日曜日, 2月 03, 2013

#OCJP-086: 不二建設株式会社のウェブサイトにマルウェアを発見しました。

不二建設株式会社のウェブサイトにマルウェアを発見しました。
ホームページ↓

マルウェア感染URL↓

ダウンロード証拠↓
--2013-02-03 02:20:13--  
hxxp://fuji-solar.co.jp/date/dune.exe
Resolving fuji-solar.co.jp... seconds 0.00, 60.43.201.33
Caching fuji-solar.co.jp => 60.43.201.33
Connecting to fuji-solar.co.jp|60.43.201.33|:80... seconds 0.00, connected.
 :
GET /date/dune.exe HTTP/1.0
Host: fuji-solar.co.jp
HTTP request sent, awaiting response...
 :
HTTP/1.1 200 OK
Date: Sat, 02 Feb 2013 17:20:04 GMT
Server: Rapidsite/Apa
Last-Modified: Sat, 02 Feb 2013 12:26:52 GMT
ETag: "35dd625-37400-510d060c"
Accept-Ranges: bytes
Content-Length: 226304
Keep-Alive: timeout=15, max=100
Connection: Keep-Alive
Content-Type: application/exe
 :
200 OK
Length: 226304 (221K) [application/exe]
Saving to: `dune.exe'
100%[======================================>] 226,304     --.-K/s   in 0.1s
2013-02-03 02:20:13 (1.45 MB/s) - `dune.exe' saved [226304/226304]
マルウェア調査結果をVirusTotalのページに書きましたので、コメントの所にご覧下さい↓
MD5:        a26ff2a7664aaa03d41a591fc71d2221
File size:    221.0 KB ( 226304 bytes )
File name:    dune.exe
File type:    Win32 EXE
Detection ratio: 1 / 46
Analysis date:  2013-02-02 18:47:02 UTC ( 0 分 ago ) 
ウイルストータルのレポートURL: 【クリック】 未だSymantec製品しか検知が出来ませんが、感染される可能性が高いので、ご注意下さい。 そしてウェブサイトの管理情報を変更して下さい。 本件の感染元のルートを知りたいなら、こちらへ→【クリック】

2 件のコメント:

  1. お疲れ様です。
    シマンテックが「Zbot」認定しました。
    https://www.virustotal.com/file/0e61ecd0aad87a72d36bc10288303292859a800d2237ac9c32755d9e455e87e2/analysis/1360009963/
    PCTools Trojan.Zbot 20130204
    Symantec Trojan.Zbot 20130204

    返信削除
  2. 本件のマルウェアがパスワード盗むようなトロイ「Ursnif」です。
    調査しましたので、マルウェア分析調査レポートを【ここ】に書きました。

    返信削除