下記に書いたサーバがPHP経由マルウェアに感染されております。詳細情報は下記となります。
発見情報
感染されたサーバ情報
・ホスト名:asakusa-kagetudo.com
・ネット情報:【こちらへ】
・マルウェアURL:
hxxp://asakusa-kagetudo.com/modules/shop/diams.txt
hxxp://asakusa-kagetudo.com/modules/shop/now.jpg
hxxp://asakusa-kagetudo.com/modules/shop/zoum.txt
hxxp://asakusa-kagetudo.com/modules/shop/ton.jpg
・ファイルのスクリーンショット:
中身はASCIIテキストです、ファイルは実行権限が持っています、例えば下記の2個サンプル↓
・ネット情報:【こちらへ】
・マルウェアURL:
hxxp://asakusa-kagetudo.com/modules/shop/diams.txt
hxxp://asakusa-kagetudo.com/modules/shop/now.jpg
hxxp://asakusa-kagetudo.com/modules/shop/zoum.txt
hxxp://asakusa-kagetudo.com/modules/shop/ton.jpg
・ファイルのスクリーンショット:
中身はASCIIテキストです、ファイルは実行権限が持っています、例えば下記の2個サンプル↓
マルウェア調査結果(ウイルストータル)
hxxp://asakusa-kagetudo.com/modules/shop/zoum.txt
hxxp://asakusa-kagetudo.com/modules/shop/diams.txt
hxxp://asakusa-kagetudo.com/modules/shop/now.jpg
hxxp://asakusa-kagetudo.com/modules/shop/ton.jpg
hxxp://asakusa-kagetudo.com/modules/shop/diams.txt
hxxp://asakusa-kagetudo.com/modules/shop/now.jpg
hxxp://asakusa-kagetudo.com/modules/shop/ton.jpg
マルウェア説明
・本件のサンプルは恐らくインドネシアからのオリジンです
(サンプルに書いた言語のジャッジ)
・asakusa-kagetudo.comサーバのHTTPサービスにある脆弱点の原因でマルウェアが
外からインジェクトされております(サーバのPenTESTが必要)
・流れ的に最初はdiam.txtが入ってしまったので、その後now.jpgをダウンロードしたかと思われます(PoCはファイルの日付け/サーバ側)
・感染された日付けは大体:2011年9月8日~2011年10月8日の間
・本件のマルウェアが未だサーバに入っている状況です、下記の証拠となります↓
(サンプルに書いた言語のジャッジ)
・asakusa-kagetudo.comサーバのHTTPサービスにある脆弱点の原因でマルウェアが
外からインジェクトされております(サーバのPenTESTが必要)
・流れ的に最初はdiam.txtが入ってしまったので、その後now.jpgをダウンロードしたかと思われます(PoCはファイルの日付け/サーバ側)
・感染された日付けは大体:2011年9月8日~2011年10月8日の間
・本件のマルウェアが未だサーバに入っている状況です、下記の証拠となります↓
--13:49:22-- hxxp://asakusa-kagetudo.com/modules/shop/diams.txt?%3F
=> `diams.txt@%3F'
Resolving asakusa-kagetudo.com... 210.172.144.27
Connecting to asakusa-kagetudo.com|210.172.144.27|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 42,928 (42K) [text/plain]
100%[====================================>] 42,928 --.--K/s
13:49:22 (764.11 KB/s) - `diams.txt@%3F' saved [42928/42928]
--13:49:27-- hxxp://asakusa-kagetudo.com/modules/shop/now.jpg?%3F
=> `now.jpg@%3F'
Resolving asakusa-kagetudo.com... 210.172.144.27
Connecting to asakusa-kagetudo.com|210.172.144.27|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 15,552 (15K) [image/jpeg]
100%[====================================>] 15,552 --.--K/s
13:49:28 (542.88 KB/s) - `now.jpg@%3F' saved [15552/15552]
--15:41:27-- hxxp://asakusa-kagetudo.com/modules/shop/ton.jpg?%3F
=> `ton.jpg@%3F'
Resolving asakusa-kagetudo.com... 210.172.144.27
Connecting to asakusa-kagetudo.com|210.172.144.27|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 15,554 (15K) [image/jpeg]
100%[====================================>] 15,554 --.--K/s
15:41:27 (526.83 KB/s) - `ton.jpg@%3F' saved [15554/15554]
--15:41:38-- hxxp://www.asakusa-kagetudo.com/modules/shop/zoum.txt
=> `zoum.txt'
Resolving www.asakusa-kagetudo.com... 210.172.144.27
Connecting to www.asakusa-kagetudo.com|210.172.144.27|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 42,928 (42K) [text/plain]
100%[====================================>] 42,928 --.--K/s
15:41:38 (737.83 KB/s) - `zoum.txt' saved [42928/42928]
=> `diams.txt@%3F'
Resolving asakusa-kagetudo.com... 210.172.144.27
Connecting to asakusa-kagetudo.com|210.172.144.27|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 42,928 (42K) [text/plain]
100%[====================================>] 42,928 --.--K/s
13:49:22 (764.11 KB/s) - `diams.txt@%3F' saved [42928/42928]
--13:49:27-- hxxp://asakusa-kagetudo.com/modules/shop/now.jpg?%3F
=> `now.jpg@%3F'
Resolving asakusa-kagetudo.com... 210.172.144.27
Connecting to asakusa-kagetudo.com|210.172.144.27|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 15,552 (15K) [image/jpeg]
100%[====================================>] 15,552 --.--K/s
13:49:28 (542.88 KB/s) - `now.jpg@%3F' saved [15552/15552]
--15:41:27-- hxxp://asakusa-kagetudo.com/modules/shop/ton.jpg?%3F
=> `ton.jpg@%3F'
Resolving asakusa-kagetudo.com... 210.172.144.27
Connecting to asakusa-kagetudo.com|210.172.144.27|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 15,554 (15K) [image/jpeg]
100%[====================================>] 15,554 --.--K/s
15:41:27 (526.83 KB/s) - `ton.jpg@%3F' saved [15554/15554]
--15:41:38-- hxxp://www.asakusa-kagetudo.com/modules/shop/zoum.txt
=> `zoum.txt'
Resolving www.asakusa-kagetudo.com... 210.172.144.27
Connecting to www.asakusa-kagetudo.com|210.172.144.27|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 42,928 (42K) [text/plain]
100%[====================================>] 42,928 --.--K/s
15:41:38 (737.83 KB/s) - `zoum.txt' saved [42928/42928]
----
ゼロデイ・ジャパン
http://0day.jp
マルウェア研究所
アドリアン・ヘンドリック
Sponsored by: 株式会社ケイエルジェイテック
Tweet
While analysis this malware I found the new malware, here
返信削除(本マルウェアを調査した時に別のマルウェアをまた発見しました、同じサーバです)
現在ステータス:マルウェアファイルが未だ残っています↓
返信削除*) The current info: the malware is still up and alive:
--12:34:41-- hxxp://asakusa-kagetudo.com/modules/shop/diams.txt
=> `diams.txt'
Resolving asakusa-kagetudo.com... 210.172.144.27
Connecting to asakusa-kagetudo.com|210.172.144.27|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 42,928 (42K) [text/plain]
100%[====================================>] 42,928 --.--K/s
12:34:41 (894.22 KB/s) - `diams.txt' saved [42928/42928]
\GnuWin32\bin>date
The current date is: 2011/10/19