下記のURLtoファイル情報には本件のハッキングツールが発見されました。
hxxp://up1m.ko.gs/src/koups908.txt
-rw-rw-r-- 700 Oct 19 19:00 koups908.txt
-rw-rw-r-- 700 Oct 19 19:00 koups908.txt
ネットワーク情報は下記となります。感染/ハッキングされたサーバがSAKURA社IDCにあります。
感染されたサーバの
IP: 59.106.19.69
DNS:
up1m.ko.gs. 3357 IN A 59.106.19.69
up1m.ko.gs. 3357 IN NS ns1.dns.ne.jp.
up1m.ko.gs. 3357 IN NS ns2.dns.ne.jp.
IDC情報↓
AS番号:9370
ネット:59.106.0.0/17
ASN名:SAKURA
国:日本
ドメイン名/備考:SAKURA.NE.JP /SAKURA INTERNET INC
IP: 59.106.19.69
DNS:
up1m.ko.gs. 3357 IN A 59.106.19.69
up1m.ko.gs. 3357 IN NS ns1.dns.ne.jp.
up1m.ko.gs. 3357 IN NS ns2.dns.ne.jp.
IDC情報↓
AS番号:9370
ネット:59.106.0.0/17
ASN名:SAKURA
国:日本
ドメイン名/備考:SAKURA.NE.JP /SAKURA INTERNET INC
マルウェア説明↓
PHP経由のマルウェアですが、実行されたら設定されているHotmailアカウントの情報をダウンロードされます。完全にハッキングツール/情報盗むようなツールですね。Hotmailサービスから見れば本マルウェアに感染されたサーバから攻撃が来ると思われますので、早めに本件のマルウェアを消して欲しいですね。
マルウェアのコードスナップショット↓
マルウェアのコードスナップショット↓
マルウェアのスキャン結果
----
ゼロデイ・ジャパン
http://0day.jp
マルウェア研究所
アドリアン・ヘンドリック
Sponsored by: 株式会社ケイエルジェイテック
Tweet
0 件のコメント:
コメントを投稿