■下記のドメイン/IPアドレス↓
loda.jp / 14.132.14.164
■下記のダウンロードURL↓
hxxp://loda.jp/twup/?id=65.7z
現状ダウンロードが出来ています↓
Wed Feb 8 20:00:37 JST 2012
--20:01:08-- hxxp://loda.jp/twup/?id=65.7z
=> `index.html@id=65.7z'
<-------「TWCI.7z」
Resolving loda.jp... 14.132.14.164
Connecting to loda.jp|14.132.14.164|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 235,126 (230K) [application/octet-stream]
100%[====================================>] 235,126 382.46K/s
平成24年2月9日12:26の追加情報ですが、
同じサーバ(loca.jp)に下記のマルウェアダウンロードURLが発見されました↓
hxxp://loda.jp/twup/?id=67.scr
【同じマルウェア】
hxxp://loda.jp/twup/?id=68.tbz
【同じマルウェア】
hxxp://loda.jp/twup/?id=131.zip
【調査最中】 ■下記のマルウェアを発見しました↓
アファイル :「TWCI.scr」
マルウェア種類: トロイ・ドロッパー
マルウェア名 : Win32/Trojan/Agent/Dropper/Downloader
マルウェア機能: ドロッパー(Spyware)機能、ダウンローダー機能
説明 : 1. 感染されたパソコンの情報を外に送る可能性ふぁある(Spyware)、
2. 他のマルウェアをダウンロードする(ダウンローダー)
3. 他のマルウェアをPCに保存する(ドロッパー)
■ファイルの形とオンラインスキャン結果↓
マルウェアのダウンロードファイルは7ZIPアーカイブファイルで、中身は
ニセスクリーンサーバーファイルがあります↓
ファイルのプロパーティ情報↓
ファイルの情報とスキャン結果↓
File name : TWCI.7z
MD5: 3cafb31c748cdb6d605533996e21f2b7
File size: 229.6 KB ( 235126 bytes )
File type: 7 Zip Archive File
Detection ratio: 31 / 43
【スキャン結果】 ←クリックして下さい
Analysis date: 2012-02-08 11:14:16 UTC
File name : TWCI.scr
MD5: cd565746cac0aa7fa151eac39013ea0e
File size: 283.5 KB ( 290279 bytes )
File type: Win32 EXE
Detection ratio: 37 / 43
【スキャン結果】 ←クリックして下さい
Analysis date: 2012-02-08 11:11:22 UTC
※本件のマルウェアが発見した時のスキャン結果スナップショット↓
------------------------------------------------------------------------
Antivirus Result Update
------------------------------------------------------------------------
AhnLab-V3 Win-Trojan/Onlinegamehack.290279 20120207
AntiVir TR/Dropper.Gen 20120208
Antiy-AVL Trojan/Win32.OnLineGames.gen 20120207
Avast Win32:Trojan-gen 20120207
AVG PSW.OnlineGames3.BJVA.dropper 20120208
BitDefender Dropped:Trojan.Generic.6076049 20120208
ByteHero - 20120207
CAT-QuickHeal - 20120208
ClamAV - 20120208
Commtouch W32/Heuristic-257!Eldorado 20120208
Comodo TrojWare.Win32.TrojanDownloader.Small.DBV0 20120208
DrWeb Trojan.MulDrop2.23915 20120208
Emsisoft Trojan-Downloader.Win32.Swfdown!IK 20120208
eSafe Win32.Delf.te 20120207
eTrust-Vet Win32/MaranPWS!SFX 20120207
F-Prot W32/Heuristic-257!Eldorado 20120201
F-Secure Dropped:Trojan.Generic.6076049 20120208
Fortinet W32/OnLineGames.JJ!tr.pws 20120208
GData Dropped:Trojan.Generic.6076049 20120208
Ikarus Trojan-Downloader.Win32.Swfdown 20120208
Jiangmin Trojan/PSW.OnLineGames.cezu 20120207
K7AntiVirus Riskware 20120207
Kaspersky HEUR:Trojan.Win32.Generic 20120208
McAfee Artemis!CD565746CAC0 20120207
McAfee-GW-Edition Artemis!CD565746CAC0 20120208
Microsoft PWS:Win32/OnLineGames.FR 20120208
NOD32 Win32/PSW.OnLineGames.PER 20120208
Norman W32/Obfuscated.H!genr 20120207
nProtect Trojan/W32.Agent.290279 20120208
Panda Suspicious file 20120207
PCTools Trojan.ADH 20120207
Prevx - 20120208
Rising Trojan.Win32.Agent.zri 20120208
Sophos Mal/BHO-AT 20120208
SUPERAntiSpyware Trojan.Agent/Gen-OnlineGames[Wilao] 20120206
Symantec Trojan.Gen 20120208
TheHacker - 20120208
TrendMicro TSPY_ONLINEG.DAY 20120208
TrendMicro-HouseCall TSPY_ONLINEG.DAY 20120208
VBA32 Trojan.Swisyn.bhab 20120207
VIPRE Trojan.Win32.Generic.pak!cobra 20120208
ViRobot - 20120208
VirusBuster Trojan.PWS.OnLineGames!G1JDDTpmOqA 20120207
■マルウェア発見履歴↓
■感染警告情報↓
今現在本件のマルウェアダウンロードURLが日本の掲示板やオンライン・フォーラムに
書かれてしまう状況ですので、感染される可能性が高いです。
下記のスナップショットはマルウェアURLのGoogleの検索結果です、
現状1,000点以上本件のマルウェアダウンロードURLが発見されました!
