月曜日, 5月 03, 2010

【マルウェア情報】日本国内のメールに添付されたマルウェアのレポート(4月)


日本国内にある3台ニーポットサーバからの4月のマルウェアメールの情報が出来上がりました。サーバは関西、関東と東北で用意しました。4月のメール通を見たらマルウェアメールは2%~3%となりますが、3月と比べたら数が少し下がりました。
上記のレポート画像を見ながら4月には注意しなきゃ行け無いマルウェア情報は下記の一覧4件となります。以下説明します。
1.「Exploit.Win32.Pidief.dcd」
2.「Packed.Win32.Katusha.l」
3.「Trojan-spy.HTML.Fraud.gen」
4.「Trojan.Win32.FakeAV.xx」

説明はこちら↓

1.「Exploit.Win32.Pidief.dcd


このトロイや非常に危険です、ZBOT/ZeuSボットネットよりマルウェアPDF仕組み影響がやっと日本に来ました。

■その他ウイルス名前
Troj/PDFJs-GK [Sophos]・Exploit.Win32.Pidief [Ikarus]
■サンプル情報
MD5: 0x145282E5297DE302D7F8F337B8F02355
SHA-1: 0x286AEEFF07D5EF1A0D43C40B46D04D8B4FB656E3
サイズ: 色々
■いくつかウイルススキャン結果
Exploit.Win32.Pidief.dcd [Kaspersky Lab]
Troj/PDFJs-GK [Sophos]
Exploit.Win32.Pidief [Ikarus]
■マルウェア動きは
インターネットにSMTPでメールを送る
ステルス(stealth)モード/トランスパレントモード、rootkitよく使う機能
セキュリティサイトのアクセスをブロックする
インターネットからのファイルをダウンロードする
レジストリーでマルウェア起動項目を追加する
32ビットDLLには登録する
Zbotののトロイ機能が全て入っています、スパイウェア、ブラウザーの情報盗む事、など
■見た目の動きは
基本的にはトロイ木馬マルウェアですので、裏で動いて、インターネットに繋ぐように色々動いてます。
このサンプルは完全にZeuSボットネット/Zbotトロイです、沢山機能が入ってます。
リモートアクセスが取る事、情報盗む事とメールで他のユーザーに感染する事が目的です。
■変更されたシステムファイル
%Temp%\dOxyd6M9XyvM1YXkupd.pdf
%Windir%\245969pa5botz1.bin
%Windir%\241659zcktool580.exe
%CommonPrograms%\APcSafe\2 Homepage.lnk MD5: 0xD96A2BD4A60A66491A22E46B4F2EFB72
%CommonPrograms%\APcSafe\3 Uninstall.lnk MD5: 0x381DE87E7693C9AEF3C11FF17967860C
%AppData%\Adobe\Update\dxloc.exe MD5: 0x1465C8476AF1FF317CC91CDC764824AE
%AppData%\Adobe\Update\widtray.dat MD5: 0xD9F3A6D4DBEB9AEE9DF0558FC5C7DDA6
%Temp%\nsi4.tmp\nsProcess.dll
※レジストリーに変更情報が沢山あり今回出しません。

