日曜日, 8月 26, 2012

#OCJP 059: またBlackhole感染JSコードを発見!今回はNTT Verio VPSホスティングにある「c-style-nw.co.jp / 111.68.137.161」の感染事件です。


今回は似たようなJSコードを日本企業ホームページに発見しました、詳細は下記となります↓

■感染されたドメイン/IPアドレス↓

c-style-nw.co.jp / 111.68.137.161

■感染されたURL↓

hXXp://c-style-nw.co.jp/ hXXp://c-style-nw.co.jp/index.html

■ダウンロード証拠↓

--13:00:38-- hXXp://c-style-nw.co.jp/ => `index.html' Resolving c-style-nw.co.jp... 111.68.137.161 Connecting to c-style-nw.co.jp|111.68.137.161|:80... connected. HTTP request sent, awaiting response... 200 OK Length: 12,280 (12K) [text/html] 100%(====================================>) 12,280 --.--K/s 13:00:39 (614.35 KB/s) - `index.html' saved (12280/12280)

■ウイルススキャン結果↓

File name: index.html MD5: 154a2206284cfb837c43176d8c3d0bd8 File size: 12.0 KB ( 12280 bytes ) File type: HTML Tags: html Detection: 32 / 42 Date: 2012-08-26 03:50:57 UTC ( 33 minutes ago ) Result: [URL] マルウェア名は下記となります↓ nProtect : Trojan.JS.Downloader.BUQ McAfee : JS/Exploit-Blacole.ej K7AntiVirus : Riskware F-Prot : JS/Blacole.N.gen Symantec : Downloader Norman : JS/Iframe.MB TotalDefense : JS/BlacoleRef.Q TrendMicro-HouseCall : TROJ_GEN.RCBH1HK Avast : JS:Redirector-UQ [Trj] eSafe : Win32.Trojan ClamAV : Trojan.Blackhole-479 Kaspersky : Trojan-Downloader.JS.Agent.grd BitDefender : Trojan.JS.Downloader.BUQ Sophos : Mal/Iframe-W Comodo : TrojWare.JS.IFrame.TF F-Secure : Trojan.JS.Downloader.BUQ DrWeb : JS.IFrame.233 VIPRE : Trojan.JS.Obfuscator.aa (v) AntiVir : JS/Blackhole.C McAfee-GW-Edition : JS/Exploit-Blacole.ej Emsisoft : Trojan.Script!IK Jiangmin : Trojan/Script.Gen Antiy-AVL : Trojan/JS.Agent Microsoft : Trojan:JS/BlacoleRef.W ViRobot : JS.A.Agent.12280.B GData : Trojan.JS.Downloader.BUQ Commtouch : JS/Blacole.N.gen ESET-NOD32 : JS/Iframe.DN PCTools : Downloader.Generic Ikarus : Trojan.Script Fortinet : JS/Crypt.CAAD!tr AVG : HTML/Framer.FV

■マルウェア調査↓

感染されたHTMLファイルの中にPseudoランダムのマルウェア感染コードを発見しました。 私のPCのスナップショットは下記となります、ライン20番から<BODY>の過ぎの所です↓ 具体的に下記のコードですね↓ 上記のコードを見たらコードの条件が無いみたいので、eval()が直ぐに出るはず、 試して見たらその通りとなり、下記のバリューが出ます↓ ↑分かりやすいので、下記の感染URLが出ます↓
hXXp://euwqhtspec.dns1.us/d/404.php?go=1
↑URLのフォーマットだけを見たら「blackhole」exploitパックからの感染コードですね、 今年の5~6月にこのドメインからいろんなマルウェア感染が沢山流行りました。 最近は復活したみたいですね。 現在自分の手続きで本件の感染されたURLはURLQueryでブラックリストで登録されています↓ さらに、euwqhtspec.dns1.usのマルウェアサイトについても手続き済みです。 現在アクセスが出来ない状況になります、ROの状態ですね↓
--13:03:17-- http://euwqhtspec.dns1.us/d/404.php?go=1 (try: 3) => `404.php@go=1' Connecting to euwqhtspec.dns1.us|146.185.255.191|:80... failed: Connection timed out. Retrying. --13:03:38-- http://euwqhtspec.dns1.us/d/404.php?go=1 (try: 4) => `404.php@go=1' Connecting to euwqhtspec.dns1.us|146.185.255.191|:80... failed: Connection timed out. ^C

残っているなのは本レポートに書いた感染されたホームページのindex.htmlですね。 早めにマルウェアコードを削除して、それでウェブの脆弱性も直して欲しいです。

■日本での感染されたサーバの情報↓

ネットワーク↓ NTTコミュニケーションズVerio VPSホスティングですね↓ IP: 111.68.137.161 inetnum: 111.68.128.0 - 111.68.255.255 netname: ARCSTAR descr: NTT COMMUNICATIONS CORPORATION inetnum: 111.68.128.0 - 111.68.255.255 netname: VPS-TOKYO2 descr: NTT Communications tech-c: JP00017877 [グループ名] ホスティング担当 [Group Name] Hosting Group [電子メール] inquiries@verio.jp [組織名] NTTコミュニケーションズ [Organization] NTT Communications グラフ↓ ドメイン情報↓ ※インターネットで本件の情報を公開されていますので、  アラートの手続きの為に知りたいならば検索して下さい。
---
ゼロデイ・ジャパン http://0day.jp
マルウェア研究所
Analyst: アドリアン・ヘンドリック / Hendrik ADRIAN
Sponsored by: 株式会社ケイエルジェイテック


TO BE NOTICED: All of the findings and exposed material in this site is belong to the site owner and is an original
materials. Any COPY of research material without written permission from unixfreaxjp/site owner is strictly prohibited. Any attempt to camouflage and attempt to owning this research material will be prosecuted by law.

0 件のコメント:

コメントを投稿