■マルウェアの説明↓
マルウェアのファイル(TWCI.scr)の状況は昨年発見した物そのままですので、
昨年の調査結果の参考で書きました↓
マルウェアのファイル名前:TWCI.scr
1. CRC情報があやしいですので、SFXのせいだと思われます。
2. 実は実行ファイル(RAR-SFX)ですが、ニセスクリーンサーバーのアイコン形に設定された・・・
3. レジストリーにブラウザの設定を変更↓
Key: [ HKU\S-1-5-21-842925246-1425521274-308236825-500\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\ZoneMap\ ],
Value Name: [ IntranetName ], New Value: [ 1 ]
Key: [ HKU\S-1-5-21-842925246-1425521274-308236825-500\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\ZoneMap\ ],
Value Name: [ ProxyBypass ], New Value: [ 1 ]
Key: [ HKU\S-1-5-21-842925246-1425521274-308236825-500\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\ZoneMap\ ],
Value Name: [ UNCAsIntranet ], New Value: [ 1 ]
4. 下記のファイルをPCに保存されます↓
C:\WINDOWS\__tmp_rar_sfx_access_check_415062
C:\WINDOWS\cg35_097.jpg
C:\WINDOWS\mxd.exe <=====payload..
5. レジストリーに実行ファイルの設定を追加↓
Key: [ HKU\S-1-5-21-842925246-1425521274-308236825-500\Software\Microsoft\
Windows\ShellNoRoam\MUICache\ ],
Value Name: [ C:\WINDOWS\mxd.exe ], New Value: [ mxd ] ←ポイント!
6. 上記のレジストリー設定で「C:\WINDOWS\mxd.exe 」が実行されますが、
mxd.exeがずっとメモリーにアップされています。
そしてmxd.exeは下記のマルウェアファイルをPCに保存ちしゃいます↓
C:\WINDOWS\system32\jHYrbty2.dll
C:\system1.exe
c:\aa.bat
7. メモリーの中に下記のマルウェアプロセスが発見されます↓
C:\WINDOWS\mxd.exe
C:\system1.exe
C:\WINDOWS\system32\cmd.exe "cmd /c C:\aar.bat"
8. 行動調査分析の上でネットワーク動きがありませんが、
バイナリー調査でブラウザーをコールするコードが発見しました↓
↑恐らくある条件でネットワーク動きが出るかと思われます。
■「LODA.JP」のネットワーク情報(連絡先に付いて)
↑
ASN: AS18126
Name:
CTCX Chubu Telecommunications Company, Inc.
Sakae 2-5, Naka-ku, Nagoya-shi, 460-0008 JAPAN
inetnum: 14.132.0.0 - 14.132.31.255
netname: COMMUFA
descr: Chubu Telecommunications Co.,Inc.
country: JP
admin-c: JP00012001
tech-c: JP00012001
remarks: This information has been partially mirrored by APNIC from
remarks: JPNIC. To obtain more specific information, please use the
remarks: JPNIC WHOIS Gateway at
remarks: http://www.nic.ad.jp/en/db/whois/en-gateway.html or
remarks: whois.nic.ad.jp for WHOIS client. (The WHOIS client
remarks: defaults to Japanese output, use the /e switch for English
remarks: output)
changed: apnic-ftp@nic.ad.jp 20110308
source: JPNIC
Group Contact Information: [担当グループ情報]
[グループハンドル] JP00012001
[グループ名] コミュファ計画グループ
[Group Name] Commufa Plannning Group
[電子メール] jpnic.info@commufa.jp
[組織名] 中部テレコミュニケーション株式会社
[Organization] Chubu Telecommunications Company, Inc.
[部署]
[Division]
[電話番号] 052-740-9200
[FAX番号]
[最終更新] 2006/05/10 09:44:04(JST)
jpnic.info@commufa.jp
[Domain Name] LODA.JP
[Registrant] loda.jp
[Name Server] ns1.value-domain.com
[Name Server] ns2.value-domain.com
[Name Server] ns3.value-domain.com
[Abuse Contact] hostmaster@loda.jp
[Name] VALUE-DOMAIN.COM
[Email] info@value-domain.com
[Web Page] https://www.value-domain.com/
[Postal code] 541-0059
[Phone] 06-6241-6585
[Fax] 06-6241-6586
■結論↓
・本マルウェアのダウンロードURLが色んな掲示板とブログでキャンペーンをやっているみたいですので、
本マルウェアのダウンロードURLを見たらクリックしないで下さい。
・関係者には早めにLODA.JPにあるマルウェアを削除して下さい!ご協力をお願いします!
----
ゼロデイ・ジャパン
http://0day.jp
マルウェア研究者: アドリアン・ヘンドリック / Hendrik ADRIAN
Sponsored by:
株式会社ケイエルジェイテック
0 件のコメント:
コメントを投稿