日曜日, 6月 20, 2010

【マルウェア情報】日本国内のメールに添付されたマルウェアのレポート(5月)


今回日本国内にある2台ハニーサーバからの5月のマルウェアメールの情報がやっと出来上がりました。サーバは関西、関東に用意しました。メールフィルター製品は「K-SHIELD」メールセキュリティフィルターアプライアンスを使っております。
5月のメール通を見たらマルウェアメールは~2.5%となりますが、4月と比べたらパーセンテージが少し下がりましたがメールトラフィック事態に増えて着ましたのでマルウェアメール通的には増えました。
上記の画像を見ながら5月には注意しなきゃ行け無いマルウェア情報は下記の一覧5件となります。以下説明します。さらに「Exploit.Win32.Pidief.dcd」、「Packed.Win32.Katusha.l」、「Trojan-spy.HTML.Fraud.gen」、「Trojan.Win32.FakeAV.xx」のマルウェア情報について先月のブログ内容に説明しました。現在迄情報は変わらないので、こちらへご覧下さい
1)KRAP
Dropper/Malware.52736.AD [AhnLab]
Packed.Win32.Krap.an [Kaspersky Lab]
Mal/EncPk-NS, Mal/FakeAV-BW, Mal/FakeAV-BW [Sophos]
Packed.Win32.Krap [Ikarus]

【background】
本件のマルウェアは偽(Fake)マルウェア警告ソフト/scarewareです。

【マルウェア仕組み】

このマルウェアが入ってしまったら、セキュリティ警告の関係registry情報を追加/変更されてます。目的は詐欺です。先ずはトロイの形でPCに入ってしまいます、このトロイはジェネリック種類トロイですが入ってしまったらセキュリティ警告のバイナリープログラム(scareware)をダウンロードさてます。scarewareをインストールされたら沢山ウイルス感染された警告pop-upウィンドーが出て、ユーザが偽ウイルス対策ソフトのダウンロードページにおすすめされてます。本件のscarewareのファイル形はPE_Patch.UPX形式ファイルです。

【ファイル名】
%System%\41.exe (0byte)
%System%\ES15.exe (0byte)
%System%\helpers32.dll (0byte)
%System%\smss32.exeと
%System%\winlogon32.exe(合計52,736bytes)
%System%\warnings.html (4,278bytes)

【プロセス名】
smss32.exe %System%\smss32.exe 139,264 bytes
↑若しくは↓
winlogon32.exe %System%\winlogon32.exe 139,264 bytes

【registry】
下記のregistry情報を追加されます↓
o HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\PhishingFilter
o HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\buy-security-essentials.com
o HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\get-key-se10.com
o HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ActiveDesktop
o HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
o HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\PhishingFilter
o HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\buy-security-essentials.com
o HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\download-soft-package.com
o HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\download-software-package.com
o HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\get-key-se10.com
o HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\is-software-download.com
o HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop
o HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

悪戯設定は2件があり↓
※TaskManagerを起動が出来ないように下記のregistryバリューを変更された↓
o [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
+ DisableTaskMgr = 0x00000001
※それで、OS起動の時にsmss32.exe も起動する形になります↓
o [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
+ smss32.exe = "%System%\smss32.exe"

【サンプルスキャンリファレンス】

2)VBKRYPT
Trojan.Sasfis [PCTools]
Trojan.Sasfis [Symantec]
Trojan.Win32.VBKrypt.xx [Kaspersky Lab]
Troj/Bredo-CZ [Sophos]
Trojan:Win32/Meredrop [Microsoft]
Win-Trojan/Vbcrypt.34816 [AhnLab]

【background】
本件のマルウェアはMicrosoftOfficeVBコードのベースのトロイです。
ソースIPを見たら全て100%ロシアからのメールルートです。

【マルウェア仕組み】
Trojan.Win32.VBKrypt.xxx又はTrojan.Sasfisは海外文書のスパムメールに結構添付されております。
添付されたファイルの形は「Contract.zip」のZIPファイルですのでアーカイブの中にはマルウェアファイル「contract___doc____.exe」が入ってます。スパムメール文書のサンプルは下記となります↓↓
ーーーーーここからーーーーー
Dear ladies and gentlemen,
We have prepared a contract and added the paragraphs that you wanted to see in it.
Our lawyers made alterations on the last page. If you agree with all the provisions we are ready to make the payment on Friday for the first consignment.
We are enclosing the file with the prepared contract.
If necessary, we can send it by fax.
Looking forward to your decision.
"Young Lockett
ーーーーここまでーーーーーーー
もし添付されたEXEファイルをクリックしてしまうとシステムにマルウェアファイルをコピーされてWindowsのregistryを変更されて次の起動する時にこのマルウェアを起動されます。
起動されたらインターネットから色々マルウェアファイルをダウンロードされます(詰り:VirTool:Win32/VBInject.FO, Win32/Oficla.GN, Trj/Downloader.XOV, Mal/Koobface-E, Trojan.Sasfis)

【ファイル名】
%Temp%\1.tmp (ワードファイルですが、このファイルをクリックしてしまうと感染仕組みが始めます)
%System%\dllcache\ndis.sys(これはトロイのバイナリー)

