■下記のドメイン/IPアドレス↓
loda.jp / 14.132.14.164■下記のダウンロードURL↓
hxxp://loda.jp/twup/?id=65.7z 現状ダウンロードが出来ています↓ Wed Feb 8 20:00:37 JST 2012 --20:01:08-- hxxp://loda.jp/twup/?id=65.7z => `index.html@id=65.7z' <-------「TWCI.7z」 Resolving loda.jp... 14.132.14.164 Connecting to loda.jp|14.132.14.164|:80... connected. HTTP request sent, awaiting response... 200 OK Length: 235,126 (230K) [application/octet-stream] 100%[====================================>] 235,126 382.46K/s■下記のマルウェアを発見しました↓
アファイル :「TWCI.scr」 マルウェア種類: トロイ・ドロッパー マルウェア名 : Win32/Trojan/Agent/Dropper/Downloader マルウェア機能: ドロッパー(Spyware)機能、ダウンローダー機能 説明 : 1. 感染されたパソコンの情報を外に送る可能性ふぁある(Spyware)、 2. 他のマルウェアをダウンロードする(ダウンローダー) 3. 他のマルウェアをPCに保存する(ドロッパー)■ファイルの形とオンラインスキャン結果↓
マルウェアのダウンロードファイルは7ZIPアーカイブファイルで、中身は ニセスクリーンサーバーファイルがあります↓ ファイルのプロパーティ情報↓ ファイルの情報とスキャン結果↓ File name : TWCI.7z MD5: 3cafb31c748cdb6d605533996e21f2b7 File size: 229.6 KB ( 235126 bytes ) File type: 7 Zip Archive File Detection ratio: 31 / 43 【スキャン結果】 ←クリックして下さい Analysis date: 2012-02-08 11:14:16 UTC File name : TWCI.scr MD5: cd565746cac0aa7fa151eac39013ea0e File size: 283.5 KB ( 290279 bytes ) File type: Win32 EXE Detection ratio: 37 / 43 【スキャン結果】 ←クリックして下さい Analysis date: 2012-02-08 11:11:22 UTC ※本件のマルウェアが発見した時のスキャン結果スナップショット↓ ------------------------------------------------------------------------ Antivirus Result Update ------------------------------------------------------------------------ AhnLab-V3 Win-Trojan/Onlinegamehack.290279 20120207 AntiVir TR/Dropper.Gen 20120208 Antiy-AVL Trojan/Win32.OnLineGames.gen 20120207 Avast Win32:Trojan-gen 20120207 AVG PSW.OnlineGames3.BJVA.dropper 20120208 BitDefender Dropped:Trojan.Generic.6076049 20120208 ByteHero - 20120207 CAT-QuickHeal - 20120208 ClamAV - 20120208 Commtouch W32/Heuristic-257!Eldorado 20120208 Comodo TrojWare.Win32.TrojanDownloader.Small.DBV0 20120208 DrWeb Trojan.MulDrop2.23915 20120208 Emsisoft Trojan-Downloader.Win32.Swfdown!IK 20120208 eSafe Win32.Delf.te 20120207 eTrust-Vet Win32/MaranPWS!SFX 20120207 F-Prot W32/Heuristic-257!Eldorado 20120201 F-Secure Dropped:Trojan.Generic.6076049 20120208 Fortinet W32/OnLineGames.JJ!tr.pws 20120208 GData Dropped:Trojan.Generic.6076049 20120208 Ikarus Trojan-Downloader.Win32.Swfdown 20120208 Jiangmin Trojan/PSW.OnLineGames.cezu 20120207 K7AntiVirus Riskware 20120207 Kaspersky HEUR:Trojan.Win32.Generic 20120208 McAfee Artemis!CD565746CAC0 20120207 McAfee-GW-Edition Artemis!CD565746CAC0 20120208 Microsoft PWS:Win32/OnLineGames.FR 20120208 NOD32 Win32/PSW.OnLineGames.PER 20120208 Norman W32/Obfuscated.H!genr 20120207 nProtect Trojan/W32.Agent.290279 20120208 Panda Suspicious file 20120207 PCTools Trojan.ADH 20120207 Prevx - 20120208 Rising Trojan.Win32.Agent.zri 20120208 Sophos Mal/BHO-AT 20120208 SUPERAntiSpyware Trojan.Agent/Gen-OnlineGames[Wilao] 20120206 Symantec Trojan.Gen 20120208 TheHacker - 20120208 TrendMicro TSPY_ONLINEG.DAY 20120208 TrendMicro-HouseCall TSPY_ONLINEG.DAY 20120208 VBA32 Trojan.Swisyn.bhab 20120207 VIPRE Trojan.Win32.Generic.pak!cobra 20120208 ViRobot - 20120208 VirusBuster Trojan.PWS.OnLineGames!G1JDDTpmOqA 20120207■マルウェア発見履歴↓
2011年6月 http://unixfreaxjp.blogspot.com/2011/06/loadjp34.html 2011年6月 http://unixfreaxjp.blogspot.com/2011/06/fonojp.html■感染警告情報↓
