--2013-03-06 14:37:53-- hxxp://117.104.150.170:8080/forum/links/column.php seconds 0.00, Connecting to 117.104.150.170:8080... seconds 0.00, connected. : GET /forum/links/column.php HTTP/1.0 Host: 117.104.150.170:8080 HTTP request sent, awaiting response... : HTTP/1.1 502 Bad Gateway Server: nginx/1.0.10 ←//Blackhole感染シグネーチャー Date: Wed, 06 Mar 2013 05:37:30 GMT Content-Type: text/html; charset=CP-1251 Connection: keep-alive ←//Blackhole感染シグネーチャー X-Powered-By: PHP/5.3.18-1~dotdeb.0 ←//Blackhole感染シグネーチャー Vary: Accept-Encoding :
今現在、新規個人情報盗むマルウェアドメインが「117.104.150.170」に今現在向いています↓
;; QUESTION SECTION: ;giliaonso.ru. IN A ;; ANSWER SECTION: giliaonso.ru. 59 IN A 117.104.150.170 // ←こちら giliaonso.ru. 59 IN A 210.71.250.131 giliaonso.ru. 59 IN A 212.180.176.4 ;; QUESTION SECTION: ;Gosbfosod.ru. IN A ;; ANSWER SECTION: Gosbfosod.ru. 59 IN A 212.180.176.4 Gosbfosod.ru. 59 IN A 117.104.150.170 // ←こちら Gosbfosod.ru. 59 IN A 210.71.250.131
[NEW]感染ドメイン最新情報(Thu Mar 7 15:10:52 JST 2013)↓
// CURRENT "Active" infection source (BHEK2/Cridex PWS Stealer)
gimalayad.ru 117.104.150.170, 41.72.150.100 ginagion.ru 117.104.150.170, 41.72.150.100 giliaonso.ru 117.104.150.170, 41.72.150.100↑全て本件の日本IPアドレス「117.104.150.170」が登録されました…(;;)
abuse@ntt.netに本件の注意が必要だと思います↓
inetnum: 117.104.128.0 - 117.104.159.255 netname: ARCSTAR descr: NTT COMMUNICATIONS CORPORATION descr: NTT Hibiya Bldg. 7F, 1-6 Uchisaiwai-cho 1-Chome, Chiyoda-ku, Tokyo 100-8019, Japan country: JP admin-c: JNIC1-AP tech-c: JNIC1-AP status: ALLOCATED PORTABLE remarks: Email address for spam or abuse complaints : abuse@ntt.net changed: hm-changed@apnic.net 20070724 changed: ip-apnic@nic.ad.jp 20100409 changed: ip-apnic@nic.ad.jp 20111012 mnt-irt: IRT-JPNIC-JP mnt-by: MAINT-JPNIC mnt-lower: MAINT-JPNIC source: APNIC
お疲れ様です。
返信削除メルしました。
ここ先に見ればヨカタ
めも
http://megalodon.jp/2013-0306-1907-14/bgp.he.net/dns/giliaonso.ru
A Records
212.180.176.4, 117.104.150.170
212.180.176.4
http://wepawet.cs.ucsb.edu/view.php?hash=e592512c9c77da20175d289bc54430f0&t=1362564701&type=js
www.oirase-keiryuu.jp
http://wepawet.cs.ucsb.edu/view.php?hash=53b158e20e41c75dc36cc389719fc52a&t=1362563616&type=js
117.104.150.170
http://wepawet.cs.ucsb.edu/view.php?hash=672d872237c1fa6094dded24ba52f102&t=1362555662&type=js
oirase-keiryuu.jp
http://wepawet.cs.ucsb.edu/view.php?hash=14930d0b1e4c726395d3e581365b48ad&t=1362554904&type=js
また沢山.RU感染ドメインが出てきますよ。
返信削除本件のサーバログイン情報(FTP)も盗まれそうですね
増えてますねぇ。。。
削除http://megalodon.jp/2013-0307-1017-16/bgp.he.net/dns/giliaonso.ru
A Records
41.72.150.100, 117.104.150.170, 212.180.176.4
41.72.150.100
http://wepawet.cs.ucsb.edu/view.php?hash=10af2c7d0b7cce175556333360112b02&t=1362617508&type=js
www.zwana.net
http://wepawet.iseclab.org/view.php?hash=18f9a6e01bc93d88526d2e988aebe34c&t=1362618156&type=js
AFRINIC
皆様、今現在感染始めました!ハッキングがされてマルウェアが配っている最中です!
返信削除もう、日本のネットワーク迄にこういうふうになってしまうと…(T_T)
お願いインターネットから117.104.150.170のマシンを早めに外して下さい
証拠その1
--2013-03-07 14:31:53-- hxxp://117.104.150.170:8080/forum/links/column.php
seconds 0.00, Connecting to 117.104.150.170:8080... seconds 0.00, connected.
GET /forum/links/column.php HTTP/1.0
Host: 117.104.150.170:8080
HTTP request sent, awaiting response...
:
HTTP/1.1 200 OK
Server: nginx/1.0.10
Date: Thu, 07 Mar 2013 05:31:53 GMT
Content-Type: text/html; charset=CP-1251
Connection: close
X-Powered-By: PHP/5.3.18-1~dotdeb.0
Vary: Accept-Encoding
200 OK
Length: unspecified [text/html]
Saving to: `column.php'
:
Closed fd 1920
2013-03-07 14:31:55 (116 KB/s) - `column.php' saved [156775]
つづく
マルウェアダウンロード証拠@117.104.150.170(画像sスナップショットが出ます↓)
返信削除http://urlquery.net/queued.php?id=16559053
マルウェアダウンロードログ↓
--2013-03-07 14:43:38-- hxxp://117.104.150.170:8080/forum/links/column.php?ff=2w:1l:1l:2v:1f&ke=2v:1k:1m:32:33:1k:1k:31:1j:1o&z=1k&wy=b&gx=f
seconds 0.00, Connecting to 117.104.150.170:8080... seconds 0.00, connected.
