日曜日, 2月 12, 2012

【マルウェア報告】 #OCJP-012: 日本のネットワークに(IP: 126.117.65.146/SoftbankBB/BBTECプロバイダー)にWin32-Trojan-Dropper発見!本件のトロイは香港のサーバへ情報が送信される 【対応済み】


■下記のドメイン/IPアドレス↓

lozih.com / 126.117.65.146

■下記のダウンロードURL↓

hxxp://lozih.com/css/ly/yyy.exe hxxp://126.117.65.146/css/ly/yyy.exe ダウンロード証拠↓ --18:42:57-- hxxp://lozih.com/css/ly/yyy.exe => `yyy.exe' Resolving lozih.com... 126.117.65.146 Connecting to lozih.com|126.117.65.146|:80... connected. HTTP request sent, awaiting response... 200 OK Length: 63,108 (62K) [application/octet-stream] 100%[===================================> ] 63,108 --.--K/s 18:42:57 (585.75 KB/s) - `yyy.exe' saved [63108/63108] --21:37:41-- hxxp://126.117.65.146/css/ly/yyy.exe => `yyy.exe' Connecting to 126.117.65.146:80... connected. HTTP request sent, awaiting response... 200 OK Length: 63,108 (62K) [application/octet-stream] 100%[===================================> ] 63,108 260.28K/s 21:37:41 (259.64 KB/s) - `yyy.exe' saved [63108/63108]

■下記のマルウェアを発見しました↓

アファイル  :「yyy.exe」 マルウェア種類: トロイ・ドロッパー&ダウンローダー マルウェア名 : Win32/Trojan/Agent/Dropper/Downloader マルウェア機能: ドロッパー(Dropper)機能、ダウンローダー(Downloader)機能、 スパイウェア(Spyware)機能 説明     : 1. 感染されたパソコンの情報を外に送る可能性がある(Spyware) 2. 他のマルウェアをダウンロードする(ダウンローダー) 3. 他のマルウェアをPCに保存する(ドロッパー)

■ファイルの形とスキャン結果↓

アイコンとプロパティー↓

■オンラインスウイルスキャン情報↓

File name: yyy.exe MD5: 59e3791e05efa1b04403349bedba9f7b File size: 61.6 KB ( 63108 bytes ) File type: Win32 EXE Detection ratio: 23 / 43 Analysis date: 2012-02-12 09:51:08 UTC Scan Result: 【クリックして下さい】 ---------------------------------------------------------------------- Antivirus Result Update ---------------------------------------------------------------------- AhnLab-V3 - 20120211 AntiVir TR/Dropper.Gen 20120210 Antiy-AVL - 20120211 Avast Win32:OnLineGames-GGI [Trj] 20120211 AVG - 20120211 BitDefender Trojan.Generic.KDV.531393 20120212 ByteHero Virus.Win32.Heur.e 20120211 CAT-QuickHeal (Suspicious) - DNAScan 20120211 ClamAV PUA.Packed.ASPack 20120211 Commtouch W32/RLPacked.A.gen!Eldorado 20120211 Comodo UnclassifiedMalware 20120212 DrWeb Trojan.PWS.Gamania.34036 20120212 Emsisoft Trojan.Win32.Vundo.AMN!A2 20120212 eSafe - 20120212 eTrust-Vet - 20120211 F-Prot W32/RLPacked.A.gen!Eldorado 20120211 F-Secure Trojan.Generic.KDV.531393 20120212 Fortinet - 20120212 GData Trojan.Generic.KDV.531393 20120212 Ikarus - 20120212 Jiangmin - 20120211 K7AntiVirus Unwanted-Program 20120211 Kaspersky HEUR:Trojan.Win32.Generic 20120212 McAfee Vundo!nx 20120212 McAfee-GW-Edition Artemis!59E3791E05EF 20120211 Microsoft Trojan:Win32/Vundo.IB 20120212 NOD32 - 20120212 Norman W32/Malware.XLYJ 20120211 nProtect Trojan.Generic.KDV.531393 20120212 Panda - 20120211 PCTools - 20120207 Prevx - 20120212 Rising - 20120210 Sophos - 20120212 SUPERAntiSpyware - 20120206 Symantec Trojan.Gen 20120212 TheHacker - 20120212 TrendMicro - 20120212 TrendMicro-HouseCall - 20120212 VBA32 Malware-Cryptor.General.3 20120210 VIPRE - 20120212 ViRobot - 20120211 VirusBuster Packed/RLPack 20120211