■変更されたメモリー情報
[マルウェアファイル名#1][マルウェアファイル名#1のpath/directory#1][225,280 bytes]
----------------------------------------------
ファイル名前 パース サイズ
----------------------------------------------
「71.exe」 「%Temp%\71.exe」94,208 bytes
「setup.exe」 「%Temp%\setup.exe」N/A
----------------------------------------------
sandboxで試して見たら下記のプロセスが立ち上がちゃいます↓
----------------------------------------------
services.exe %System%\services.exe 122,880 bytes
lsass.exe %System%\lsass.exe 122,880 bytes
svchost.exe %System%\svchost.exe 122,880 bytes
svchost.exe %System%\svchost.exe 122,880 bytes
svchost.exe %System%\svchost.exe 122,880 bytes
svchost.exe %System%\svchost.exe 122,880 bytes
svchost.exe %System%\svchost.exe 122,880 bytes
alg.exe %System%\alg.exe 122,880 bytes
explorer.exe %Windir%\explorer.exe 73,728 bytes
svchost.exe %System%\svchost.exe 114,688 bytes
svchost.exe %System%\svchost.exe 122,880 bytes
svchost.exe %System%\svchost.exe 122,880 bytes
svchost.exe %System%\svchost.exe 122,880 bytes
dxloc.exe %AppData%\adobe\update\dxloc.exe 122,880 bytes
dxloc.exe %AppData%\adobe\update\dxloc.exe 114,688 bytes
IEXPLORE.EXE %ProgramFiles%\internet explorer\iexplore.exe 122,880 bytes
dxloc.exe %AppData%\adobe\update\dxloc.exe 122,880 bytes
dxloc.exe %AppData%\adobe\update\dxloc.exe 45,056 bytes
dxloc.exe %AppData%\adobe\update\dxloc.exe 114,688 bytes
wmiadap.exe \\?\%System%\wbem\wmiadap.exe 122,880 bytes
wmiadap.exe \\?\%System%\wbem\wmiadap.exe 45,056 bytes
cmd.exe %System%\cmd.exe 122,880 bytes
cmd.exe %System%\cmd.exe 45,056 bytes
cmd.exe %System%\cmd.exe 24,576 bytes
cmd.exe %System%\cmd.exe 77,824 bytes
cmd.exe %System%\cmd.exe 159,744 bytes
cmd.exe %System%\cmd.exe 49,152 bytes
cmd.exe %System%\cmd.exe 204,800 bytes
cmd.exe %System%\cmd.exe 114,688 bytes
wmiprvse.exe %System%\wbem\wmiprvse.exe 122,880 bytes
wmiprvse.exe %System%\wbem\wmiprvse.exe 45,056 bytes
wmiprvse.exe %System%\wbem\wmiprvse.exe 24,576 bytes
wmiprvse.exe %System%\wbem\wmiprvse.exe 77,824 bytes
wmiprvse.exe %System%\wbem\wmiprvse.exe 159,744 bytes
wmiprvse.exe %System%\wbem\wmiprvse.exe 49,152 bytes
wmiprvse.exe %System%\wbem\wmiprvse.exe 204,800 byte

■ネットワーキング
下記のIPとポート番号に接続動きが発見
115.100.250.81 80
174.142.51.11 80
212.150.147.46 80
222.186.23.106 80
58.23.64.240 80
61.135.188.221 80
61.152.114.166 80
74.125.65.164 80
88.86.103.242 80
93.190.141.103 80
222.186.23.106 8812

下記のURLにアクセス動きが発見
http://115.100.250.81/us/orders.xls
http://115.100.250.81/ie.php
http://newbrsnd.com/k.php
http://www.1155.cc/css/sd_1.css
http://www.1155.cc/css/style.css
http://www.1155.cc/css/funb.js
http://www.1155.cc/js/box.js
http://www.1155.cc/logo.gif
http://www.1155.cc/top1.js
http://www.1155.cc/tq2.htm
http://www.1155.cc/i/topbg01.gif
http://www.1155.cc/soimg/googlelogo.gif
http://www.1155.cc/images/tags.gif
http://www.1155.cc/images/tags4.gif
http://www.1155.cc/images/ico_blue.gif
http://www.1155.cc/images/search4.gif
http://www.1155.cc/hot_key.png
http://www.1155.cc/img/tq.gif
http://www.1155.cc/images/gl_tb.gif
http://www.1155.cc/soimg/logo_mp3.gif
http://www.1155.cc/soimg/logo_pic.gif
http://www.1155.cc/images/ssan.gif
http://www.1155.cc/
http://www.fjgqw.com:8812/addinss/asp/tick.asp
http://www.fjgqw.com:8812/addinss/asp/post.ASP?InstallID=71&InstallMacAddress=00-0C-29-7C-9D-7C&ver=1.0w
http://www.fjgqw.com:8812/addinss/asp/post.ASP?InstallID=71&InstallMacAddress=00-0C-29-7C-9D-7C&ver=1.0
http://dairanet.cn/origami/page.php?n=query&link=5FB00325379C188F&uid=0&query=index&key=a0&id=title&page=us
http://pbd.sogou.com/js/bd2.js
http://www.5566.net/tq2.htm
http://pagead.l.google.com//pagead/show_sdo.js
http://aniforce.ic.cz/r/data/000.exe
http://pagead2.googlesyndication.com/pagead/show_sdo.js
http://dallynews.cn/myl/bb.php?v=200&id=738176301&b=002&tm=3
http://dallynews.cn/myl/bb.php?v=200&id=738176301&b=002&tm=2
http://dallynews.cn/myl/bb.php?v=200&id=738176301&tid=24&b=002&r=1&tm=2
http://115.100.250.81/ip.php
■尚且つURLtoMAPPINGでホスト情報変更が発見
85.13.206.114 uuu20091124.info
85.13.206.114 u07012010u.com

