木曜日, 1月 26, 2012

【マルウェア情報】 #OCJP-001: wf448.com 【対応済み】



■下記のサイト↓
hxxp://wf448.com

■下記のダウンロードURL/ファイル↓
hxxp://wf448.com/down/hook.dll         1e7640c31352b068e35a11114aadf82b
hxxp://wf448.com/down/tabbar_start.exe   e149fc9cca4edc8e4a3545e5b49c2669
hxxp://wf448.com/down/tabbar.exe       009f5010ab447cf13e0862bd2dfb2521
hxxp://wf448.com/down/tabbar_up.exe    9762e37ed925d8df38fd8e431f06da66

■下記の検知した結果↓
[1][2][3][4]
↑マルウェアソフトを発見しました。
1. 本件のマルウェアセットのファイル情報↓
%ProgramFiles%\tabbar\hook.dll   11,776 bytes  
%ProgramFiles%\tabbar\srv.log   0 bytes  ←マルウェアのログ
%ProgramFiles%\tabbar\tabbar.exe  403,968 bytes  
%ProgramFiles%\tabbar\tabbar_start.exe  245,248 bytes  
%ProgramFiles%\tabbar\tabbar_up.exe  326,656 bytes  

2. ファイルのコンパイル情報をみたら韓国語ソフト/パソコンで作られたマルウェアです。
3. 自動起動機能が持っています↓
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      tabbar_start = "%ProgramFiles%\tabbar\tabbar_up.exe"
  [HKEY_LOCAL_MACHINE\SOFTWARE\tabbar]
         tabbar_v = 0x00000002
         tabbar_hv = 0x00000002
4. 外側にあるマシンにHTTTP/80のコミュニケーション動きも発見↓
http://wf448.com/down/tabbar.exe
    http://wf448.com/down/tab_v.php
    http://wf448.com/tabbar_uplist.txt
    http://wf448.com/down/hook.dll
    http://wf448.com/down/tabbar_up.exe
    http://wf448.com/down/tabbar_start.exe
    http://wf448.com/_cnt/cnt03_0.php
    http://wf448.com/_cnt/cnt03_1.php
↑まさに「wf448.com」に向いている状況です

■ネットワーク/IP登録情報
Name:           wf448.com
Address:        111.92.247.166
inetnum: 111.92.244.0 - 111.92.247.255
netname: AT
descr:  Ip Core Corporation
descr:  FujiichiBldg.3F,1-1-2,Okubo,Shinjyuku-ku,Tokyo 169-0072,Japan
country: JP
admin-c: JNIC1-AP
tech-c:  JNIC1-AP
status:  ALLOCATED PORTABLE
remarks: Email address for spam or abuse complaints : ipcore@ip-core.com
mnt-by:  MAINT-JPNIC
mnt-lower: MAINT-JPNIC
changed: hs-changed@apnic.net 20090702
source:  APNIC

■ドメイン登録情報
Domain Name:    WF448.COM
Registrar:      JIANGSU BANGNING SCIENCE & TECHNOLOGY CO. LTD
Whois Server:   whois.55hl.com
Referral URL:   http://www.55hl.com
Name Server:    DNS5.4CUN.COM
Name Server:    DNS6.4CUN.COM
Status:         ok
Updated Date:   24-nov-2011
Creation Date:  24-nov-2011
ExpirationDate: 24-nov-2012

■インターネットルーティング情報↓


■データセンター情報↓


■ステータス/コメント↓
・マルウェア調査最中でホスト「111.92.247.166」がダウン/オフラインされたようです。
・リファレンス調査完了、コアアナリシス不可能
・ステータス…暫く様子見

■現状の監視情報↓
Fri Jan 27 12:20:10 JST 2012
--12:36:56--  http://wf448.com/down/hook.dll
           => `hook.dll'
Resolving wf448.com... 111.92.247.166
Connecting to wf448.com|111.92.247.166|:80...
  <<タイムアウト>>
--12:37:13--  http://wf448.com/down/tabbar.exe
           => `tabbar.exe'
Resolving wf448.com... 111.92.247.166
Connecting to wf448.com|111.92.247.166|:80...
  <<タイムアウト>>
Host 111.92.247.166 appears to be down.
Note: Host seems down. If it is really up, but blocking our ping probes, 
1 IP address (0 hosts up) scanned in 4.019 seconds
↑接続は途中で切れたそうで、おかしいです。現状は実はダウンかアップが分かりません。
本マルウェアサイトの監視する必要があります。

■追加情報:
Tue Jan 31 13:23:18 JST 2012
モニターしましたので、一旦本件の対応は終了です。ご協力頂き有難う御座います。

----
ゼロデイ・ジャパン
http://0day.jp
マルウェア研究所
アドリアン・ヘンドリック
Sponsored by: 株式会社ケイエルジェイテック


0 件のコメント:

コメントを投稿