本件の情報は以前報告した事件と同じ感染されたマシン情報となります。
下記のURLにトロイ木馬ニセAutoCADマルウェアが発見されました↓
hxxp://61.44.34.145/xd/int/vel19.rar
hxxp://145.34.44.61.ap.yournet.ne.jp/xd/int/vel19.rar
Reported : Sun Nov 06 16:43:00 JST 2011
Analysis : Sun Nov 07 12:23:00 JST 2011
Disclosure: Thu Nov 10 14:10:11 JST 2011現時点では上記のマルウェアがアップされている状況ですので、危険ですので、ご注意下さい。証拠は下記となります↓
$date
Thu Nov 10 14:10:11 JST 2011
--14:17:57-- hxxp://61.44.34.145/xd/int/vel19.rar
=> `vel19.rar'
Connecting to 61.44.34.145:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 73,728 (72K) [application/octet-stream]
100%[====================================>] 73,728 467.53K/s
14:17:57 (465.91 KB/s) - `vel19.rar' saved [73728/73728]
--14:18:06-- hxxp://145.34.44.61.ap.yournet.ne.jp/xd/int/vel19.rar
=> `vel19.rar.1'
Resolving 145.34.44.61.ap.yournet.ne.jp... 61.44.34.145
Connecting to 145.34.44.61.ap.yournet.ne.jp|61.44.34.145|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 73,728 (72K) [application/octet-stream]
100%[====================================>] 73,728 427.64K/s
14:18:06 (425.33 KB/s) - `vel19.rar.1' saved [73728/73728]ダウンロードされたら、マルウェアのファイルが下記の形となります↓
感染されたマシンのネットワーク情報は日本国内にあるIDC(データセンター)ですが詳細情報は下記となります↓
IP ADDRESS...: 61.44.34.145
ASN..........: 10013
PREFIX.......: 61.44.0.0/17
ASName.......: FBDC
Country......: JP
ISP Name.....: FREEBIT.COM
ISP Description: FREEBIT CO. LTD
inetnum......: 61.44.0.0 - 61.44.127.255
netname......: FBDC
descr........: FreeBit Co.,Ltd.
descr........: 13F E.Space Tower 3-6 Maruyama-cho,
descr........: Shibuya-ku,Tokyo,Japan
country......: JP
admin-c......: JNIC1-AP
tech-c.......: JNIC1-AP
status.......: ALLOCATED PORTABLE
remarks......: Email address forabuse complaints : opinion@FreeBit.NET
mnt-by.......: MAINT-JPNIC
mnt-lower....: MAINT-JPNIC
changed......: hm-changed@apnic.net 20030926
source.......: APNIC Geoロケーションの地図:
マルウェア情報↓
詳細調査結果は英語でこのURLへ書きましたが、下記マルウェアの全体的な動きの説明となります↓
・見た目はRARアーカイブファイルですが実はマルウェアDLLファイルです。
・アーカイブを実行されたらAutoCADのニセファイルをPCに保存されて
・メモリで「dll_analysis.exe」のマルウェアプロセス(303104 Bytes/ MD5:9a8657a61daeafd7053017103ab53cd6)を実行されてAutoCAD DLLファイル「acdb17.dll」をロードする動きがると確認しました
・「acdb17.dll」がロードされたらマルウェア感染仕組みが続きますが、「acdb17.dll」が無かったら感染仕組みが止まれます。
・そして「dll_analysis.exe」が「vel19.rar」を「C:\Program Files\Common Files\d1.tmp.dll」へコピーし
・「d1.tmp.dll」が「regsvr32.exe /c /s .\d1.tmp.dll」のコマンドでロードされています。下記のアドレス情報でメモリへロードされています。
・下記のマルウェアモジュールがメモリの中に発見されました↓
WININET.dll、acdb17.dll、MFC80.DLL、MSVCR80.dll
↑親プロセスは「dll_analysis.exe」のマルウェアとなります。
・Windowsのレジストリーファイルを変更する動きが発見(再起動したらマルウェアが自動実行されます)
・インターネット繋ぎ動きがコードの中に発見されました。
・見た目はRARアーカイブファイルですが実はマルウェアDLLファイルです。
・アーカイブを実行されたらAutoCADのニセファイルをPCに保存されて
・メモリで「dll_analysis.exe」のマルウェアプロセス(303104 Bytes/ MD5:9a8657a61daeafd7053017103ab53cd6)を実行されてAutoCAD DLLファイル「acdb17.dll」をロードする動きがると確認しました
・「acdb17.dll」がロードされたらマルウェア感染仕組みが続きますが、「acdb17.dll」が無かったら感染仕組みが止まれます。
・そして「dll_analysis.exe」が「vel19.rar」を「C:\Program Files\Common Files\d1.tmp.dll」へコピーし
・「d1.tmp.dll」が「regsvr32.exe /c /s .\d1.tmp.dll」のコマンドでロードされています。下記のアドレス情報でメモリへロードされています。
acrxEntryPoint at 0x100015e0
dll entry point at 0x10007e6e
acrxGetApiVersion at 0x100083e0
dll entry point at 0x10007e6e
acrxGetApiVersion at 0x100083e0
・下記のマルウェアモジュールがメモリの中に発見されました↓
WININET.dll、acdb17.dll、MFC80.DLL、MSVCR80.dll
↑親プロセスは「dll_analysis.exe」のマルウェアとなります。
・Windowsのレジストリーファイルを変更する動きが発見(再起動したらマルウェアが自動実行されます)
・インターネット繋ぎ動きがコードの中に発見されました。
OriginalFirstThunk: 0xC540
Characteristics: 0xC540
TimeDateStamp: 0x0 [Thu Jan 01 00:00:00 1970 UTC]
ForwarderChain: 0x0
Name: 0xD036
FirstThunk: 0xA434
===> WININET.dll.InternetOpenA Hint[146]
===> WININET.dll.InternetOpenUrlA Hint[147]
===> WININET.dll.InternetCloseHandle Hint[105]
===> WININET.dll.FindFirstUrlCacheEntryA Hint[20]
===> WININET.dll.DeleteUrlCacheEntry Hint[11]
===> WININET.dll.FindNextUrlCacheEntryA Hint[27]
Characteristics: 0xC540
TimeDateStamp: 0x0 [Thu Jan 01 00:00:00 1970 UTC]
ForwarderChain: 0x0
Name: 0xD036
FirstThunk: 0xA434
===> WININET.dll.InternetOpenA Hint[146]
===> WININET.dll.InternetOpenUrlA Hint[147]
===> WININET.dll.InternetCloseHandle Hint[105]
===> WININET.dll.FindFirstUrlCacheEntryA Hint[20]
===> WININET.dll.DeleteUrlCacheEntry Hint[11]
===> WININET.dll.FindNextUrlCacheEntryA Hint[27]
マルウェアスキャン証拠↓
----
ゼロデイ・ジャパン
http://0day.jp
マルウェア研究所
アドリアン・ヘンドリック
Sponsored by: 株式会社ケイエルジェイテック
Tweet
0 件のコメント:
コメントを投稿