土曜日, 8月 25, 2012

#OCJP 057: KDDI/DION.NE.JPネットワークにある「111.86.142.84」にMARTUZ.CN(Gumblarマルウェアサイト)のinfector HTMLページを発見!


下記のURLにMARTUZ.CN(Gumblarマルウェアサイト)の感染ページを発見しました。
hxxp://www.k5.dion.ne.jp/cgi-bin/ezboard/tanno/1/
hxxp://ftp.k5.dion.ne.jp/cgi-bin/ezboard/tanno/1/

感染コードは感染されたHTMLページに下記のように書いてあります↓


取り急ぎウイルストータルで報告を出しました(現時点では未だ英文です)、
報告のアクセスURLはこちらです(REPORT URL LINK @ Virus Total)
↑調査のレポートは下記のように書きました↓


【重要】早めに感染されたページを削除してほしいです。

ウイルストータルスキャン結果↓
MD5:        cb483c4d24c7124f972ec3e36687ce8f
File size:  25.4 KB ( 25999 bytes )
File name:  sample
File type:  HTML
ratio:      23 / 41
Date:       2012-08-25 05:09:42
---------------------------------------------------------
AVName          VirName                         DataBase
---------------------------------------------------------
AhnLab-V3     -                                 20120824
AntiVir       HTML/Infected.WebPage.Gen2        20120824
Antiy-AVL     -                                 20120824
Avast         JS:RedGumb-I [Trj]                20120824
AVG           HTML/Framer.BO                    20120825
BitDefender   Trojan.Script.SA                  20120825
ByteHero      -                                 20120817
CAT-QuickHeal -                                 20120824
ClamAV        -                                 20120825
Commtouch     -                                 20120824
Comodo        JS.TrojanDownloader.Gumblar.~A    20120825
DrWeb         JS.DownLoader.232                 20120825
Emsisoft      Trojan-Downloader.JS.Gumblar!IK   20120825
eSafe         -                                 20120823
ESET-NOD32    JS/Agent.NCW                      20120824
F-Prot        -                                 20120824
F-Secure      Trojan.Script.SA                  20120825
Fortinet      JS/PackRedir.A!tr.dldr            20120825
GData         Trojan.Script.SA                  20120825
Ikarus        Trojan-Downloader.JS.Gumblar      20120825
Jiangmin      -                                 20120825
K7AntiVirus   -                                 20120824
Kaspersky     Trojan-Downloader.JS.Gumblar.a    20120825
McAfee        Obfuscated Script.f.gen           20120825
McAfee-GW-Ed  Heu.BehavesLike.JS.Infected.A     20120825
Microsoft     Trojan:JS/Gamburl.gen!A           20120825
Norman        -                                 20120824
nProtect      Trojan.Script.SA                  20120824
Panda         JS/Gumbler.A                      20120824
PCTools       -                                 20120825
Rising        -                                 20120824
Sophos        Troj/JSRedir-R                    20120825
SUPERAntiSpyware -                              20120825
Symantec      -                                 20120825
TheHacker     -                                 20120824
TotalDefense  JS/Gumblar!generic                20120824
TrendMicro    JS_GUMBLAR.FLO                    20120825
TrendMicro-HouseCall  JS_GUMBLAR.FLO            20120825
VBA32         -                                 20120824
VIPRE         Trojan-Downloader.JS.Gumblar.y    20120825
ViRobot       -                                 20120825
VirusBuster   JS.Crypt.BQK                      20120824

感染されたネットワーク情報↓


inetnum:        111.86.142.0 - 111.86.142.255
netname:        KDDI-NET
descr:          KDDI CORPORATION
Type:           Broadband
Assignment:     Static IP
[グループ名]    KDDI IPNW
[Group Name]    KDDI IPNW
[電子メール]    kddi-ipnw@ip.kddi.com
[組織名]        KDDI株式会社
[Organization]  KDDI CORPORATION
----
ゼロデイ・ジャパン
http://0day.jp
マルウェア研究所
アドリアン・ヘンドリック
Sponsored by: 株式会社ケイエルジェイテック
Posted by unixfreaxjp at 2:56 午後

0 件のコメント:

コメントを投稿

登録: コメントの投稿 (Atom)