■下記のサイト↓
hxxp://wf448.com
■下記のダウンロードURL/ファイル↓
hxxp://wf448.com/down/hook.dll 1e7640c31352b068e35a11114aadf82b hxxp://wf448.com/down/tabbar_start.exe e149fc9cca4edc8e4a3545e5b49c2669 hxxp://wf448.com/down/tabbar.exe 009f5010ab447cf13e0862bd2dfb2521 hxxp://wf448.com/down/tabbar_up.exe 9762e37ed925d8df38fd8e431f06da66
■下記の検知した結果↓
[1][2][3][4]
↑マルウェアソフトを発見しました。
1. 本件のマルウェアセットのファイル情報↓
2. ファイルのコンパイル情報をみたら韓国語ソフト/パソコンで作られたマルウェアです。
3. 自動起動機能が持っています↓
↑マルウェアソフトを発見しました。
1. 本件のマルウェアセットのファイル情報↓
%ProgramFiles%\tabbar\hook.dll 11,776 bytes %ProgramFiles%\tabbar\srv.log 0 bytes ←マルウェアのログ %ProgramFiles%\tabbar\tabbar.exe 403,968 bytes %ProgramFiles%\tabbar\tabbar_start.exe 245,248 bytes %ProgramFiles%\tabbar\tabbar_up.exe 326,656 bytes
2. ファイルのコンパイル情報をみたら韓国語ソフト/パソコンで作られたマルウェアです。
3. 自動起動機能が持っています↓
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
tabbar_start = "%ProgramFiles%\tabbar\tabbar_up.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\tabbar]
tabbar_v = 0x00000002
tabbar_hv = 0x000000024. 外側にあるマシンにHTTTP/80のコミュニケーション動きも発見↓http://wf448.com/down/tabbar.exe
http://wf448.com/down/tab_v.php
http://wf448.com/tabbar_uplist.txt
http://wf448.com/down/hook.dll
http://wf448.com/down/tabbar_up.exe
http://wf448.com/down/tabbar_start.exe
http://wf448.com/_cnt/cnt03_0.php
http://wf448.com/_cnt/cnt03_1.php↑まさに「wf448.com」に向いている状況です■ネットワーク/IP登録情報
Name: wf448.com Address: 111.92.247.166 inetnum: 111.92.244.0 - 111.92.247.255 netname: AT descr: Ip Core Corporation descr: FujiichiBldg.3F,1-1-2,Okubo,Shinjyuku-ku,Tokyo 169-0072,Japan country: JP admin-c: JNIC1-AP tech-c: JNIC1-AP status: ALLOCATED PORTABLE remarks: Email address for spam or abuse complaints : ipcore@ip-core.com mnt-by: MAINT-JPNIC mnt-lower: MAINT-JPNIC changed: hs-changed@apnic.net 20090702 source: APNIC
■ドメイン登録情報
Domain Name: WF448.COM Registrar: JIANGSU BANGNING SCIENCE & TECHNOLOGY CO. LTD Whois Server: whois.55hl.com Referral URL: http://www.55hl.com Name Server: DNS5.4CUN.COM Name Server: DNS6.4CUN.COM Status: ok Updated Date: 24-nov-2011 Creation Date: 24-nov-2011 ExpirationDate: 24-nov-2012
■インターネットルーティング情報↓
■データセンター情報↓
■ステータス/コメント↓
・マルウェア調査最中でホスト「111.92.247.166」がダウン/オフラインされたようです。
・リファレンス調査完了、コアアナリシス不可能
・ステータス…暫く様子見
・リファレンス調査完了、コアアナリシス不可能
・ステータス…暫く様子見
■現状の監視情報↓
Fri Jan 27 12:20:10 JST 2012
--12:36:56-- http://wf448.com/down/hook.dll
=> `hook.dll'
Resolving wf448.com... 111.92.247.166
Connecting to wf448.com|111.92.247.166|:80...
<<タイムアウト>>
--12:37:13-- http://wf448.com/down/tabbar.exe
=> `tabbar.exe'
Resolving wf448.com... 111.92.247.166
Connecting to wf448.com|111.92.247.166|:80...
<<タイムアウト>>
Host 111.92.247.166 appears to be down.
Note: Host seems down. If it is really up, but blocking our ping probes,
1 IP address (0 hosts up) scanned in 4.019 seconds
↑接続は途中で切れたそうで、おかしいです。現状は実はダウンかアップが分かりません。
本マルウェアサイトの監視する必要があります。
■追加情報:
Tue Jan 31 13:23:18 JST 2012
モニターしましたので、一旦本件の対応は終了です。ご協力頂き有難う御座います。
----
ゼロデイ・ジャパン
http://0day.jp
マルウェア研究所
アドリアン・ヘンドリック
Sponsored by: 株式会社ケイエルジェイテック
Tweet
0 件のコメント:
コメントを投稿