:
GET /forum/links/column.php?ff=2w:1l:1l:2v:1f&ke=2v:1k:1m:32:33:1k:1k:31:1j:1o&z=1k&wy=b&gx=f HTTP/1.0
Host: 117.104.150.170:8080
HTTP request sent, awaiting response...
:
HTTP/1.1 200 OK
Server: nginx/1.0.10
Date: Thu, 07 Mar 2013 05:43:38 GMT
Content-Type: application/x-msdownload
Connection: keep-alive
X-Powered-By: PHP/5.3.18-1~dotdeb.0
Pragma: public
Expires: Thu, 07 Mar 2013 05:43:39 GMT
Cache-Control: must-revalidate, post-check=0, pre-check=0
Cache-Control: private
Content-Disposition: attachment; filename="contacts.exe"
Content-Transfer-Encoding: binary
Content-Length: 102400
200 OK
Registered socket 1916 for persistent reuse.
Length: 102400 (100K) [application/x-msdownload]
Saving to: `contacts.exe'
2013-03-07 14:43:40 (93.4 KB/s) - `contacts' saved [102400/102400]
マルウェアファイル↓(トロイ Win32/Cridex、パスワード盗むトロイの亜種)
2013/03/07 14:43 102,400 contacts.exe 8ad915937fe2cd67e2ec32e674d7df8d
ウイルストータル↓
URL: https://www.virustotal.com/en/file/afe52ef0d03b1840b108f623457f623d616974a1ee74a0ca279cb13b7053f239/analysis/1362635230/
SHA1: c6493a23993ad8884420f15b3ee22bbc7fd24f7e
MD5: 8ad915937fe2cd67e2ec32e674d7df8d
File size: 100.0 KB ( 102400 bytes )
File name: docprop.dll
File type: Win32 EXE
Detection ratio: 19 / 46
Analysis date: 2013-03-07 05:47:10 UTC ( 0 minutes ago )
File ./contacts.exe with MD5 8ad915937fe2cd67e2ec32e674d7df8d
-------------------------------------------------------------
DrWeb : Trojan.Necurs.97
GData : Win32:Cridex-S
VIPRE : Win32.Malware!Drop
Symantec : W32.Cridex
McAfee-GW-Edition : Artemis!8AD915937FE2
Fortinet : W32/Kryptik.ALRY!tr
TrendMicro-HouseCall : TROJ_GEN.RC1H1C6
Sophos : Mal/Generic-S
Avast : Win32:Cridex-S [Trj]
Ikarus : Trojan.Win32.Bublik
Kaspersky : Trojan.Win32.Bublik.aiat
Microsoft : Worm:Win32/Cridex.E
McAfee : PWS-Zbot-FANE!8AD915937FE2
Malwarebytes : Trojan.FakeMS
Kingsoft : Win32.Troj.Bublik.ai.(kcloud)
AntiVir : TR/CridexS.A.1
PCTools : Malware.Cridex
Emsisoft : Trojan.Win32.Bublik.aiat.AMN (A)
Comodo : UnclassifiedMalware
http://megalodon.jp/2013-0307-1343-27/bgp.he.net/dns/ginagion.ru
返信削除A Records
41.72.150.100, 117.104.150.170
http://megalodon.jp/2013-0307-1517-07/bgp.he.net/dns/giliaonso.ru
A Records
41.72.150.100, 117.104.150.170
対象サイトのDomainとIP-Addressでスパム扱いされてメール届いてないかもです。。。
JPCERT/CCへのメールも蹴られています。
スパムメールがいっぱい届きました、下記のレポートは参考情報です↓
返信削除http://blog.dynamoo.com/2013/03/pizza-spam-gimalayadru.html
http://blog.dynamoo.com/2013/03/bt-business-direct-order-spam-ginagionru.html
本件の犯罪グルプの感染調査メモ→こちら
返信削除今回のBlackhole Exploit Kitに侵されているサイトのDomainとIP-Addressが本文にあるunixfreaxjpさんからのメールやセキュリティベンダーからの返信メールはGmailだと以下の表示が出てます。
返信削除「このメールにはご注意ください。送信者のアカウントが不正に使用されている可能性があるため、このメールは個人情報を騙し取ろうとする詐欺である可能性があります」
JPCERT/CCからお返事来ました。
また変わった。。。
http://megalodon.jp/2013-0307-2227-47/bgp.he.net/dns/ginagion.ru
http://megalodon.jp/2013-0307-2228-22/bgp.he.net/dns/giliaonso.ru
A Records
212.180.176.4, 41.72.150.100, 117.104.150.170
ピザのスパムですか。。。
トッピングがBlackhole
日本のPCから盗まれたFTPアカウントの情報が使い始めたそうです。
返信削除これからも頑張ろう!
お疲れ様です。
返信削除現在(117.104.150.170|www.oirase-keiryuu.jp|oirase-keiryuu.jp):8080/forum/links/column.phpは500を返しています。
他のページはシステムメンテナンスの告知ページmaintenance.htmlになっています。
めも
削除http://megalodon.jp/2013-0308-1911-26/bgp.he.net/dns/ginagion.ru
A Records
41.72.150.100, 212.180.176.4
http://megalodon.jp/2013-0308-1912-32/bgp.he.net/dns/giliaonso.ru
A Records
212.180.176.4, 41.72.150.100