月曜日, 10月 17, 2011

【マルウェア警告】Backdoor PHP ShellBotのマルウェアを発見しました


ついさっき、その他のマルウェア調査した時に本件のマルウェアが下記の情報に発見されました。感染されたのサーバ情報はこちらのサーバと同じです。下記の説明は感染されたURL/ファイルの情報からマルウェアの情報説明の流れで説明致します。
下記のURLには本件のマルウェアが発見しました↓
hxxp://asakusa-kagetudo.com/modules/shop/c99.txt
スナップショット↓

ダウンロードのログ↓
--19:50:25-- hxxp://asakusa-kagetudo.com/modules/shop/c99.txt
=> `c99.txt'
Resolving asakusa-kagetudo.com... 210.172.144.27
Connecting to asakusa-kagetudo.com|210.172.144.27|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 172,560 (169K) [text/plain]
100%[====================================>] 172,560 --.--K/s
19:50:25 (1.22 MB/s) - `c99.txt' saved [172560/172560]

マルウェアの情報↓
本件のマルウェアは「Backdoor PHP ShellBot」のマルウェアですので、マルウェアの調査確認結果はこちらとなります。現在は未だアップされている状況なので、とても危険な状況です。

本件のマルウェアはウェブサーバのPHPエンジンで動かされています、GUIインタフェースが持っています。マルウェアの情報確認したい場合上記のURLで確認が出来ますが(専門の方ONLY!)、基本的なマルウェアのGUIだけを下記に説明します。

ハッキング/感染されたサーバの情報↓


マルウェアのバックドアー機能GUI↓


マルウェアのファイルアップローダーGUI↓


感染されたサーバのファイル検索機能↓


マルウェアGUIでのメーラー送信機能↓


マルウェアのコード暗号化ツールGUI↓


----
ゼロデイ・ジャパン
http://0day.jp
マルウェア研究所
アドリアン・ヘンドリック
Sponsored by: 株式会社ケイエルジェイテック

3 件のコメント:

  1. It's a rip of the c99 shell.
    you can found these backdoors at: hXXp://sh3ll.org/
    Hackers use them mainly for hack via upload, here the extention was .txt so i assume it was for hack via the include vulnerability who will exec the code inside the txt.

    返信削除
  2. 現在ステータス:マルウェアファイルが未だ残っています↓
    *) The current info: the malware is still up and alive:

    --12:34:11-- hxxp://asakusa-kagetudo.com/modules/shop/c99.txt
    => `c99.txt'
    Resolving asakusa-kagetudo.com... 210.172.144.27
    Connecting to asakusa-kagetudo.com|210.172.144.27|:80... connected.
    HTTP request sent, awaiting response... 200 OK
    Length: 172,560 (169K) [text/plain]
    100%[====================================>] 172,560 862.17K/s
    12:34:11 (859.91 KB/s) - `c99.txt' saved [172560/172560]

    \GnuWin32\bin>date
    The current date is: 2011/10/19

    返信削除
  3. Thank's for the c99 shell info. Accordingly following my curiosity I investigated further.

    Just comparing the original c99.php to this c99.txt and found the following marked adjustment by the hacker. These are some parts (there are lots of it) which was modified from the original c99 shell.
    However this malware version has the update for the original c99 itself, it is an amazing improvement from the blackhat side.. to turn the grey tool into the malware tool...

    Here's some dumps of the modification parts, which will surprise any whitehats who sees it. Some hackers are combining and building super script for hacking the web servers, and Japan is one of the target...

    According to the language checked is definitely south-asian hackers.

    返信削除