不二建設株式会社のウェブサイトにマルウェアを発見しました。 ホームページ↓マルウェア感染URL↓
ダウンロード証拠↓
--2013-02-03 02:20:13-- hxxp://fuji-solar.co.jp/date/dune.exe Resolving fuji-solar.co.jp... seconds 0.00, 60.43.201.33 Caching fuji-solar.co.jp => 60.43.201.33 Connecting to fuji-solar.co.jp|60.43.201.33|:80... seconds 0.00, connected. : GET /date/dune.exe HTTP/1.0 Host: fuji-solar.co.jp HTTP request sent, awaiting response... : HTTP/1.1 200 OK Date: Sat, 02 Feb 2013 17:20:04 GMT Server: Rapidsite/Apa Last-Modified: Sat, 02 Feb 2013 12:26:52 GMT ETag: "35dd625-37400-510d060c" Accept-Ranges: bytes Content-Length: 226304 Keep-Alive: timeout=15, max=100 Connection: Keep-Alive Content-Type: application/exe : 200 OK Length: 226304 (221K) [application/exe] Saving to: `dune.exe' 100%[======================================>] 226,304 --.-K/s in 0.1s 2013-02-03 02:20:13 (1.45 MB/s) - `dune.exe' saved [226304/226304]マルウェア調査結果をVirusTotalのページに書きましたので、コメントの所にご覧下さい↓MD5: a26ff2a7664aaa03d41a591fc71d2221 File size: 221.0 KB ( 226304 bytes ) File name: dune.exe File type: Win32 EXE Detection ratio: 1 / 46 Analysis date: 2013-02-02 18:47:02 UTC ( 0 分 ago )ウイルストータルのレポートURL: 【クリック】 未だSymantec製品しか検知が出来ませんが、感染される可能性が高いので、ご注意下さい。 そしてウェブサイトの管理情報を変更して下さい。 本件の感染元のルートを知りたいなら、こちらへ→【クリック】
{ マルウェア | 脆弱性 | スパム | 0day | ボットネット } のセキュリティ・ブログ
日曜日, 2月 03, 2013
#OCJP-086: 不二建設株式会社のウェブサイトにマルウェアを発見しました。
登録:
コメントの投稿 (Atom)
お疲れ様です。
返信削除シマンテックが「Zbot」認定しました。
https://www.virustotal.com/file/0e61ecd0aad87a72d36bc10288303292859a800d2237ac9c32755d9e455e87e2/analysis/1360009963/
PCTools Trojan.Zbot 20130204
Symantec Trojan.Zbot 20130204
本件のマルウェアがパスワード盗むようなトロイ「Ursnif」です。
返信削除調査しましたので、マルウェア分析調査レポートを【ここ】に書きました。