----■下記のサイト
mayaweb.jp / 221.251.54.213■下記のURL
hxxp://s3.mayaweb.jp/videoplayer/shock/Play_Video_Click_Run.exe■下記のマルウェアを発見しました↓
アファイル :「Play_Video_Click_Run.exe」 マルウェア種類: トロイ・バックドア・スパイウェア マルウェア名 : Win32/Trojan/Backdoor/Spyware/ Vundo/Jorik マルウェア機能: バックドア(Port: 34354)、スパイウェア(情報送信動き発見) 説明 : 感染されたPCにsvchost.exe経由でPort: 34354のバックドアを開いたそう 情報を中国サーバのIPアドレスに送信される■ダウンロード証拠↓
--17:40:13-- hxxp://s3.mayaweb.jp/videoplayer/shock/Play_Video_Click_Run.exe => `Play_Video_Click_Run.exe' Resolving s3.mayaweb.jp... 221.251.54.213 Connecting to s3.mayaweb.jp|221.251.54.213|:80... connected. HTTP request sent, awaiting response... 200 OK Length: 221,696 (217K) [application/x-msdownload] 100%[====================================>] 221,696 1.25M/s 17:40:13 (1.25 MB/s) - `Play_Video_Click_Run.exe' saved [221696/221696]■ウイルススキャン結果↓
File name: Play_Video_Click_Run.exe MD5: 065efd579429de85c9a0c55df7e8cabe File size: 216.5 KB ( 221696 bytes ) File type: Win32 EXE DetectionRatio: 27 / 43 Analysis date: 2012-02-16 08:41:53 UTC Result: [CLICK]■マルウェア行動説明↓
・本マルウェアが実行されましたら、メモリーの中にずっと起動されおります。 ・下記のダイレクトリーにマルウェアファイルがコピーされています↓ %Windir%\$NtUninstallKB2064$ %Windir%\assembly\GAC ・そしてパソコンWindowsのマルウェアが設定した「svchost.exe」が実行されます。 ・ポート番号34354のバックドアが出てきました。 ・このままで本件のマルウェアファイルとsvchost.exeのプロセスが立ちっ放しです。 ・下記のネットワーク動きが行動分析調査の上で発見↓HTTPやり取り↓
GET REQUEST HTTP/1.1 IP: 178.32.190.142 http://mcaybaoe.cn/stat2.php?w=30005&i=00000000000000000000000062fd2e74&a=7 http://mcaybaoe.cn/stat2.php?w=30005&i=00000000000000000000000062fd2e74&a=8 http://mcaybaoe.cn/stat2.php?w=30005&i=00000000000000000000000062fd2e74&a=23 http://mcaybaoe.cn/stat2.php?w=30005&i=00000000000000000000000062fd2e74&a=25 http://mcaybaoe.cn/stat2.php?w=30005&i=00000000000000000000000062fd2e74&a=24 http://mcaybaoe.cn/stat2.php?w=30005&i=00000000000000000000000062fd2e74&a=26 http://mcaybaoe.cn/stat2.php?w=30005&i=00000000000000000000000062fd2e74&a=27 http://mcaybaoe.cn/stat2.php?w=30005&i=00000000000000000000000062fd2e74&a=11バックドアの接続情報↓
IP: 24.3.100.196 PORT: 34354 IP: 67.187.11.201 PORT: 34354 IP: 89.215.217.157 PORT: 34354 IP: 178.32.190.142 PORT: 34354ポート34354の送信パケットをキャップチャーしたら下記の情報となります↓
00000000 | E5AA C031 7429 C9F6 315B 7408 4D9B 39C1 | ...1t)..1[t.M.9. 00000010 | 2A58 FCF1 | *X..↑恐らく感染の監視報告送信情報かと思われます。■感染されたドメイン/IP登録情報(手続き連絡先の為)↓
インターネットルーティング図↓ 登録情報↓ IP: 221.251.54.213 inetnum: 221.240.0.0 - 221.255.255.255 netname: usen descr: UCOM Corp. descr: FTTH Broad Band Service Provider descr: 4-2-8, Shibaura, Minato-ku, Tokyo 108-0023,Japan country: JP admin-c: JNIC1-AP tech-c: JNIC1-AP remarks: abuse@ucom.ne.jp inetnum: 221.251.54.208 - 221.251.54.215 netname: N-TK0039-806 descr: Nazca Co.Inc. country: JP admin-c: JP00022296 tech-c: JP00022296
ゼロデイ・ジャパン
http://0day.jp
マルウェア研究所
アドリアン・ヘンドリック
Sponsored by: 株式会社ケイエルジェイテック
Tweet
マルウェアのファイルが削除してくれました。
返信削除本件の対応は終了です。
ご協力頂き誠に有難う御座いました。
証拠↓
--14:06:19-- hxxp://s3.mayaweb.jp/videoplayer/shock/Play_Video_Click_Run.exe
=> `Play_Video_Click_Run.exe'
Resolving s3.mayaweb.jp... 221.251.54.213
Connecting to s3.mayaweb.jp|221.251.54.213|:80... connected.
HTTP request sent, awaiting response... 404 Not Found
14:06:19 ERROR 404: Not Found.