【マルウェア警告】日本のIDCにIRCボットのPerl/PHPマルウェアを発見！その２ 【対応済み】

本件に付いて前回似たような問題を発見した事があります、その時のレポートはここにあります。
前と同じ様に、本件もPerlとPHP経由のIRCマルウェアです。このマルウェアがハッキングされたウェブサーバに発見しました。

このマルウェアに感染された2件のサイトを報告させて頂きます↓

(1) GMO/INTERQのIDCお客様　1件
hxxp://miyabilondon.com/mt_admin/tools/ipays.txt
hxxp://miyabilondon.com/mt_admin/tools/id.txt

(2) SAKURAインターネットのIDC　1件
hxxp://www.a-cubic.co.jp/~info/remote.txt
hxxp://www.a-cubic.co.jp/~info/b0x.txt

※上記のURLは本物のマルウェアですので、危険ですが、専門の方々じゃないとアクセスは禁止です！ご注意下さい。
※スクリプトに書いたコメントを見たら、本件のマルウェアを作った国は東南アジア系ですので、マレーシアかインドネシアかだと思われます。
※現時点では本件のサンプルが未だアップされている状況ですので、ブラウザーで安心で見れますので、中身に書いたコードを見たら皆さんもマルウェアのスクリプトの確認が出来ると思います。

本件のマルウェアが必ず何個のファイルでセットされています。簡単に言えば、1個はリモートでIRCホストに繋げて悪戯コマンドを受けますが、もう1個は色んなサーバのサービスを弄ると。但し、このマルウェアが簡単に作りなおされる物なので、沢山種類があります。例えば上記の(1)DDoS攻撃機能が持っています、(2)はHTTP経由でSMSメッセージを送る機能が持っています。(1)と(2)のマルウェアは他のサイトにも感染が出来るようにSQLインジェックション攻撃機能も持っています、詳しく見たいならゆっくり上記のテキストファイルの中身を見て下さい。

記号沢山質問が届いた、どのコードが危ないかと。下記の一覧でマルウェア/ハッキング機能のスクリーンショットを用意しました、クリックしたらコードの画像を見えます↓
【Shellコードインジェックション】

【ルートキットのインストール】

【IRCポートでのバックドア】

【他のサイトへのSQL Injection攻撃機能】

【メールを送る機能】

【他のサイトを探し、感染機能】

【プロキシ繋ぎ機能】

【DDoS攻撃機能】


↑その他マルウェア機能がありますが詰りウェブインターフェース機能、マシンのシステム権限を変える機能、など）コードをご確認したら確認が出来ます。

ウイルストータルのサイトには本件のマルウェアの確認が出来ます、スキャン結果↓

a509c317f992aea6290bbd72a0206ebb0bb6a1b460c6363cc73e8c5ccd7273bb-1309020187
5a0f90fee33c44002d6c0a0c70f84549654756c227e8897be03e48fb8debe483-1309024182
b78f97257d379b7d9389a8529d1aeb017929ef947efc73eee2188b5a06a3944a-1309023948
5160315d1c4ab49cf1ffad07d42b5e3b8cfb9556752a60cb96e89ed3ed145605-1309024114

追加情報ですが、下記のダウンロードURLにクリックしたら感染されたURLのネットワーク調査結果が出ます↓（UTF-8のテキストファイル）

miyabilondon.comのネットえアーク情報
a-cubic.co.jpのネットえアーク情報
※上記の情報が分かればサイトの管理者の連絡先を調べられます

----
ゼロデイ・ジャパン
http://0day.jp
マルウェア研究所
アドリアン・ヘンドリック
Sponsored by: 株式会社ケイエルジェイテック
Tweet