土曜日, 10月 22, 2011

【マルウェア警告】「sutekina.edisc.jp」のウェブサーバにBotNetトロイのマルウェアが発見! 【対応済み】


下記のURL情報に色んなトロイのマルウェアを発見しました↓
(感染されたURL)               (マルウェア情報)
hxxp://sutekina.edisc.jp/walking-diet/sssss.exe (ASD.Prevention)
hxxp://sutekina.edisc.jp/walking-diet/574-01.exe (Trojan/Win32.Jorik)
hxxp://sutekina.edisc.jp/walking-diet/sl21.exe (TROJAN Crypt.ZPACK.Gen)
hxxp://sutekina.edisc.jp/walking-diet/setup.exe (TROJAN DROPPER)
※sl21.exeのファイルに付いて、ころころファイル名が変わっている状況です。現状の確認ではフォーマット的にはカウントアップで 【 sl[number][number].exe 】です


ネットワーク情報↓
「sutekina.edisc.jp」のネットワーク情報は:【こちら】 ですが、ネットワーク情報的には「SECOM TRUST SYSTEMS」のお客様ですね。ドメインは「CsideNet Co., Ltd.」に登録されたようです。


マルウェア調査結果↓


ファイルのアイコン↓


ファイルのプロパティ↓


マルウェア説明↓
上記の調査結果基づき、マルウェアの動きを説明します↓
1. sssss.exe
このマルウェアはパソコンにコピーされたらマルウェアファイルが保存されて、レジストリーのレコードを変更されて(目的はパソコンの次の起動でマルウェアが自動で起動される事)、パソコンのプロセスをモニターしていると。ネットワークの動きはまったくありません。

2. 574-01.exe
このマルウェアですと、起動されたらずっとメモリーの中に残っています(プロセスになると)、そしてレジストリーを変更されて、下記の動き方を確認しました↓
attrib.exeを「+h "C:\*.*" /s /d」のパラメターで起動されます。
そして「\All Users\Application Data\」に「6DSS92c31Apgjk.exe」ファイルを保存されて、それで偽ハードディスク管理ツール(System RestoreのFakeAV)を起動されます。
偽者System Restoreマルウェアが起動されたらパソコンがロックされる状況になり、ロックを開く為にシリアル番号を入力が必要です。
シリアル番号をいれても(例えばこのS/N:1203978628012489708290478989147)、また「attrib.exe」を実行されて、上からのプロセスがLOOPされます。
このマルウェアも下記のサイトにHTTP接続リクエストを投げます↓
-------------------------------
Remote Host Port Number
---------------------------------
193.105.154.34 80
91.229.90.71 80
---------------------------------

↑そして、上記のサイトから下記のURLリクエストが来ます↓
http://chat-101081.com/uuica1/574-direct
http://start-520186.com/404.php?type=stats&affid=574&subid=01&awok

3. sl21.exe
このマルウェアはボットネットのトロイです。暗号されたコードが沢山発見しました。見れる所だけを言うと:PCに感染してからDIRを作って、レジストリーを変更して(自動スタートの為)、それで情報をパソコンに保存されていると見えます。その後プロセスでメモリーで残ってますが、下記のネットワークの動きを発見されています↓
Remote Host Port Number
190.213.234.164 13494
24.99.214.31 26678
79.3.100.185 21691
82.57.94.199 22272
88.163.46.232 24166

↑上記のIPを見たらボットネットの最新コントロールセンターだと分かりました。

それぞれの接続をキャップチャーしたら下記のパケット情報となります↓
There was an outbound traffic produced on port 13494:
00000000 | 8786 86EE 7EF2 AC51 B198 523D 5D68 521A | ....~..Q..R=]hR.
00000010 | E79D 9DD6 5CD7 08B6 BDB8 1B14 D8D9 D0BB | ....\...........
00000020 | FF20 E185 80D3 096A 7B8A 2BC4 0000 0000 | . .....j{.+.....

There was an outbound traffic produced on port 26678:
00000000 | F3F2 F29A 4B7B 72D3 F84D 533E 2C45 F609 | ....K{r..MS>,E..
00000010 | CE25 D202 551C 98B7 BCB9 1A15 D9D8 D1BA | .%..U...........
00000020 | FE21 E084 81D2 086B 7A8B 2AC5 0100 0000 | .!.....kz.*.....

There was an outbound traffic produced on port 21691:
00000000 | A9A8 A8C2 789A F2FE FA48 7EAE B33D 0BF9 | ....x....H~..=..
00000010 | 61E5 6ECC 1A5D ABE6 EDE8 4B44 8889 80EB | a.n..]....KD....
00000020 | AF70 B1D5 D083 593A 2BDA 7B94 | .p....Y:+.{.

There was an outbound traffic produced on port 22272:
00000000 | 9594 94FE 5A6E B9ED D5F5 228C 89C5 B6C1 | ....Zn....".....
00000010 | E0EE A839 ABFB 009D 9693 303F F3F2 FB90 | ...9......0?....
00000020 | D40B CAAE ABF8 2241 50A1 00EF 0000 0000 | ......"AP.......

4. setup.exe
本マルウェアに付いて、起動されたらメモリーに新しいプロセスをインジェクトされてます、例えば下記のプロセス情報です↓
0x100 iepeersr.exe
0x1e8 ntvdm.exe C:\WINDOWS\system32\ntvdm.exe

そして、上手く行くならパソコンのHOSTSファイルを再作り直します(上書きモード)、下記の情報が追加されています↓
127.0.0.1 thepiratebay.org
127.0.0.1 www.thepiratebay.org
127.0.0.1 mininova.org
127.0.0.1 www.mininova.org
127.0.0.1 forum.mininova.org
127.0.0.1 blog.mininova.org
127.0.0.1 suprbay.org
127.0.0.1 www.suprbay.org

後はWindowsのシステムDIRに「atmpvcno2.exe」マルウェアファイルを保存されてます。それで本マルウェアが削除されています!今度感染されたパソコンが起動したらatmpvcno2.exeプロセスが必ず出ます。
本マルウェアの目的はマルウェアDNSサービスです。パソコンのブラウザーのリクエストが必ずあやしいサイトに飛ばされるようにHOSTファイルが追加されました。

----
ゼロデイ・ジャパン
http://0day.jp
マルウェア研究所
アドリアン・ヘンドリック
Sponsored by: 株式会社ケイエルジェイテック

3 件のコメント:

  1. The network trafic of sl21.exe had nothing related with ZeuS.
    574-01.exe is fake.HDD, it load attrib.exe with params +h "C:\*.*" /s /d drop shit with name like '6DSS92c31Apgjk.exe' into \All Users\Application Data\ and finally load the fake Defrager "System Restore"
    0040185D . 68 0C114500 PUSH 45110C ; UNICODE "1203978628012489708290478989147"
    use the following serial and the fakeav will relaunch attrib.exe.

    返信削除
  2. You're right about sl21.exe, it belongs to other botnet, strangely couldn't run well in my RAT. It should got the themida logic to prevent ruunning into Virtual Machine sort of..

    Thank's for the 574-01.exe, Info added regardingly. It'S not good...Bombed by analyzing bunch of samples in a row.. Those hackers know it too..

    返信削除
  3. マルウェアファイルが削除さてました、ご協力頂き有難う御座います。本件の対応は終了です。

    The malware was removed. Case closed.

    返信削除