fruru.jp
トップページの見た目では何も無かったが↓
下記のURLにJava(JAR)感染ファイルを発見しました↓
hxxp://fruru.jp/wp-includes/js/crop/atualizacao/Java.jar
ダウンロードの証拠↓
--2013-04-16 22:43:49-- hxxp://fruru.jp/wp-includes/js/crop/atualizacao/Java.jar Resolving fruru.jp... seconds 0.00, 59.106.171.45 Caching fruru.jp => 59.106.171.45 Connecting to fruru.jp|59.106.171.45|:80... seconds 0.00, connected. : GET /wp-includes/js/crop/atualizacao/Java.jar HTTP/1.0 Host: fruru.jp HTTP request sent, awaiting response... : HTTP/1.1 200 OK Date: Tue, 16 Apr 2013 13:43:39 GMT Server: Apache/1.3.42 (Unix) mod_ssl/2.8.31 OpenSSL/0.9.8e Last-Modified: Fri, 12 Apr 2013 16:12:28 GMT ETag: "6986-5168326c" Accept-Ranges: bytes Content-Length: 27014 Keep-Alive: timeout=5, max=20 Connection: Keep-Alive Content-Type: text/plain : 200 OK Length: 27014 (26K) [text/plain] Saving to: `Java.jar' 2013-04-16 22:43:49 (426 KB/s) - `Java.jar' saved [27014/27014]
このjavaの中にCVE-2006-6969の「java.util.Random」の「low entropy」脆弱性のコードがあり、証拠↓
脆弱性を起こす為のvarがbooleanに設定されて↓
それで下記のexploitコードを実行されて↓
下記のコードでファイル保存のコードを発見↓
と、エンコードされたダウンロードURL↓
短くにすると、デコードと検証したら下記のマルウェアのダウンロードURLを発見↓
hxxp://fruru.jp/wp-includes/js/crop/atualizacao/atualizacao.exe
ダウンロードすると、出来ちゃいました…、証拠↓
--2013-04-16 22:45:15-- hxxp://fruru.jp/wp-includes/js/crop/atualizacao/atualizacao.exe Resolving fruru.jp... seconds 0.00, 59.106.171.45 Caching fruru.jp => 59.106.171.45 Connecting to fruru.jp|59.106.171.45|:80... seconds 0.00, connected. : GET /wp-includes/js/crop/atualizacao/atualizacao.exe HTTP/1.0 Host: fruru.jp HTTP request sent, awaiting response... : HTTP/1.1 200 OK Date: Tue, 16 Apr 2013 13:45:05 GMT Server: Apache/1.3.42 (Unix) mod_ssl/2.8.31 OpenSSL/0.9.8e Last-Modified: Fri, 12 Apr 2013 16:13:19 GMT ETag: "1a7ad8-5168329f" Accept-Ranges: bytes Content-Length: 1735384 Keep-Alive: timeout=5, max=20 Connection: Keep-Alive Content-Type: application/x-msdownload : 200 OK Registered socket 1896 for persistent reuse. Length: 1735384 (1.7M) [application/x-msdownload] Saving to: `atualizacao.exe' 2013-04-16 22:45:16 (1.07 MB/s) - `atualizacao.exe' saved [1735384/1735384]
ファイルの証拠についてはスナップショット↓
ウイルストータルのスキャン結果↓
(1)「java.jar」はexploit感染ファイルで、VTのURL→(クリック)
SHA1: c0bb8214a51d0b58081b8a3e030624476de63f9a MD5: 057a0462ecd88f28c6f1b22422764a1a File size: 26.4 KB ( 27014 bytes ) File name: Java.jar File type: JAR Tags: jar Detection ratio: 5 / 46 Analysis date: 2013-04-16 14:15:21 UTC ( 9 minutes ago ) マルウェア名前↓ TrendMicro-HouseCall : TROJ_GEN.F47V0720 Ikarus : Trojan-Downloader.Java.Toniper Symantec : Trojan.Maljava Microsoft : TrojanDownloader:Java/Toniper PCTools : Trojan.Maljava
(2)「atualizacao.exe」は銀行トロイですので、VTのURL→(クリック)
SHA1: 1c7860bcc37a38e69e8a7c5af4abc697bbf37444 MD5: e4887fb51e1de6a948dc900be3d78deb File size: 1.7 MB ( 1735384 bytes ) File name: atualizacao.exe File type: Win32 EXE Tags: peexe Detection ratio: 29 / 46 Analysis date: 2013-04-16 14:15:48 UTC ( 10 minutes ago ) マルウェア名前↓ MicroWorld-eScan : DeepScan:Generic.Banker.Delf.BA87D233 McAfee : Artemis!E4887FB51E1D K7AntiVirus : Riskware K7GW : Trojan F-Prot : W32/Banload.AK.gen!Eldorado Norman : Banload.CMZG ESET-NOD32 : a variant of Win32/Spy.Banker.XRJ TrendMicro-HouseCall : Possible_Virus Avast : Win32:Banker-JXB [Trj] Kaspersky : Trojan-Dropper.Win32.Dapato.cctq BitDefender : DeepScan:Generic.Banker.Delf.BA87D233 Emsisoft : DeepScan:Generic.Banker.Delf.BA87D233 (B) Comodo : Heur.Suspicious F-Secure : DeepScan:Generic.Banker.Delf.BA87D233 DrWeb : Trojan.DownLoader8.8042 AntiVir : TR/Spy.Banker.Gen TrendMicro : Possible_Virus McAfee-GW-Edition : Artemis!E4887FB51E1D Sophos : Mal/Generic-S Kingsoft : Win32.Troj.Undef.(kcloud) Microsoft : TrojanDownloader:Win32/Banload.ALA ViRobot : JS.A.Iframe.1735384 GData : DeepScan:Generic.Banker.Delf.BA87D233 Commtouch : W32/Banload.AK.gen!Eldorado VBA32 : TrojanDropper.Dapato Ikarus : Virus.Trojan.Banker.Win32.Banker Fortinet : W32/Dapato.CCTQ!tr AVG : Dropper.Generic8.SUQ Panda : Trj/CI.A↑本件のサーバには早めに片付いた方がいいと思います
ドメイン登録情報↓
[Domain Name] FRURU.JP [登録者名] 株式会社 二条丸八 [Registrant] nijomaruhati [Name Server] ns1.dns.ne.jp [Name Server] ns2.dns.ne.jp [Signing Key] [登録年月日] 2010/10/13 [有効期限] 2013/10/31 [状態] Active [最終更新] 2012/12/04 09:48:45 (JST) Contact Information: [公開連絡窓口] [名前] さくらインターネットドメイン登録 [Name] SAKURA Internet Domain Registration [Email] jprs-staff@sakura.ad.jp
IPネットワークの情報↓
inetnum: 59.106.171.0 - 59.106.171.255 netname: SAKURA-NET descr: SAKURA Internet Inc. country: JP admin-c: KT749JP tech-c: KW419JP
感染原因可能性について、
Wordpressログインパネルのbrute WordPressの脆弱性がある 管理者のウェブパネルログイン情報が漏れた
0 件のコメント:
コメントを投稿