■ソースIP
確認したら殆ど「ロシア」と「Ukraine」国からメールが来ました。

「Packed.Win32.Katusha.l」


■その他マルウェア名
Mal/FakeAV-DH [Sophos]
■サンプル情報
MD5: 0x7279C1D4B306B645DF74C479172BF8F7
SHA-1: 0xF7400CC7CC1A4F68BF05CA72EC68B410E63C66CA
サイズ: 159,232 bytes
■いくつかウイルススキャン結果
* Packed.Win32.Katusha.l [Kaspersky Lab]
* Mal/FakeAV-DH [Sophos]
* Packed.Win32.Katusha [Ikarus]
■マルウェアの動きは
インターネットに繋げてその他ファイルをダウンロードする
Windowsのレジストリーに起動項目を追加する
個人情報を取ると外に送る動きが発見、スパイウェア機能が入ってる
■見た目の動きは
感染されたパソコンに偽ポップアップ警告画面が出ます、メッセージは「あなたのパソコンがスパイウェアに感染されました」みたいなメッセージ(殆ど英語だけど、日本語サンプルも見つけたのは聞いてた)、これをクリックすると偽ウイルス対策サイトに飛ばせてしまい、個人データを取られ、その他マルウェアもダウンロードされてしまう状況となります。

■変更されたシステムファイル
・本件のバイナリーのpath
・%Windir%\Tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job
[細かいregistryに変更や追加データが長いので今回出しません]

■変更されたメモリー情報
[マルウェアファイル名#1][マルウェアファイル名#1のpath/directory#1][225,280 bytes]

■ネットワーキング
「64.191.82.25」のIPアドレスと80番ポートで外に繋ぎます。
http://allxt.com/borders.phpにアクセス動きが発見
■ソースIP
ばらばらですがアメリカからのサンプルが多いです。

3.「Trojan-spy.HTML.Fraud.gen」


■その他マルウェア名
Infostealer.Banker.C [Symantec]
VirTool:Win32/DelfInject.gen!AM [Microsoft]
■サンプル情報
MD5: 0xD715D2D152A5233B01B167F34AF10C4B
SHA-1: 0x17792FDC74D45D0A8F2C59A7C4BD47D43980E0BD
size: 92,672 bytes
■いくつかウイルススキャン結果
Infostealer.Banker.C [Symantec]
VirTool:Win32/DelfInject.gen!AM [Microsoft]
Trojan-spy.HTML.Fraud.gen[Kaspersky]
■マルウェアの動きは
インターネットに繋げてその他ファイルをダウンロードする
Windowsのレジストリーに起動項目を追加する
個人情報を取ると外に送る動きが発見、スパイウェア機能が発見
■見た目の動きは
キーボードの動きを記録される、外にデータを送る、spywarewarningから偽セキュリティ警告を出す。
目的はクレジットカード情報を盗む事です。
■変更されたシステムファイル
[マルウェアバイナリー名]⇒Infostealer.Banker.C [Symantec]、Trojan.Win32.Buzus.khj [Kaspersky Lab]、VirTool:Win32/DelfInject.gen!AM [Microsoft]
%System%\spywarewarning.mht⇒「Trojan-Spy.HTML.Fraud.xx」 [Kaspersky Lab]
%System%\spywarewarning2.mht

■変更されたメモリー情報
[マルウェアファイル名#1][マルウェアファイル名#1のpath/directory#1][147,456 bytes]

■ネットワーキング
「easytoprotect.com」のIPアドレスと80番ポートで外に繋ぎます。
* mrs/?wmid=mrs6
* mrs/index.jpg にアクセス動きが発見

4.「Trojan.Win32.FakeAV.xx」


本件のマルウェア情報的には3月のレポート情報と殆ど同じですので、
只の新しいマイナージェネレーション(違うcompiler又は少し変更)が出たみたいです。
今回は日本語版のは発見しました。

---
株式会社ケイエルジェイテック
http://www.kljtech.com
ウイルスモニターセンター

0 件のコメント:

コメントを投稿