Blackhole ExploitKitに感染されております。サーバ管理情報が盗まれたそうですね。
hxxp://nature.or.jp/letter.htm
証拠↓(ダウンロード)
--2013-02-13 18:19:13-- hxxp://nature.or.jp/letter.htm Resolving nature.or.jp... seconds 0.00, 101.110.212.39 Caching nature.or.jp => 101.110.212.39 Connecting to nature.or.jp|101.110.212.39|:80... seconds 0.00, connected. : GET /letter.htm HTTP/1.0 Referer: 適当に… User-Agent: MalwareMustDie eates malware mornonz ALIVE! Host: nature.or.jp HTTP request sent, awaiting response... : HTTP/1.1 200 OK Date: Wed, 13 Feb 2013 09:19:01 GMT Server: Apache/2.0.64 (Unix) Last-Modified: Wed, 13 Feb 2013 09:09:37 GMT ETag: "f92e14-1a5-8059f640" Accept-Ranges: bytes Content-Length: 421 Keep-Alive: timeout=15, max=100 Connection: Keep-Alive Content-Type: text/html : 200 OK Registered socket 1896 for persistent reuse. Length: 421 [text/html] Saving to: `letter.htm' 2013-02-13 18:19:13 (14.1 MB/s) - `letter.htm' saved [421/421]中身にはマルウェア感染サイトの転送コードを発見しました↓
emaianem,ru:8080はblackhole感染サーバですので、
そのサーバから下記のマルウェアがダウンロードされます↓
GET /forum/links/column.php?rf=30:1n:1i:1i:33&le=2v:1k:1m:32:33:1k:1k:31:1j:1o&n=1k&rc=h&nm=z HTTP/1.0 Referer: hxxp://nature.or.jp/letter.htm Host: emaianem.ru:8080 HTTP request sent, awaiting response... : HTTP/1.1 200 OK Server: nginx/1.0.10 Date: Wed, 13 Feb 2013 09:29:18 GMT Content-Type: application/x-msdownload Connection: keep-alive X-Powered-By: PHP/5.3.18-1~dotdeb.0 Pragma: public Expires: Wed, 13 Feb 2013 09:29:18 GMT Cache-Control: must-revalidate, post-check=0, pre-check=0 Cache-Control: private Content-Disposition: attachment; filename="info.exe" Content-Transfer-Encoding: binary Content-Length: 118784 : 200 OK Registered socket 1896 for persistent reuse. Length: 118784 (116K) [application/x-msdownload] Saving to: `info.exe' 100%[=================>] 118,784 58.0K/s in 2.0s 2013-02-13 18:29:32 (58.0 KB/s) - `info.exe' saved [118784/118784]
このマルウェアです、Win32/Cridexと呼ばれます↓
レポートURL: 【クリック】
SHA1: 2cb8c9b65c51240ba045745489c85d94342ff910 MD5: d4151a003ae5699d5f3dedda92b9ab0d File size: 116.0 KB ( 118784 bytes ) File name: info.exe File type: Win32 EXE Tags: peexe Detection ratio: 21 / 45 Analysis date: 2013-02-13 12:20:01 UTC ( 31 minutes ago )下記のURLにHTTP/POSTで感染されたパソコンを送信されます↓
hxxp://184.106.195.200:8080/N5nmLCAAA/LxcqKAA/GLkOVCAAAA/ hxxp://195.191.22.40:8080/N5nmLCAAA/LxcqKAA/GLkOVCAAAA/ hxxp://210.56.23.100:8080/N5nmLCAAA/LxcqKAA/GLkOVCAAAA/ hxxp://88.119.156.20:8080/N5nmLCAAA/LxcqKAA/GLkOVCAAAA/ hxxp://72.251.206.90:8080/N5nmLCAAA/LxcqKAA/GLkOVCAAAA/ hxxp://82.100.228.130:8080/N5nmLCAAA/LxcqKAA/GLkOVCAAAA/ hxxp://213.214.74.5:8080/N5nmLCAAA/LxcqKAA/GLkOVCAAAA/ hxxp://203.171.234.53:8080/N5nmLCAAA/LxcqKAA/GLkOVCAAAA/それだけじゃなくて、本格的な情報盗むトロイをDROPします、Win32/Fareitと呼ばれます↓
レポートURL: 【クリック】
SHA1: 3d9e3b2bb2252ee96f3cd4566b95c7a5a56924d6 MD5: 2039c6ef5ef10d577cd91742128fb776 File size: 112.0 KB ( 114688 bytes ) File name: ExpressRes.dll File type: Win32 EXE Tags: peexe stealth Detection ratio: 4 / 45 Analysis date: 2013-02-13 12:03:15 UTC ( 53 minutes ago )↑このトロイはこのソフトのリストを盗みます→【クリック】
そして、銀行オンライン個人情報も盗みます→【クリック】
情報を下記のマルウェアサーバに送信されます↓(HTTP/1.1 POSTで)
hxxp://203.114.112.156:8080/asp/intro.php hxxp://42.121.116.38:8080/asp/intro.php hxxp://203.146.208.180:8080/asp/intro.php hxxp://110.164.58.250:8080/asp/intro.php hxxp://85.25.147.73:8080/asp/intro.php hxxp://208.87.243.130:8080/asp/intro.php hxxp://202.164.211.51:8080/asp/intro.php hxxp://111.68.142.223:8080/asp/intro.php hxxp://203.172.252.26:8080/asp/intro.php hxxp://195.24.205.188:8080/asp/intro.php全てマルウェア証拠は下記のスナップショットとなります↓
早めに感染されたファイルを消して下さい。
そしてサーバの管理ログイン情報が完全に漏れてしまいましたので、直ぐに直して下さい。
日本側の感染されたページが無くなりました↓
返信削除【証拠】
GET /letter.htm HTTP/1.0
Host: nature.or.jp
Connection: keep-alive
Keep-Alive: 300
:
HTTP/1.0 404 Not Found
Date: Thu, 14 Feb 2013 09:53:05 GMT
Server: Apache/2.0.64 (Unix)
P3P: CP="NOI NID ADMa OUR IND UNI COM NAV"