今回は#OCJP-043と似ている事件です。IFRAME経由ででアクセスユーザがFakeAVダウンロードページへ飛ばされます。
---■下記のドメイン/IP↓
battery-ya.info / 112.78.112.201■下記のURL↓
hxxp://battery-ya.info/toiawase■ダウンロード証拠↓
--23:11:03-- hxxp://battery-ya.info/toiawase => `toiawase' Resolving battery-ya.info... 112.78.112.201 Connecting to battery-ya.info|112.78.112.201|:80... connected. HTTP request sent, awaiting response... 301 Moved Permanently Location: http://battery-ya.info/toiawase/ [following] --23:11:03-- http://battery-ya.info/toiawase/ => `index.html' Connecting to battery-ya.info|112.78.112.201|:80... connected. HTTP request sent, awaiting response... 200 OK Length: 25,631 (25K) [text/html] 100%[====================================>] 25,631 --.--K/s 23:11:03 (280.41 KB/s) - `index.html' saved [25631/25631]■マルウェア説明↓
ダウンロードしたファイルにマルウェアSCRIPTが書いてあります↓ 分析したらマルウェアのIFRAMEのREDIRECTコードが出て来ました↓ そのURLは前回OCJP-043にも調査しましたようにFakeAVとのマルウェアダウンロードサイトです。 ※本件のURLをネットで検索したら結果が沢山出てきます。■オンラインスキャン↓
ダウンロードしたindex.htmlをスキャンしたら↓ File name: index.html File size: 25.0 KB ( 25631 bytes ) MD5: c30403c9228af9e38a53efe0e1231944 File type: HTML Detection ratio: 19 / 42 Analysis date: 2012-05-10 14:26:46 UTC Result: [CLICK]■感染された環境と情報↓
ドメイン情報:Domain Name:BATTERY-YA.INFO Created On:30-Dec-2011 01:21:14 UTC Last Updated On:28-Feb-2012 20:41:59 UTC Expiration Date:30-Dec-2012 01:21:14 UTC Sponsoring Registrar:GMO Internet, Inc. d/b/a Onamae.com (R110-LRMS) Status:OK Registrant ID:1348C8E682D Registrant Name:keita nakayama Registrant Organization:keita nakayama Registrant City:Ogaki-shi Registrant State/Province:Gifu Registrant Postal Code:503-0937 Registrant Country:JP Registrant Phone:+81.09074196396 Registrant Email:tiko1374@yahoo.co.jpドメインのインターネットルーティング・グラフ↓ IP情報↓
inetnum: 112.78.112.0 - 112.78.127.255 netname: SAKURA-OSAKA descr: SAKURA Internet Inc. descr: 1-8-14, Minami Honmachi, Chuo-ku, Osaka 541-0054, Japan country: JP admin-c: JNIC1-AP tech-c: JNIC1-AP status: ALLOCATED PORTABLE remarks: Email address for spam or abuse complaints abuse@sakura.ad.jp changed: hm-changed@apnic.net 20090108 mnt-by: MAINT-JPNIC mnt-lower: MAINT-JPNIC source: APNIC PS:同じIPで80個ドメインが提供しています、感染が増える可能性があります。
ゼロデイ・ジャパン http://0day.jp
マルウェア研究所
Analyst: アドリアン・ヘンドリック / Hendrik ADRIAN
Sponsored by: 株式会社ケイエルジェイテック
Tweet
TO BE NOTICED: All of the findings and exposed material in this site is belong to the site owner and is an original
materials. Any COPY of research material without written permission from unixfreaxjp/site owner is strictly prohibited. Any attempt to camouflage and attempt to owning this research material will be prosecuted by law.
0 件のコメント:
コメントを投稿