日曜日, 4月 01, 2012

#OCJP-033:中国からテイルズウィーバー用(オンラインゲーム)トロイのURLが”ばら撒かれた”


ファイルアップローダーサービス便利なサービスだと思います。今回の発見が「わざっと」でファイルアップローダーのサーバにマルウェアをアップロードされて、それでそのダウンロードURLを色んな掲示板で配っているの事件です。証拠を纏めてこのブログ内容に報告をさせて頂きます、詳細な内容は下記となります↓
■感染されたサーバ情報↓
upload.saloon.jp / 219.94.129.14

■マルウェアのダウンロードURL↓

http://upload.saloon.jp/src/up4754.lzh http://upload.saloon.jp/src/up4753.zip

■どんなマルウェアでしょうか?

マルウェア種類: トロイ・ドロッパー・キーロガー マルウェア名 : Win32/Trojan/Agent/Dropper/Downloader マルウェア機能: ドロッパー(Spyware)機能、ダウンローダー機能 説明     : 1. 感染されたパソコンの情報をログされる(Spyware)、 2. 他のマルウェアをPCに保存する(ドロッパー)

■ご注意!

上記の感染されたURLがインターネットでばら撒かれたそうです。 グーグルで検索したら↓ upload.saloon.jp/src/up4754.lzh upload.saloon.jp/src/up4753.zip 内容は下記のスナップショットとなります↓ ※日付けは3月19日ですね。 ↑因みに本件の感染事件は何回も発見されました、 同じマルウェアサンプル、同じ遣り方で、掲示板の書き方を見ると恐らく同じ人です。 前回発見したのリンク↓ http://unixfreaxjp.blogspot.jp/2012/02/ocjp-008-lodajp-1413214164-url.html http://unixfreaxjp.blogspot.jp/2011/06/fonojp.html http://unixfreaxjp.blogspot.jp/2011/06/loadjp34.html http://unixfreaxjp.blogspot.jp/2011/05/urlurlupalive.html 本件のやり方で国内のアップローダサービス「LODA.JP」、「FONO.JP」、「UPRODA」が このアタッカーにやられてしまいましたので、今回は「upload.saloon.jp」の番ですね。

■ダウンロードの証拠↓

--15:05:13-- hxxp://upload.saloon.jp/src/up4754.lzh => `up4754.lzh' Resolving upload.saloon.jp... 219.94.129.14 Connecting to upload.saloon.jp|219.94.129.14|:80... connected. HTTP request sent, awaiting response... 200 OK Length: 424,958 (415K) [application/octet-stream] 100%[====================================>] 424,958 819.60K/s 15:05:14 (817.94 KB/s) - `up4754.lzh' saved [424958/424958] --15:05:25-- http://upload.saloon.jp/src/up4753.zip => `up4753.zip' Resolving upload.saloon.jp... 219.94.129.14 Connecting to upload.saloon.jp|219.94.129.14|:80... connected. HTTP request sent, awaiting response... 200 OK Length: 344,146 (336K) [application/zip] 100%[====================================>] 344,146 1.46M/s 15:05:25 (1.46 MB/s) - `up4753.zip' saved [344146/344146] ※上記は本当のアーカイブファイルですので、 中身はマルウェアファイル「viploda.jpg.scr」が入ってます。

■ファイルの情報↓

-rwx------ 1 344,146 Mar 18 16:52 up4753.zip -rwx------ 1 424,958 Mar 18 21:57 up4754.lzh -rwx------ 1 474,646 Apr 13 2011 viploda.jpg.scr

■ウイルススキャン情報↓

File name: viploda.jpg.scr File size: 463.5 KB ( 474,646 bytes ) File type: PE/Win32 EXE Tags: upack Detection ratio: 36 / 42 Analysis date: 2012-04-01 06:07:13 UTC Scan RESULT: [CLICK]

■マルウェア調査結果↓

ファイルSTRUCTURE: MIMEType.................: application/octet-stream Subsystem................: Windows GUI MachineType..............: Intel 386 or later, and compatibles TimeStamp................: 2007:09:20 14:34:46+02:00 FileType.................: Win32 EXE PEType...................: PE32 CodeSize.................: 81920 LinkerVersion............: 5.0 EntryPoint...............: 0x1000 InitializedDataSize......: 19456 SubsystemVersion.........: 4.0 ImageVersion.............: 0.0 OSVersion................: 4.0 UninitializedDataSize....: 0 Compilation timetamp.....: 2007-09-20 12:34:46 Target machine...........: 0x14C (Intel 386 or later processors and compatible processors) Entry point address......: 0x00001000 PE Sections..............: Name Address Size Raw Entropy MD5 .text 4096 81920 79872 6.47 8c499086717691066d921075ed5bdb09 .data 86016 28672 2560 4.91 0cb811e47f78b5404a658fb36b591857 .idata 114688 4096 4096 5.12 8bf175092a70a21f11fd06cc4087c7d0 .rsrc 118784 12507 12800 5.51 984d7583beada574d16b4a912bd1c808 ※バイナリーで書いた言語コードを見たら間違いなく中国WindowsOSで作った物です! バイナリーファイルの中にそのままでマルウェア悪戯コマンドを見れます↓