■マルウェアバイナリー調査結果(あやしい)↓

1. Compile Time: 2011-05-01 23:54:53 (昨年で作ったマルウェア、合ってます) 2. Identified packer :ASPack v2.1 ←正式なソフトウェアならこのpakcerを使いません ↑Causing CRC miss: Claimed: 0, Actual: 109,385 ←packerを使うなら、こうなっています。 3. First block Diassembly Error↓ [0x401000L] call 0x401009L [0x401001L] jmp 0x459d14f6L [0x401006L] invalid ←(急にですね…、あやしい…) 4. あやしいDLL↓ kernel32.dll.LoadLibraryA Hint[0] ←あやしい(Antidebug) kernel32.dll.GetProcAddress Hint[0] ←あやしい(Antidebug) kernel32.dll.VirtualAlloc Hint[0] ←あやしい(DEPを弄る) kernel32.dll.VirtualProtect Hint[0] ←あやしい(DEPを弄る) kernel32.dll.VirtualFree Hint[0] kernel32.dll.GetModuleHandleA Hint[0] ←あやしい 5. ファイル情報↓ [StringTable] Length: 0x1F0 ValueLength: 0x0 Type: 0x1 LangID: 040904e4 LegalCopyright: Copyright \xa9 2011 IObit FileVersion: 1.1.0.225 CompanyName: IObit Author: IObit ProductName: Task Scheduler Dynamic Link Library ProductVersion: 1.1 FileDescription: Task Scheduler Dynamic Link Library 6. 言語に付いて Translation: 0x0409 0x04e4 ←英語だけど中国の環境 7. あやしいスナップショット↓

■マルウェア行動分析調査(結果は確実にマルウェアです!)

1. 下記のファイルを感染されたPC保存されます↓ %Temp% del6594e.bat %Temp% del65b71.bat %Temp% del66813.bat %Temp% del66ab3.bat %Temp% del67840.bat %Temp% del67e1c.bat %Temp% del693c6.bat %WindowsDirectory% tasks\SA01.dat ←BinaryDat(DoomPack packer) サイズ:37,888bytes MD5: 60A9FDF677D2D65D033B07EEEF0F001A %WindowsDirectory% version.dat %WindowsDirectory% winurl.dat ←URL data %System%\dllcache\ws2help.dll ← PAYLOAD!!サイズ37,888 bytes MD5: 684C54E18D012CA2A8028352DA92CCDA %System%\wimedump.dll ←サイズ:19,968 bytes MD5: 9BEACB911CA61E5881102188AB7FB431 ↑説明↓ (This is important so I wrote in english↓) The windows original ws2help.dll was copied by the malware to the - %System%\wimedump.dll while the malware payload renaming itself into ws2help.dll. I marked these 2files w/ links for you to be noticed. 2. 下記のプロセスが立ち上がります↓ %System% \cmd.exe "%Temp%del6594e.bat" %System% \cmd.exe "%Temp%del65b71.bat" %System% \cmd.exe "%Temp%del66813.bat" %System% \cmd.exe "%Temp%del66ab3.bat" %System% \cmd.exe "%Temp%del67840.bat" %System% \cmd.exe "%Temp%del67e1c.bat" %System% \cmd.exe "%Temp%del693c6.bat" 3. Windowsシステムファイルを変更されます↓ %System%\ ws2help.dll 4. 下記は発見したメモリー上書き情報です↓ アドレス: 0x71AA0000 - 0x71AA8000 偽プロセス名:VMwareUser.exe 偽パス: %ProgramFiles%\vmware\vmware tools\vmwareuser.exe モジュール: %System%\wimedump.dll 5. ネットワーク動きを発見! 5.1. PROTOCOL: DNS Command: A RECORD LOOKUP IP/DOMAIN: 180.178.58.94/sivij.com 5.2. Protocol: TCP/HTTP Command: GET / HTTP/1.1 GET /board.asp IP: 180.178.58.94 PORT: 80 URL : hxxp://sivij.com/ly/board.asp

