感染されたサイトの情報か下記となります↓
サイト情報↓
マルウェア種類↓
・ダウンロード情報:
マルウェア種類↓
・マルウェアファイル名: javascript.js (ASCIIテキストファイル)
・MD5 : e13ee0f84f18545262991577064211cf
・File size : 697 bytes
・MD5 : e13ee0f84f18545262991577064211cf
・File size : 697 bytes
・ダウンロード情報:
Fri Oct 21 18:58:47 JST 2011
--18:58:03-- hxxp://kaatsu-kt.com/js/javascript.js
=> `javascript.js'
Resolving kaatsu-kt.com... 219.94.203.130
Connecting to kaatsu-kt.com|219.94.203.130|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 697 [application/x-javascript]
100%[====================================>] 697 --.--K/s
18:58:03 (20.69 MB/s) - `javascript.js' saved [697/697]
※注意:今現在本件のマルウェアが未だアップされている状況ですので、危険ですよ!
--18:58:03-- hxxp://kaatsu-kt.com/js/javascript.js
=> `javascript.js'
Resolving kaatsu-kt.com... 219.94.203.130
Connecting to kaatsu-kt.com|219.94.203.130|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 697 [application/x-javascript]
100%[====================================>] 697 --.--K/s
18:58:03 (20.69 MB/s) - `javascript.js' saved [697/697]
※注意:今現在本件のマルウェアが未だアップされている状況ですので、危険ですよ!
マルウェア情報↓
firefoxstabs.comのマルウェア(infector向けのJSスクリップト)に感染されております。感染されたサイトに下記のマルウェアコードが書いてあり↓
調査したら下記の分散情報となります、私のメモも書いたので↓
※このマルウェアは感染させるようなタイプのマルウェアですので「infector」といいます。似たような物はGUMBLAR時期で沢山発見されています。
※本件のスクリプトの動き方は大体こんなもんです↓
・本SCRIPTがjqueryのJSライブラリーを先ずはアクセスして
・未だ感染されてないサイトですとflagを立ってて、firefoxstabs.comにあるマルウェアファイル(これもjavascriptですが…)にアクセスさせて、そのマルウェアを実行されてしまうと色々次のマルウェア感染が動きはじめますと…
仕組み的には分かりにくいかも知れないので、説明が出来る様に頑張ります↓
①パソコンブラウザーで本件のサイトに飛ばされたユーザが必要、あやしいphp/asp/jsスクリプト(Agent種類)のスクリプトの影響でこの(本件のマルウェア/infector)サイトにとばされます。本件のAgentに感染されたら下記のパソコンのファイルにマルウェアデータが残っているケースが多いです
②このマルウェアはFLAGを見て、感染された①から分かったらfirefoxtabs.comにあるマルウェアスクリプト(injector種類)飛ばします。
③このには書いてないけど、injectorは直接クライアントに色々感染行動を行う事です。このケースではfirefoxtabs.comにあるマルウェアですね。別の海外事件で調査しましたので、firefoxtabs.comからパソコンにトロイ木馬のマルウェアを感染させます。そのトロイはFTPソフト(例え:FileZilla、NextFTPなど)のアクセス情報を取って、そのサイトに色々.JS/.PHP/.ASPのマルウェアファイルを入れますと。
そもそも、本件のマルウェアサイトfirefoxstabs.com自体にとってもあやしいサイトですので、「.js/.php/.asp」のマルウェアが結構あちこちに送ったみたいので、
現在は既にブラックリストに登録されております。
でも、ドメインが未だ生きている状況ですので、下記の登録情報となります(オリジン:中国)
調査したら下記の分散情報となります、私のメモも書いたので↓
※このマルウェアは感染させるようなタイプのマルウェアですので「infector」といいます。似たような物はGUMBLAR時期で沢山発見されています。
※本件のスクリプトの動き方は大体こんなもんです↓
・本SCRIPTがjqueryのJSライブラリーを先ずはアクセスして
・未だ感染されてないサイトですとflagを立ってて、firefoxstabs.comにあるマルウェアファイル(これもjavascriptですが…)にアクセスさせて、そのマルウェアを実行されてしまうと色々次のマルウェア感染が動きはじめますと…
仕組み的には分かりにくいかも知れないので、説明が出来る様に頑張ります↓
①パソコンブラウザーで本件のサイトに飛ばされたユーザが必要、あやしいphp/asp/jsスクリプト(Agent種類)のスクリプトの影響でこの(本件のマルウェア/infector)サイトにとばされます。本件のAgentに感染されたら下記のパソコンのファイルにマルウェアデータが残っているケースが多いです
%SysDir%\drivers\etc\hosts
②このマルウェアはFLAGを見て、感染された①から分かったらfirefoxtabs.comにあるマルウェアスクリプト(injector種類)飛ばします。
③このには書いてないけど、injectorは直接クライアントに色々感染行動を行う事です。このケースではfirefoxtabs.comにあるマルウェアですね。別の海外事件で調査しましたので、firefoxtabs.comからパソコンにトロイ木馬のマルウェアを感染させます。そのトロイはFTPソフト(例え:FileZilla、NextFTPなど)のアクセス情報を取って、そのサイトに色々.JS/.PHP/.ASPのマルウェアファイルを入れますと。
そもそも、本件のマルウェアサイトfirefoxstabs.com自体にとってもあやしいサイトですので、「.js/.php/.asp」のマルウェアが結構あちこちに送ったみたいので、
現在は既にブラックリストに登録されております。
でも、ドメインが未だ生きている状況ですので、下記の登録情報となります(オリジン:中国)
マルウェア調査結果(ウイルストータル)
本件のマルウェア対策方法は?
スクリプト関係のマルウェアなので、検知しにくいかも知れないので、メージャーなパターンを大体検知が出来てます。
なるべくサーバにあるファイルを簡単なMD5確認ロジックを回した方がいいと思います。後は必ずサーバにあるファイルはローカルPCにもバックアプして下さい
なるべくサーバにあるファイルを簡単なMD5確認ロジックを回した方がいいと思います。後は必ずサーバにあるファイルはローカルPCにもバックアプして下さい
----
ゼロデイ・ジャパン
http://0day.jp
マルウェア研究所
アドリアン・ヘンドリック
Sponsored by: 株式会社ケイエルジェイテック
Tweet
0 件のコメント:
コメントを投稿