マルウェアの動きは↓
viploda.jpg.scrのコンパイルした時に「uproda1048.exe」との名前をつけたみたいですね。 実行されたら下記の順番でメモリー上でマルウェアプロセスが立ち上がりました↓
viploda.jpg.scr +---> uproda1048.exe | +--mxd.exe 4c5f8c191a7929f17e1ac573fecedf53 163,942 Bytes |    (Upack v0.24~v0.28alpha SN:185) +--mxd.exe 4c5f8c191a7929f17e1ac573fecedf53 163,942 Bytes | +--aa.bat | +--explorer.exe

viploda.jpg.scrを実行したら下記のファイルをWindowsフォルダーへ保存されました

C:\WINDOWS\3074243.jpg C:\WINDOWS\__tmp_rar_sfx_access_check_499468 C:\WINDOWS\mxd.exe

それでregistryのデータを変更されました、沢山あるけど需要な物だけで下記書きました↓

ブラウザのインターネットの​ZoneMap設定を変更↓ HKU\..\Internet Settings\​ZoneMap\​info IntranetName 1 (有効にしました) HKU\..\Internet Settings\​ZoneMap\​info ProxyBypass 1 (有効にしました) HKU\..\Internet Settings\​ZoneMap\​info UNCAsIntranet 1(有効にしました) 保存されたmxd.exeをshellで自動実行登録設定↓ HKU\..\Software\Microsoft\Windows\ShellNoRoam\MUICache\​ C:\​WINDOWS\​mxd.exe mxd アーカイブSFXを実行が出来るように設定変更を発見↓ HKU\..\Software\WinRAR SFX C%%WINDOWS C:\​WINDOWS

起動された時の動きに付いて↓

viploda.jpg.scrが実行の前にwin.iniのデータを取ります。 それでmdx.exeを実行されます。 mxd.exeが実行されたらコマンドラインで(SHELL)" "C:\WINDOWS\mxd.exe"もまた実行されているようです。 目的は必ずmxd.exeが立ち上がるように実行したかと思われます。 それでviploda.jpg.scr又はuproda1048.exeのプロセスは終了です。

MXD.EXEのオペレーションを監視したら下記の動きが分かりました↓

・自動起動機能をregistryに登録されます↓  証拠: HKLM\​Software\​Microsoft\​Windows\​CurrentVersion\​Run info syspler C:\​WINDOWS\​system32\​mxd.exe ・パソコンのキーボードの履歴をログされる事(キーローガー)  証拠: VK_SHIFT (16) ・マルウェアファイルを保存されます↓ C:\WINDOWS\system32\jHYrbty2.dll C:\WINDOWS\system32\system.exe C:\aa.bat ・下記のプロセスを実行されます↓ C:\WINDOWS\explorer.exe "C:\WINDOWS\explorer.exe" C:\WINDOWS\system32\cmd.exe <--- "cmd /c c:\aa.bat" プロセスのスナップショット↓

MXD.EXEでのウイルススキャン結果↓

File name: mxd.exe File size: 160.1 KB ( 163,942 bytes ) File type: Win32 EXE MD5: 4c5f8c191a7929f17e1ac573fecedf53 Tags: upack Detection ratio: 38 / 42 Scan Result: [CLICK] 中国のマルウェアにも確認しましたので、本マルウェアは中国でゲームの世界にも結構流行ったそうです 下記は中国でのスキャン結果となります↓(沢山発見したですね) http://r.virscan.org/d2f1e885dcb3a8a8f2aea6836d1a3373 http://r.virscan.org/e617830d85012ae7270bbfde16575d94 http://r.virscan.org/d2f1e885dcb3a8a8f2aea6836d1a3373

■念のためにネットワークルーティングと連絡先情報

[Domain Name] SALOON.JP [Registrant] SAKURA Internet Inc [Name Server] ns1.dns.ne.jp [Name Server] ns2.dns.ne.jp [Signing Key] [Created on] 2005/09/27 [Expires on] 2012/09/30 [Status] Active [Last Updated] 2011/10/01 01:05:01 (JST) Contact Information: [Name] SAKURA INTERNET Inc [Email] jprs-staff@sakura.ad.jp [Web Page] [Postal code] 541-0054 [Postal Address] Sakaisujihonmachi Bldg.9F 1-8-14 Minami-honmachi, Chuo-ku, Osaka-shi, Osaka 541-0054 Japan [Phone] 06-6265-4830 [Fax] 06-6265-4834
----
ゼロデイ・ジャパン http://0day.jp
マルウェア研究所
Analyst: アドリアン・ヘンドリック / Hendrik ADRIAN
Sponsored by: 株式会社ケイエルジェイテック


TO BE NOTICED: All of the findings and exposed material in this site is belong to the site owner and is an original
materials. Any COPY of research material without written permission from unixfreaxjp/site owner is strictly prohibited. Any attempt to camouflage and attempt to owning this research material will be prosecuted by law.

1 件のコメント:

  1. マルウェアファイルが削除してくれまして、有難う御座いました。本件の対応は終了です。下記は証拠です。

    --14:00:17-- http://upload.saloon.jp/src/up4754.lzh
    => `up4754.lzh'
    Resolving upload.saloon.jp... 219.94.129.14
    Connecting to upload.saloon.jp|219.94.129.14|:80... connected.
    HTTP request sent, awaiting response... 404 Not Found
    14:00:17 ERROR 404: Not Found.

    ご協力頂き有難う御座いました。 m(_ _)m

    返信削除