火曜日, 10月 02, 2012

#OCJP-072:GMOネットワークにある「dp38318372.lolipop.jp/210.172.144.245」ホストにBlackhole2経由のトロイ・スパイウェア(ZeuS)

前回報告しました「BlackHoleバーション2を日本にも発見」の中にあるホスト「dp38318372.lolipop.jp/210.172.144.245」に危ないトロイを発見しました。
によって、これからどんどん危ない物がそのサイトに出る可能性が高いので、「dp38318372.lolipop.jp/210.172.144.245」のサーバを早めに止めて下さい!

ダウンロード証拠↓
--13:23:02--  hxxp://dp56125513.lolipop.jp/trasferire/Trasferire.zip
           => `Trasferire.zip'
Resolving dp56125513.lolipop.jp... 210.172.144.245
Connecting to dp56125513.lolipop.jp|210.172.144.245|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 265,020 (259K) [application/zip]
13:23:03 (1.23 MB/s) - `Trasferire.zip' saved [265020/265020]
見た目は↓


中にはニセPDFのPE(EXE)ファイルを発見↓


PEの証拠↓
0000  4D 5A 90 00 03 00 00 00 04 00 00 00 FF FF 00 00 MZ..............
0010  B8 00 00 00 00 00 00 00 40 00 00 00 00 00 00 00 ........@.......
0020  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
0030  00 00 00 00 00 00 00 00 00 00 00 00 80 00 00 00 ................
0040  0E 1F BA 0E 00 B4 09 CD 21 B8 01 4C CD 21 54 68 ........!..L.!Th
0050  69 73 20 70 72 6F 67 72 61 6D 20 63 61 6E 6E 6F is program canno
0060  74 20 62 65 20 72 75 6E 20 69 6E 20 44 4F 53 20 t be run in DOS
0070  6D 6F 64 65 2E 0D 0D 0A 24 00 00 00 00 00 00 00 mode....$.......
0080  50 45 00 00 4C 01 04 00 CC F0 69 50 00 00 00 00 PE..L.....iP....
0090  00 00 00 00 E0 00 0E 01 0B 01 02 32 00 5A 04 00 ...........2.Z..
これは暗号されているトロイのマルウェアで情報盗む為に作られた物(スパイウェア)です。

バイナリーを調査したら下記の情報が出ます↓
Entry Point: 0x1100 (.text)
Compile Time: 0x5069F0CC ← 昨日の日付け!
              [Mon Oct 01 19:36:44 2012 UTC]
Sections:                          
   .text  0x1000  0x4596f 285184 <----packed..恐らくはcrypterツール
   .data  0x47000 0xce8     3072        
   .rsrc  0x48000 0x248     1024
   .reloc 0x49000 0x230     1024
ファイルのattribute情報も非常にあやしい↓ 
ProductName: tttt 234623462346 asdfadsf asdfasdf
ProductVersion: 1
OriginalFilename: WINVER.EXE
CompanyName: tttt Corporation
↑なんだこれや…
このトロイに感染されたら下記の動きが出ます↓ マルウェアファイルが保存されます↓ 
C:\open.exe (Self Rename)                adc7b46dd247f2416f457fe6c0fe7160
%AppData%\Bywisy\okny.exe (SelfDeleted)  ca4a89655c37a2c38f313e07516c4fbe
%AppData%\omcoi.wau ←マルウェアのごみファイル、必要がありません
マルウェアのプロセスが立ち上がって↓ 
sample         adc7b46dd247f2416f457fe6c0fe7160 
  |
  +-open.exe   adc7b46dd247f2416f457fe6c0fe7160 "C:\open.exe" 
    |
    +- okny.exe ca4a89655c37a2c38f313e07516c4fbe "C:\Documents and Settings\Administrator\Application Data\Bywisy\okny.exe" 
         |
         +-svchost.exe 
※トロイ(okny.exe)はずっと立ち上がりままです。
レジストリーには下記の所に変更が出て↓ 
1. HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders
      1.1. AppData = C:\DocumentsandSettings\Administrator\ApplicationData 
      1.2. Local AppData  = C:\DocumentsandSettings\Administrator\ApplicationData
2. HKLM\System\CurrentControlSet\Control\TerminalServer  
       TSUserEnabled = 0
3  HKLM\​Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers      
        TransparentEnabled = 1
4. HKLM\SYSTEM\Setup  
        SystemSetupInProgress = 0
何回言うのは嫌いだけど、下記のネットワーク責任者には本件の感染ホストがあると認識してほしい。GMO社から全然反応が無い状況です。 
inetnum:        210.172.128.0 - 210.172.191.255
netname:        interQ-CIDR-BLK-JP
descr:          GMO Internet, Inc.
remarks:        Email address for spam or abuse complaints : abuse@gmo.jp
country:        JP
admin-c:        JP00014973
tech-c:         JP00014973
Virus Totalに確認したら↓
1. Trasferire.zip
MD5:            cee9831f29e87ca9bba382b3735fe75c
File size:      258.8 KB ( 265020 bytes )
File name:      Trasferire.zip
File type:      ZIP
Detection:      12 / 43
Analysis date:  2012-10-02 05:19:38 UTC
URL:            [CLICK]

2. Trasferire.Pdf_______________________________________________________________.exe
MD5:            adc7b46dd247f2416f457fe6c0fe7160
File size:      297.2 KB ( 304360 bytes )
File name:      Trasferire.Pdf_______________________________________________________________.exe
File type:      Win32 EXE
Detection:      10 / 43
Analysis date:  2012-10-02 05:24:07 UTC
URL:            [CLICK]
マルウェア名は下記となります↓ 
F-Secure                 : Gen:Variant.Kazy.97342
GData                    : Gen:Variant.Kazy.97342
Norman                   : W32/Krypt.GB
TrendMicro-HouseCall     : TROJ_GEN.R47H1J2
Sophos                   : Mal/FakeAV-SG
Kaspersky                : Trojan-Spy.Win32.Zbot.fftw
BitDefender              : Gen:Variant.Kazy.97342
Ikarus                   : Trojan-Spy.Win32.Zbot
Fortinet                 : W32/Kryptik.WDV!tr
ViRobot                  : Trojan.Win32.A.Zbot.304360.A
Posted by unixfreaxjp at 2:18 午後

0 件のコメント:

コメントを投稿

登録: コメントの投稿 (Atom)