【process情報】
svchost.exe %System%\svchost.exe 5,124,096 bytes

【registry】
下記のregistryを追加されます↓
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\idid
* url1 = 68 74 74 70 3A 2F 2F 6C 65 65 69 74 70 6F 62 62 6F 64 2E 72 75 2F 69 6D 61 67 65 2F 62 62 2E 70 68 70 00 52 51 91 7C A0 10 08 00 08 00 15 C0 78 E8 07 00 C0 1F 1A 00 FC 1F 1A 00 50 E8 07 00 7D 5D 91 7C B0 1F 1A 00 40 CE 97 7C B4 5D 91 7C 42 CE 97 7C 4
* url2 = 68 74 74 70 3A 2F 2F 6C 6F 6C 6F 6F 68 75 69 6C 64 69 66 73 64 2E 72 75 2F 69 6D 61 67 65 2F 62 62 2E 70 68 70 00 02 00 00 00 01 00 00 00 00 00 00 00 00 00 00 00 2C 03 00 00 D8 E6 07 00 F1 5A 91 7C 03 00 00 01 00 00 00 00 A0 10 08 00 9C E6 07 00 38 E
* url3 = 68 74 74 70 3A 2F 2F 6E 65 6D 6F 68 75 69 6C 64 69 66 73 64 2E 72 75 2F 69 6D 61 67 65 2F 62 62 2E 70 68 70 00 00 00 00 00 78 E7 07 00 CC E6 07 00 AC E6 07 00 A4 67 91 7C 04 E7 07 00 00 00 00 00 18 00 1A 00 1C E8 07 00 74 C1 97 7C 00 00 00 00 DC E6 0
* url4 = 00 E7 07 00 40 E8 07 00 00 5A 91 7C 2C E7 07 00 00 00 00 00 1C E9 07 00 65 5A 91 7C 5C E9 07 00 74 C1 97 7C 00 00 00 00 00 00 00 00 6C E9 07 00 80 E8 07 00 00 00 00 00 E0 E8 07 00 00 00 00 00 00 00 00 00 B8 2E 0A 00 84 E7 07 00 22 02 FB 7F 00 01 00 0
HKEY_LOCAL_MACHINE\SOFTWARE\AGProtect

【ネットワーク】
Windows registryに書いたURLに繋ぎますので下記のIPとポート番号となります↓
193.105.174.108 80
59.53.91.195 80
67.215.250.146 80
199.239.254.18 25
204.93.169.124 25
209.85.227.27 25
213.205.33.247 25
62.211.72.32 25
64.34.180.29 25
64.59.134.8 25
65.54.188.72 25
66.94.236.34 25
74.125.148.10 25
212.95.32.15 21131
↑上記のURLを調査したら下記のサイトに繋ぐ状況確認が取りました↓
http://hulejsoops.ru/images/bb.php?v=200&id=653227819&b=build_20&tm=1
http://hulejsoops.ru/images/bb.php?v=200&id=653227819&tid=11&b=build_20&r=1&tm=1
http://www.russianmomds.ru/loader.exe

【サンプル・リファレンス】


3)Zeus/Zbotトロイダウンローダー
Trojan.Gen [Symantec]
Trojan-Downloader.Win32.Agent.dlhe [Kaspersky Lab]
Mal/Generic-L [Sophos]
Win-Trojan/Zbot.26624.C [AhnLab]
Downloader.Generic [PCTools]
Mal/FakeAV-BW, Mal/FakeAV-BW [Sophos]

【background】
基本的にトロイエージェントです。
形的にはメールにPE_Patch.UPX形式で添付されてます。
ソースのIPを見たらこのメールは殆どボットネットネットワークから投げてくれまして、恐らくZeus/Zbotのボットネットです、IPルートを見たらロシアと中国から送ってくれました。

【マルウェア仕組み】
このトロイはユーザーのIEブラウザ組み込んで全てユーザーのインターネット履歴情報と個人情報を取る事は目的です、この目的の為にIEの裏側設定を変更されてます。それともこのトロイにインターネット側からのマルウェアファイルをダウンロードされてます。ダウンロードされた物は殆ど偽(fake)アンチウイルス/アンチマルウェアソフトです。

【ファイル名】
このトロイに感染されたら下記のファイルをWindowsシステムにコピーされております↓
%System%\reader_s.exe
%Temp%\infected\reader_s.exe
%Temp%\windows\system32\reader_s.exe
%UserProfile%\reader_s.exe
※本件マルウェアはPolimorphic機能が持っていますが「reader_s.exe」のファイル名とサイズは変わる可能性が高いです
※「reader_s.exe」の添付ファイルは96%可能性がマルウェアファイルです。

【process情報】
reader_s.exe %System%\reader_s.exe 49,152 bytes
reader_s.exe %UserProfile%\reader_s.exe 49,152 bytes

【registry】
下記の情報をwindows registryに追加されてます、目的はシステムを起動する時にreader.exeのプロセスも起動されます。
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
* reader_s = "%System%\reader_s.exe"
# [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
* reader_s = "%UserProfile%\reader_s.exe"

【ネットワーク】
下記のIPとポート番号に繋ぎます
218.61.7.9 80
61.158.167.59 80
221.230.2.208 80
61.158.167.52 80
60.191.254.235 80
216.245.219.194 80
69.162.86.210 80
69.162.68.250 80
↑下記のIP情報は上記のIDCに向いてます
halyptt.net.cn.(中国)
limestonenetworks.com(USのIDC)

【サンプルスキャンリファレンス】


株式会社ケイエルジェイテック
http://www.kljtech.com
ウイルスモニターセンター

0 件のコメント:

コメントを投稿