木曜日, 6月 24, 2010

マルウェアJavaScriptについて(その3)

※本件のブログ内容は「マルウェアJavaScriptについて」その1その2のつづきです。
今回本格的な話ですが、つい最近、6月19日から沢山JavaScriptマルウェアメールを発見されました。6月20日と21日にJavaScriptマルウェアメールの数はピーク状態になります。殆ど20日から様々なマルウェア対策メールフィルターソフト製品は対応が出来て22日から段々と下がります。

上記はK-SHIELDメールフィルターアプライアンスの6月中のウイルスレポート結果ですが、二つ種類JavaScriptマルウェアが流行りましたと確認が出来ます。
1) 「Redirector」JavaScriptマルウェア
(Trojan.JS.Redirector/TROJ_JSREDIR/JS_REDIR/Trojan:JS/Redirector)
2) ダウンローダーJavaScriptマルウェア
(Trojan-Dropper / Trojan-Downloader.JS /「JS/Dldr.xxx」)

下記詳細なサンプル調査説明になります↓

1)「Redirector」JavaScriptマルウェア

最近メールトラフィックの中に一番沢山発見されたのはRedirectorのjavascriptマルウェアです。本件の新種類はトロイの機能も持っているので「Trojan.JS.Redirector.dz」 (Kaspersky経由のウイルス名)」のマルウェア名になった。見つけたサンプルファイルを他のマルウェア対策メーカー製品に確認(スキャン)したら色んなマルウェア名の結果が出てきました↓
・Trojan-Dropper [Ikarus]
・Mal/Generic-L [Sophos]
・Email-Worm.Ackantta [PCTools]
・など
本件のjavascriptマルウェアはhtml/pdfファイルをメールに添付されております。目的はファイルを開くとjavascriptを起動されて、他のページに転送すると。javascriptマルウェアの転送先サイトはまた別のマルウェアが発見されましたので、確認が出来ましたのは下記のマルウェアページです↓
・Trojan-Dropper.Microjoiner
・Trojan-Spy.Zbot.YETH
・Mal/CryptBox-xxx [Sophos]
・Trojan-Dropper [Ikarus]
上記のマルウェアサイトのサンプルを調査したら結果は「SPAM-BOT」ですが、詳細なレポートは下記のように↓
* Submission received: 18 June 2010, 00:58:24
* Processing time: 7 min 9 sec
* Submitted sample:
o File MD5: 0x4BDA705961BD17C68C879AE99F6CD955
o File SHA-1: 0x512BC716C186F67E8541A253CD256604ABA849AF
o Filesize: 441,856 bytes
---動き方----
Produces outbound traffic.
Communication with a remote SMTP server and sending out email.
Creates a startup registry entry.
Contains characteristics of an identified security risk.
---マルウェア種類------
A malicious trojan horse or bot that may represent security risk for the compromised system and/or its network environment
----感染されるファイル情報-----
%AppData%\SystemProc
%ProgramFiles%\Mozilla Firefox
%ProgramFiles%\Mozilla Firefox\extensions
%ProgramFiles%\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}
%ProgramFiles%\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}\chrome
%ProgramFiles%\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}\chrome\content
----ネットワーク動き情報------
Remote Host Port Number
facebookmail.com 25
136.248.126.131 25
216.32.180.22 25
-----パケットキャップチャー情報------
00000000 | 4548 4C4F 2068 616C 6C6D 6172 6B2E 636F | EHLO hallmark.co
00000010 | 6D0D 0A45 484C 4F20 7477 6974 7465 722E | m..EHLO twitter.
00000020 | 636F 6D0D 0A | com..
------以上--------


2) ダウンローダーJavaScriptマルウェア

本件のJavaScriptが結構昨年から見つかりました。6月20日から2つ種類が良く流行っています「Trojan-Downloader.JS.Pegel.g」と「Trojan-Downloader.JS.Pegel.bc」です。「Trojan-Downloader.JS.Pegel.g」を詳しく説明します。このウイルス名はkaspersky経由のウイルス名ですが、他のウイルス対策ベンダーの名前は下記となります。
Troj/JSRedir-AU (Sophos)
Troj/JSRedir-AR (Sophos)
JS.Redirector.based.2 (DrWeb)
JS.Redirector.based.1 (DrWeb)
JS/TrojanDownloader.Agent.NSA trojan (Nod32)
JS.Redirector.Gen (VirusBuster)
JS:Illredir-U [Trj] (AVAST)
JS:Illredir-Y [Trj] (AVAST)
JS:Illredir-N [Trj] (AVAST)
JS:Illredir-K [Trj] (AVAST)
JS/Pegel.f.4343 (AVIRA)
Trojan-Downloader.JS.Pegel.g [AVP] (FSecure)
JS_ONLOAD.SMC (TrendMicro)
JS_ONLOAD.SMD (TrendMicro)
Trojan.JS.Redirector.bg (v) (Sunbelt)
JS.Redirector.Gen (VirusBusterBeta)


本件マルウェアに感染されたHTMLページの見た目は下記のコード・スナップショットです↓

※上記の画像のマルウェアコードは前のサイトから新しいマルウェアページに転送されるとの意味です。

実は本件のトロイダウンローダーjavascriptの感染仕方は二つがあり
1)感染されたホームページのHTMLページにを追加する、この件はウェブアクセスで感染仕組みが動いております。
2)javascriptファイルのダウンロード、これだとメールに添付された仕組みとなります。

どんな形のコードでしょうか?例えば感染されたHTMLを見たら、下記はマルウェアコードのスナップショットです↓

上記のコードの右側を見たら下記のfunctionが書いてあります↓
var Y=F(’89910918991021′,”129″)

「 F() 」の目的はstringの切替の為にです。Perlコードで同じ動きを書くとこんな感じです↓
while (<>){
if (/F\('([a-zA-Z0-9]+)'\s*,\s*"([a-zA-Z0-9]+)"/) {
my $one = $1;
my $two = $2;
$one =~ s/[$two]/g;
print $one . "\n";
} }
それと、上記の「w」のvariableはマルウェアサイトの情報となります。

メールに添付されたjavascriptは殆どボットネットから送ってくれたのケースが多いです。但しマルウェアHTMLページですと盗まれたFTPアカウントからです。

credit: Sophos, Kaspersky, BitDefender, K-SHIELD, ケイエルジェイテック

---
http://0day.jp
マルウェアリサーチ
アドリアン・ヘンドリック

0 件のコメント:

コメントを投稿