hxxp://burogu.info/blog/wp-content/plugins/contact-form-7/scripts.js?ver=2.4.5
ZeuSマルウェアのダウンロードコードを発見しました。
コード的には海外だと「PseudoRandom」と言います。
クリックされるとマルウェアがダウンロードされてしまいます。
証拠は下記となります…
現在のアップ状況とダウンロード証拠↓
$ date
Sat Oct 20 02:46:45 JST 2012
$ mygetstuffs...
--23:16:06-- http://burogu.info/blog/wp-content/plugins/contact-form-7/scripts.
js?ver=2.4.5
=> `scripts.js@ver=2.4.5'
Resolving burogu.info... 211.1.225.15
Connecting to burogu.info|211.1.225.15|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 13,046 (13K) [application/x-javascript]
100%[======================>] 13,046 --.--K/s
23:16:06 (1.96 MB/s) - `scripts.js@ver=2.4.5' saved [13046/13046]ダウンロードしたファイルに確認したらライン198にマルウェアコードを発見しました↓
このコードを解けたら下記のスナップショットコードになり
↑このままで実行されたら下記のドメインに行ってしまいます↓
hxxp://vznrahwzgntmfcqk.ru/runforestrun?sid=botnet2
よくコードを見たら時間の関係で出てくるドメインをころころ変わりますので、
だからこそ「PseudoRandomドメイン」とよばれているようです。
全てコードの中にある時間可能性を計算して実行をすると、
このように沢山ドメインが出てきます→「Pastebinのリンク」
この辺にあります↓
: 1341964801 - lsbppxhgckolsnap.ru 1341973801 - lsbppxhgckolsnap.ru 1341982801 - vznrahwzgntmfcqk.ru <========ここ 1341991801 - vznrahwzgntmfcqk.ru <========ここ 1342000801 - vznrahwzgntmfcqk.ru <========ここ 1342009801 - vznrahwzgntmfcqk.ru <========ここ 1342018801 - vznrahwzgntmfcqk.ru <========ここ :さて、現状の時間で解けたURLについてはどんな状況で確認したら、ダウンロードが出来ます↓
$ date
Fri Oct 19 23:35:24 JST 2012
$ mygetstuffs...
--user-agent="Mozilla/5.0 (X11; U; NetBSD i686)"
--referer="h00p://burogu.info/blog/wp-content/plugins/contact-form-7/scripts.js?ver=2.4.5"
--target= "h00p://vznrahwzgntmfcqk.ru/runforestrun?sid=botnet2 "
--proxy= "JP"
--23:32:45-- h00p://vznrahwzgntmfcqk.ru/runforestrun?sid=botnet2%20
=> `runforestrun@sid=botnet2 '
Resolving vznrahwzgntmfcqk.ru... 5.9.188.54
Connecting to vznrahwzgntmfcqk.ru|5.9.188.54|:80... connected.
HTTP request sent, awaiting response...200 OKドメイン自体には生きています↓
どんな物のマルウェア感染でしょうか? このリファレンス/情報と比べたらまったく同じです→「Emerging Threats」←ZeuS感染仕組み。
0 件のコメント:
コメントを投稿