan.Win32.FraudPack.xxxx/Trojan-Downloader.Win32.FraudLoad.xxxの種類に付いて最近沢山発見されたトロイです、全体インターネットには本件のトロイがどのぐらい発見されたかと下記のレポートで見えます↓
![](https://lh3.googleusercontent.com/-4LhptbkCXpI/TfM9ctGZ40I/AAAAAAAACOo/s5ulKufmBAE/s500/001.jpg)
↑このトロイは殆どボットネットから投げたマルウェアメールですので、メールのソースを見たら下記の国から確認が出来ました↓
![](https://lh3.googleusercontent.com/-JzV28VkitaI/TfM-bAaf-6I/AAAAAAAACOs/VL-TQU-Cwwc/002.jpg)
↑形的にはどんな物ですか?このトロイの特徴はWindowsセキュリティのニセアラートを出している、例えば↓
若しくはニセアンチウイルス製品の形となります↓
日本には色んな環境を見たら本件のトロイは5月の中に沢山届いたマルウェアメールです。
![](https://lh5.googleusercontent.com/-ucHX-iSZyZM/TeuQlMSdj7I/AAAAAAAACMA/6Q3lkNInK0Y/mailviris-may2011-2.jpg)
↑よく見たらTrojan.Win32.FraudPackの種類が多いです。
Trojan.Win32.FraudPack.xxxx/Trojan-Downloader.Win32.FraudLoad.xxxに付いて、どんな形のメールに発見されたかと、例えば下記のマルウェアメールです↓
Trojan.Win32.FraudPack.csru
↑上記のマルウェアメールはFakeAV/FakeAlert/Scarewareのトロイです。Zeusボットネットから投げたマルウェアメールです。
ウイルストータルにスキャンしたら下記の結果となります↓
http://www.virustotal.com/file-scan/report.html?id=1f2686d4c85d4459d130bf7ab9719ebd61f63672b9c268f89d1c648f38199775-1307608381
Trojan-Downloader.Win32.FraudLoad.zerc
↑このマルウェアメールもFakeAV/FakeAlert/Scarewareのトロイです別のボットネットから投げてくれた物です。添付されたファイルを開いたらニセPDFファイルが入っています↓
![](https://lh6.googleusercontent.com/-JSqXcZr2Xko/TfNTWNnWeJI/AAAAAAAACPQ/KQ_KoLwx9RU/006.jpg)
このファイルをクリックしたら下記のFakeAVソフトが起動されています↓
![](https://lh6.googleusercontent.com/-BBMg3rDMQiY/TfQlzEmZSGI/AAAAAAAACPg/NVfquC1mVnQ/001.jpg)
メモリーにはずっと残っていますがこんな感じです↓
![](https://lh3.googleusercontent.com/-b7PBxbs-JWU/TfNSOjXRwwI/AAAAAAAACPI/GwODGpz6-RI/s300/001.jpg)
ウイルストータルにスキャンしたら下記の結果となります↓
http://www.virustotal.com/file-scan/report.html?id=587b34439c9f79cc4c182e7079f420b9ef40f7fa6a12052fc513f44cbd4ab1b1-1307609100
※上記の二つサンプルに付いてトロイの分とトロイ・ダウンローダーがセットになっていますので、たまにその他のバックドアがトロイ入っています、例えば「win32.backdoor.agent.xxxx」
5月のサンプルの中にFraudpackと違う種類マルウェアもあります、発見した上でが多かったのは「Trojan.Win32.Genome.sjun」と「Trojan.Win32.Deliver.u」ですが詳細な説明は下記となります↓
Trojan.Win32.Genome.sjun
ウイルストータルにスキャンしたら下記の結果となります↓
http://www.virustotal.com/file-scan/report.html?id=c2224d83a7ba665c79a9428ac08cdb83d78850402fff50e6bfb0d46502ef75bd-1307609847
本件のマルウェアに感染されたらIEの設定が変わってしまいます、さらにインターネットが自動で繋ぐ事となります。本件のトロイはバックドアを開きますので、パソコンの情報を外へ送られます。
Trojan.Win32.Deliver.u
ウイルストータルにスキャンしたら下記の結果となります↓
http://www.virustotal.com/file-scan/report.html?id=ef5f8ce64b5d15b9aadca00faa30e36dfcb42b45dcb30b7bef6e424a37113b5b-1307609893
※本件のトロイはインターネットで沢山発見されています、例えば【こちら】と【こちら】です。
本件のマルウェアメールの添付された物はトロイです、調査してみたら↓
※ファイルの形はあやしいですね↓
![](https://lh5.googleusercontent.com/-KjVmm1ZAHg0/TfNHvdx0gMI/AAAAAAAACO0/TXyJk5Ps5Xs/003.jpg)
※ファイルの中身を確認したら色々不具合が発見しました↓
![](https://lh6.googleusercontent.com/-fBSQJ1X7I6s/TfNHvVTFN1I/AAAAAAAACO4/VM8DGEKiSwA/004.jpg)
このトロイをインストールされたら下記のニセWindowsのアラートとGUIが出てきます、アラートは例えば下記のポップアップです↓
![](https://lh5.googleusercontent.com/-Ai_EKculZRY/TfQnU06J9YI/AAAAAAAACPo/6wJjmJgogTo/002.jpg)
↑ポップアップの中にあるメッセージもころころ変わるので、例えば↓
![](https://lh6.googleusercontent.com/-TmDUNXpK3Ww/TfQxNU_8d5I/AAAAAAAACQA/U1KRi9cYvNY/006.jpg)
![](https://lh4.googleusercontent.com/-JxppE8SQzxg/TfQy-xLwRYI/AAAAAAAACQI/ypDmOR6m5uQ/007.jpg)
※【注意】Fakeアラート/ニセアラートのメッセージは全て英文です。
GUIだとニセマルウェア対策/セキュリティソフトになりますので、例えば↓
![](https://lh3.googleusercontent.com/-YBLLcBjFiBs/TfQn7FHOMrI/AAAAAAAACPw/405RcVFLlBA/004.jpg)
本件のトロイは下記のマルウェアファイルをドロップ/ダウンロードしてしまいまいます↓
![](https://lh5.googleusercontent.com/-nIQw-LXqCqw/TfQtVdhfnMI/AAAAAAAACP4/dyEkNlyHnIQ/005.jpg)
↑このファイルはTDSSのルートキットの関係あるコンポネント・ファイルです。感染されたら非常に危険な状況になってしまいます。ルートキットに感染されたらPCを直すのはとても大変です。リファレンスは【こちら】と【こちら】
※追加情報ですが、Trojan.Win32.Genome.sjunとTrojan.Win32.Deliver.uもボットネットから送ってくれたメールマルウェアです。
他の検知したマルウェアはいつもの検知したの物ですので少しずつ届いている、例えばOffice.a、Netsky、Smallなど、となります。このマルウェアを前回のレポートに説明しましたので、検索のアクセスはこちらです。
その他のレビュー点
※今の所は5月には日本語のマルウェアメールサンプルが見つかりません。
※マルウェアサイトにリンクされているスパムメールが多いですが、その話はスパムのレビューの上で説明します、別のレポートとなります。
※5月中にはニセアンチウイルス日本語版とが見つかりません、ニセWindowsアラート日本語版も発見しておりません。
----
ゼロデイ・ジャパン
http://0day.jp
マルウェア研究所
アドリアン・ヘンドリック
Sponsored by: 株式会社ケイエルジェイテック
Tweet
0 件のコメント:
コメントを投稿