この二日間ゼロデイジャパン研究所が忙しい状況になりました。
原因はタイトルに書いたように、インターネットでJava/CVE-2012-0507のマルウェア感染が急に沢山流行ってしまいました。
全てのサンプルが暗号化されているので、中々インターネットには参考情報が少ないから色んな海外所から調査願いをされていました。
アンチウイルスで暗号化されているマルウェア検知率が超低いのでがっかりしています。
一番検知率の弱い物だけ調査しましたので、下記のVIRUSTOTALでレポート(英語です)見れます↓
1. OCJP-y.jar 今日 (0/42) [LINK] 08331a5c7564fd61a84edea7fbcf56fc
2. Pol.jar (昨日の検知率は 0/42、今日 10/42) [LINK] 82059548745ae4bccc92e5d350480021
2. Pol.jar (昨日の検知率は 0/42、今日 10/42) [LINK] 82059548745ae4bccc92e5d350480021
上記のサンプルと他の調査をしたところ、必ずCVEのPoC EXPLOITコードを使い(暗号化されたSHELLCODE)、そして1)マルウェアHTMファイルを保存するか、2)外にあるファイルをダウンロードされるか、3)DLLファイルを保存されるか、4)外のスパイ機能が出来上がる(HTTP経由のTRACKING方法URL)との仕組みです(トロイのDropper or Downloader仕組みですね)。
感染されたURLからの順番を見たら、感染迄には結構複雑なので
感染URL→JUMPER→(JUMPER2)→PAYLOAD(本件のトロイ)→本格的なマルウェアのPAYLOADダウンロード又はDLL/バイナリDrop
似たような感染されたサイトが多くて、これから日本には来る可能性が高いですので、きちんとでモニター致します。
----
ゼロデイ・ジャパン http://0day.jp
マルウェア研究所
Analyst: アドリアン・ヘンドリック / Hendrik ADRIAN
Sponsored by: 株式会社ケイエルジェイテック
Tweet
TO BE NOTICED: All of the findings and exposed material in this site is belong to the site owner and is an original
materials. Any COPY of research material without written permission from unixfreaxjp/site owner is strictly prohibited. Any attempt to camouflage and attempt to owning this research material will be prosecuted by law.
0 件のコメント:
コメントを投稿