木曜日, 1月 12, 2012

【マルウェア情報】 Ramnitワームのマルウェアの行動分析調査(その2) - プロセス情報とスパム・ボット機能


前回報告したRamnitワームのマルウェアの行動調査バイナリー調査の続きですので、下記行動調査追加情報を報告させて頂きます。以前調査したRamnitワームのマルウェアのサンプル種類を詳しくソース迄に色々調べました、もっとのワームサンプルが発見しましたので、以前の調査したのサンプル動きと似ていますが、追加情報があります。
詳細は下記となります↓

行動調査追加情報の1・感染されたPCのプロセス情報について
Ramnitワームに感染されたパソコンが下記のプロセスがかならず立ち上がりますと、明確に分かりました↓
プロセス     パース名                サイズ
services.exe %System%\services.exe   217,088 bytes 
lsass.exe    %System%\lsass.exe      217,088 bytes
alg.exe      %System%\alg.exe        217,088 bytes 
svchost.exe  %System%\svchost.exe    217,088 bytes
svchost.exe  %System%\svchost.exe    217,088 bytes 
svchost.exe  %System%\svchost.exe    217,088 bytes 
svchost.exe  %System%\svchost.exe    217,088 bytes 
svchost.exe  %System%\svchost.exe    217,088 bytes 
svchost.exe  %System%\svchost.exe    143,360 bytes 
svchost.exe  %System%\svchost.exe    217,088 bytes 

行動調査追加情報の2・感染されたPCのネットワークトラフィック
25番ポートのパケットキャップチャーでトラフィックやり取りを発見しました。下記の情報とたります(データが大きいのでクリックしたらテキスト情報を見えます)

※マークしたの所はSMTP/メールの単語ですね。
↑上記のサンプルを見たら何回ぐらいSMTP送信の動きが発見です、ずっと送信が止まらなくて手で停止しました。
見やすくように1回目だけのRamnitのSMTPトラフィックを分析したら下記となります↓


HTMLの分だけを確認したら下記のコードとプリビューとなります↓

ウェブページにしてFirefoxで開いたら↓

↑まさにスパムメールですね。
Ramnitワームに感染されたらあなたのPCがスパム・ボットになる可能性が出ますと確認が出来ました。
何処から何処にスパムを送るかと調べたら、パケットキャップチャーしたの情報をgrepすると下記の結果が出ます↓
送り先(from)メールアドレス↓
     maju@coqui.net
     asjajjhahhsda9@yahoo.com
     lhf@nrtco.net
     test@aol.com
     liddell@ntin.net
     
宛先(to)メールアドレスは↓
     xxx@birchmerevc.com
     xxx@centurytel.net
     xxx@palmas.com
     xxx@kendrickco.com
     xxx@houseboatman.com
     xxx@rtc.coop
     xxx@microsoft.com
     xxx@blueyonder.co.uk
     xxx@stbedechicago.org
     xxx@plateautel.net
     xxx@toolin.org 

RamnitのSMTPトラフィック動きの結論は↓
※ Ramnitワームに感染されたらスパムメールを沢山送る事になります
※ スパムメールのFromアドレスがほぼ決まります。
※ 宛先アドレスはパソコンの情報では無いと確認しました(私はRATにアドレスを登録しませんから)、
  恐らくはRamnitのコントロールセンターからダウンロードされた宛先です。
  ↑そう言われても未だ見てないサンプルがあると重いますが、パソコン情報を取れる可能性があります。
※ スパム送信が止まらない状況ですので、パソコンのネットワーク,メモリとCPU負荷が段々と重くなります。

↑によって下記の情報が重要ですので↓
※ Ramnitワームのはじめて感染した時に恐らくはメール経由の感染仕組みです。
※ メール経由で2つ方法を発見しましたので、
  ①そのままで上記のアイコンファイルを添付されているか、若しくは
  ②メールにトロイのダウンローダー経由でRamnitワームをダウンロードされます。
※ ワームの機能は恐らくメール(SMTP)経由となります。
  その他のバックドアサービスもありますので、53、80と443番ポートです。
  53ポートはDNSです(オープンDNSサービスへリクエストを投げます)、80番ポートにはIISウェブサーバ立ち上がり、
  ワームの感染ポイントになります(IISが無いPCですと恐らく影響がなさそうです)、
  443はコントロールセンター(CC)に情報を送信と銃身方法です、
  25番ポートはスパムで色んな宛先にメールを送信する。
※ コードを見たらメディアの認識が発見、恐らくplug-and-playデバイスには保存が出来るかと思われます。
  今のサンプルでは再現が出来てない部分があり報告は出来ないです。現在別のサンプルを探し、
  詳しい調査をまた別途追加します。

----
ゼロデイ・ジャパン
http://0day.jp
マルウェア研究所
アドリアン・ヘンドリック
Sponsored by: 株式会社ケイエルジェイテック

1 件のコメント:

  1. --------------------------------
    本日のSecond Opinionスキャン確認結果
    --------------------------------
    Checksum of malware :607b2219fbcfbfe8e6ac9d7f3fb8d50e
    Malware detected! [31/43] (72.1%)
    Trojan/Win32.Lebag
    TR/Offend.KD.504269
    SHeur4.MLP
    Trojan.Generic.KD.504269
    Trojan.Ramnit.a
    W32/GenBl.607B2219!Olympus
    Heur.Suspicious
    Trojan.Rmnet.8
    Virus.Win32.Ramnit!IK
    Trojan.Generic.KD.504269
    W32/Yakes.B!tr
    Trojan.Generic.KD.504269
    Virus.Win32.Ramnit
    Riskware
    Trojan.Win32.Lebag.klg
    Generic.mfr!bc
    Generic.mfr!bc
    Trojan:Win32/Ramnit.A
    W32/Suspicious_Gen2.UWZFB
    Trojan/W32.Agent.135680.LI
    Bck/Qbot.AO
    Trojan.Generic
    Trojan.Win32.Generic.12AF6823
    TROJ_SPNR.06A012
    TROJ_SPNR.06A012
    BScope.Trojan.Ramnit.5112
    Trojan.Win32.Generic!BT
    Trojan.Lebag!yEp9NXlqXHc
    Source:
    http://www.virustotal.com/file-scan/report.html?id=f52bfac9637aea189ec918d05113c36f5bcf580f3c0de8a934fe3438107d3f0c-1326310185

    返信削除