土曜日, 8月 25, 2012

#OCJP 058: Pseudoランダムマルウェア感染JSコード、日本(KDDIネットワーク)にも発見!「a-kenko.jp/1()24.211.27.154」


Pseudoランダム(Pseudo Random)マルウェアのJS感染コードとは、簡単にいうと、ランダム機能を使いのマルウェア感染URLです。名前通りでマルウェアの感染ページのドメインが隠された状態でページをアクセスされたら感染ドメイン名を転回されます。日本には本件の感染仕組みも「リアルで」来ましたので、情報は本件のレポートとなります。

■感染されたドメイン/IPアドレス↓

a-kenko.jp / 124.211.27.154

■感染されたURL↓

hxxp://a-kenko.jp/common.js

■ダウンロード証拠↓

--19:33:22-- hxxp://a-kenko.jp/common.js => `common.js' Resolving a-kenko.jp... 124.211.27.154 Connecting to a-kenko.jp|124.211.27.154|:80... connected. HTTP request sent, awaiting response... 200 OK Length: 65,861 (64K) [text/x-js] 100%[====================================>] 65,861 --.--K/s 19:33:22 (694.82 KB/s) - `common.js' saved [65861/65861]

■ウイルススキャン結果↓

MD5: 025a657ebc0bff67e013ccf02452ddc6 File size: 64.3 KB ( 65861 bytes ) File name: common.js File type: JavaScript Detection: 27 / 42 Date: 2012-08-25 11:11:30 UTC ( 7 分 ago ) Result: [URL] マルウェア名は下記となります↓ nProtect : Trojan.JS.Agent.GLM McAfee : JS/Exploit-Blacole.eu K7AntiVirus : Trojan F-Prot : JS/Blacole.BV Norman : Iframe.MY TrendMicro-HouseCall : JS_BLACOLE.JDKK Avast : JS:Iframe-QG [Trj] ClamAV : JS.Blacole-6 Kaspersky : Trojan-Downloader.JS.Iframe.cyt BitDefender : Trojan.JS.Agent.GLM Emsisoft : Virus.JS.Agent!IK Comodo : Exploit.JS.Blacole.DQ F-Secure : Trojan.JS.Agent.GLM VIPRE : Trojan.JS.Generic (v) AntiVir : JS/Blacole.P TrendMicro : JS_BLACOLE.JDKK McAfee-GW-Edition : JS/Exploit-Blacole.eu Sophos : Mal/Iframe-AF Jiangmin : Trojan/Script.Gen Antiy-AVL : Trojan/JS.Iframe Microsoft : Trojan:JS/BlacoleRef.BO ViRobot : JS.A.Iframe.65861 GData : Trojan.JS.Agent.GLM Commtouch : JS/Blacole.BV Ikarus : Virus.JS.Agent Fortinet : JS/Iframe.W!tr AVG : JS/Agent

■マルウェア調査↓

英文の調査レポートはこちらへ(ENGLISH ANALYSIS IS IN HERE) VirusTotal Report 感染されたcommon.jsに下記のマルウェアコードを発見しました↓ 見た目通りJavaScriptですね。 ↑上記のコードを色んなやり方でクラックが出来ますので、結果はこんな感じとなります↓ ↑今回はVB Scriptが出ますね、もっと分かりやすいように書き換えた方がいいと思うので、 その中に色んなランダム機能を発見が出来ます。 本件の感染コードにはマルウェアのドメイン名を隠されたので↓ 上手く行くとマルウェアURLが下記のように見えます↓ ロシアのドメインですね↓ ↑今現在はもうRO/Syncholeになっています。

■日本での感染されたサーバの情報↓

ネットワークは↓ inetnum: 124.208.0.0 - 124.215.255.255 descr: KDDI CORPORATION inetnum: 124.211.27.0 - 124.211.27.255 netname: PURENIC02 descr: PURENIC JAPAN., Inc country: JP admin-c: TH7108JP tech-c: TH7108JP d. [電子メイル] domain@purenic.jp f. [組織名] 株式会社PURENICJAPAN g. [Organization] PURENIC JAPAN., Inc グラフ↓ ※感染されたドメイン管理者情報はインターネットで公開されておりますので、 手続きをしたい方々がどうぞ御調べて下さい。
----
ゼロデイ・ジャパン
http://0day.jp
マルウェア研究所
アドリアン・ヘンドリック
Sponsored by: 株式会社ケイエルジェイテック

0 件のコメント:

コメントを投稿