■送信先マルウェアサイトの情報↓

sivij.comのマルウェアサイトってどんなマルウェアサイト?↓ Registered through: Go Daddy Domain Name: SIVIJ.COM Administrative Contact: wei, shengzhi weishengzhi230@126.com No.230, songzhouxiao District, song zhou xiang, chifenghongshan, neimenggu 024000 China    ← 中国のサイト (476) 822-8804 IPを見たら香港にあるサーバですね↓ inetnum: 180.178.32.0 - 180.178.63.255 netname: SIMCENT2-HKG descr: Simcentric Solutions, Internet Service Provider country: HK ←香港 admin-c: SSIA1-AP tech-c: SSIA1-AP status: ALLOCATED PORTABLE mnt-by: APNIC-HM mnt-lower: MAINT-SIMCENTRIC mnt-routes: MAINT-SIMCENTRIC changed: hm-changed@apnic.net 20090213 changed: hm-changed@apnic.net 20091208 source: APNIC role: Simcentric Solutions IP Administrator address: 15th Floor, CRE Building, Wan Chai country: HK phone:   +852 29976646 e-mail: ipadmin@simcentric.com admin-c: SSIA1-AP tech-c: SSIA1-AP nic-hdl: SSIA1-AP mnt-by: MAINT-SIMCENTRIC changed: ipadmin@simcentric.com 20090201 source: APNIC インターネットのルーティング図(最近作ったドメインですね)↓

■本マルウェアに感染されたネットワーク(連絡先)

ドメイン↓ Domain Name: LOZIH.COM Registrar: GODADDY.COM, LLC Whois Server: whois.godaddy.com Referral URL: http://registrar.godaddy.com Name Server: NS65.DOMAINCONTROL.COM Name Server: NS66.DOMAINCONTROL.COM Contact: li, delin lidelin454@126.com No.454, dachangqianchuan City, chaohu, anhui 238000 China  (565) 296-4752 日本のネットワーク情報は↓ inetnum: 126.0.0.0 - 126.255.255.255 netname: BBTEC descr: Japan Nation-wide Network of Softbank BB Corp. country: JP admin-c: SA421-AP tech-c: SA421-AP mnt-by: APNIC-HM mnt-lower: MAINT-JP-BBTECH source: APNIC role: SoftbankBB ABUSE address: Tokyo Shiodome bldg., 1-9-1, Higashi-Shimbashi, Minatoku,Tokyo country: JP phone: +81-3-6688-5120 e-mail: stsuruma@bb.softbank.co.jp remarks: Please send spam report,virus alart remarks: or any other abuse report remarks: to abuse@bbtec.net remarks: Any other Information, Notice, remarks: Please send to hostmaster@bbtec.net

----
ゼロデイ・ジャパン
http://0day.jp
マルウェア研究所
アドリアン・ヘンドリック / Hendrik ADRIAN
Sponsored by: 株式会社ケイエルジェイテック

1 件のコメント:

  1. マルウェアのアクセスURLが停止されました↓

    http://126.117.65.146/css/ly/yyy.exe
    --16:26:55-- http://126.117.65.146/css/ly/yyy.exe
    => `yyy.exe'
    Connecting to 126.117.65.146:80... ^C

    本件の対応は終了となります。ご協力頂き有難う御座います。

    返信削除