今現在本件のマルウェアダウンロードURLが日本の掲示板やオンライン・フォーラムに 書かれてしまう状況ですので、感染される可能性が高いです。 下記のスナップショットはマルウェアURLのGoogleの検索結果です、 現状1,000点以上本件のマルウェアダウンロードURLが発見されました!■マルウェアの説明↓
マルウェアのファイル(TWCI.scr)の状況は昨年発見した物そのままですので、 昨年の調査結果の参考で書きました↓ マルウェアのファイル名前:TWCI.scr 1. CRC情報があやしいですので、SFXのせいだと思われます。 2. 実は実行ファイル(RAR-SFX)ですが、ニセスクリーンサーバーのアイコン形に設定された・・・ 3. レジストリーにブラウザの設定を変更↓ Key: [ HKU\S-1-5-21-842925246-1425521274-308236825-500\Software\Microsoft\ Windows\CurrentVersion\Internet Settings\ZoneMap\ ], Value Name: [ IntranetName ], New Value: [ 1 ] Key: [ HKU\S-1-5-21-842925246-1425521274-308236825-500\Software\Microsoft\ Windows\CurrentVersion\Internet Settings\ZoneMap\ ], Value Name: [ ProxyBypass ], New Value: [ 1 ] Key: [ HKU\S-1-5-21-842925246-1425521274-308236825-500\Software\Microsoft\ Windows\CurrentVersion\Internet Settings\ZoneMap\ ], Value Name: [ UNCAsIntranet ], New Value: [ 1 ] 4. 下記のファイルをPCに保存されます↓ C:\WINDOWS\__tmp_rar_sfx_access_check_415062 C:\WINDOWS\cg35_097.jpg C:\WINDOWS\mxd.exe <=====payload.. 5. レジストリーに実行ファイルの設定を追加↓ Key: [ HKU\S-1-5-21-842925246-1425521274-308236825-500\Software\Microsoft\ Windows\ShellNoRoam\MUICache\ ], Value Name: [ C:\WINDOWS\mxd.exe ], New Value: [ mxd ] ←ポイント! 6. 上記のレジストリー設定で「C:\WINDOWS\mxd.exe 」が実行されますが、 mxd.exeがずっとメモリーにアップされています。 そしてmxd.exeは下記のマルウェアファイルをPCに保存ちしゃいます↓ C:\WINDOWS\system32\jHYrbty2.dll C:\system1.exe c:\aa.bat 7. メモリーの中に下記のマルウェアプロセスが発見されます↓ C:\WINDOWS\mxd.exe C:\system1.exe C:\WINDOWS\system32\cmd.exe "cmd /c C:\aar.bat" 8. 行動調査分析の上でネットワーク動きがありませんが、 バイナリー調査でブラウザーをコールするコードが発見しました↓ ↑恐らくある条件でネットワーク動きが出るかと思われます。■「LODA.JP」のネットワーク情報(連絡先に付いて)
↑ ASN: AS18126 Name: CTCX Chubu Telecommunications Company, Inc. Sakae 2-5, Naka-ku, Nagoya-shi, 460-0008 JAPAN inetnum: 14.132.0.0 - 14.132.31.255 netname: COMMUFA descr: Chubu Telecommunications Co.,Inc. country: JP admin-c: JP00012001 tech-c: JP00012001 remarks: This information has been partially mirrored by APNIC from remarks: JPNIC. To obtain more specific information, please use the remarks: JPNIC WHOIS Gateway at remarks: http://www.nic.ad.jp/en/db/whois/en-gateway.html or remarks: whois.nic.ad.jp for WHOIS client. (The WHOIS client remarks: defaults to Japanese output, use the /e switch for English remarks: output) changed: apnic-ftp@nic.ad.jp 20110308 source: JPNIC Group Contact Information: [担当グループ情報] [グループハンドル] JP00012001 [グループ名] コミュファ計画グループ [Group Name] Commufa Plannning Group [電子メール] jpnic.info@commufa.jp [組織名] 中部テレコミュニケーション株式会社 [Organization] Chubu Telecommunications Company, Inc. [部署] [Division] [電話番号] 052-740-9200 [FAX番号] [最終更新] 2006/05/10 09:44:04(JST) jpnic.info@commufa.jp [Domain Name] LODA.JP [Registrant] loda.jp [Name Server] ns1.value-domain.com [Name Server] ns2.value-domain.com [Name Server] ns3.value-domain.com [Abuse Contact] hostmaster@loda.jp [Name] VALUE-DOMAIN.COM [Email] info@value-domain.com [Web Page] https://www.value-domain.com/ [Postal code] 541-0059 [Phone] 06-6241-6585 [Fax] 06-6241-6586■結論↓
・本マルウェアのダウンロードURLが色んな掲示板とブログでキャンペーンをやっているみたいですので、 本マルウェアのダウンロードURLを見たらクリックしないで下さい。 ・関係者には早めにLODA.JPにあるマルウェアを削除して下さい!ご協力をお願いします!
----
ゼロデイ・ジャパン http://0day.jp
マルウェア研究者: アドリアン・ヘンドリック / Hendrik ADRIAN
Sponsored by: 株式会社ケイエルジェイテック
Tweet
0 件のコメント:
コメントを投稿