木曜日, 11月 03, 2011

【マルウェア警告】トロイ・ドロッパー「Pincav」マルウェアがFreeBit IDCのネットワークに発見!【対応中】


トロイ・ドロッパー「Pincav」のマルウェアがFreeBit IDCのネットワークに発見されました。マルウェアを早く削除した欲しいですね。

本マルウェアが下記のURLに発見しました↓
hxxp://61.44.34.145/xd/vct/set.rar

ネットワーク確認情報は下記となります↓
IP ADDR: 61.44.34.145
ASN: 10013
SEG: 61.44.0.0/17
AS: FBDC
Country: JP
ISP / Desc: FREEBIT.COM/FREEBIT CO. LTD
inetnum: 61.44.0.0 - 61.44.127.255
netname: FBDC
descr: FreeBit Co.,Ltd.
descr: 13F E.Space Tower 3-6 Maruyama-cho,
descr: Shibuya-ku,Tokyo,Japan
country: JP
admin-c: JNIC1-AP
tech-c: JNIC1-AP
status: ALLOCATED PORTABLE
remarks: Email address for spam or abuse complaints : opinion@FreeBit.NET
mnt-by: MAINT-JPNIC
mnt-lower: MAINT-JPNIC
changed: hm-changed@apnic.net 20030926
source: APNIC

現在マルウェアファイルがアップされている状況で危険です。下記は証拠です↓
Thu Nov  3 18:36:39 JST 2011
--18:48:09-- hxxp://61.44.34.145/xd/vct/set.rar
=> `set.rar'
Connecting to 61.44.34.145:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 28,672 (28K) [application/octet-stream]
100%[====================================>] 28,672 --.--K/s
18:48:09 (453.16 KB/s) - `set.rar' saved [28672/28672]

ダウンロードしたファイルを見たら、実はトロイですが、rarの拡張子を使われています。このファイルの中身は3つマルウェア設定ファイルを発見しました。
形は下記となります↓

ファイル情報の一覧を見たらこんな感じとなります↓(注意点は日付け)
-rwx------     4,096 May 27  2010 .data*
-rwx------ 4,096 May 27 2010 .rdata*
-rwx------ 16,384 May 27 2010 .text*

マルウェアの説明↓
先ずは設定ファイルをPCにコピーしデータをロードされます。パソコンのレジストリーを追加されます。PCに新しい疑わしいなプロセスが出てきます。目的は不明です。ネットワークやり取りはありません。
私の詳しい調査結果は下記のURLに書きましたので(2ページの最後のコメントを読んで下さい)、URLは下記となります。
http://www.virustotal.com/file-scan/report.html?id=50cc09617912edf3a5077fb09fe540803e6c467a7bff6417bc41d02d60c39d76-1320314275

↑現状では本マルウェアの検知が出来ましたので、下記のマルウェア名↓
VT [29/43] (67.4%)
Win-Trojan/Pincav.28672.AV
TR/Pincav.agsd
Trojan/Win32.Pincav.gen
Backdoor.Generic.519129
TrojWare.Win32.Agent.~jdw
Win32.HLLW.Riplip.94
Trojan.Win32.Pincav!IK
Backdoor.Generic.519129
W32/Pincav.AGSD!tr
Backdoor.Generic.519129
Trojan.Win32.Pincav
Trojan/Pincav.ijv
Trojan
Trojan.Win32.Pincav.agsd
Generic.dx!vjc
Generic.dx!vjc
Trojan:Win32/Orsam!rts
W32/Suspicious_Gen2.JUTGB
Trojan/W32.Pincav.28672.T
Trojan.Gen
Trojan.Win32.Generic.1263FE7B
Mal/Generic-L
Trojan.Gen
Trojan/Pincav.agsd
TROJ_PINCAV.FJ
TROJ_PINCAV.FJ
Trojan.Pincav.agsd
Trojan.Win32.Generic!BT
Trojan.Pincav!i+e8uwmp1Hw

----
ゼロデイ・ジャパン
http://0day.jp
マルウェア研究所
アドリアン・ヘンドリック
Sponsored by: 株式会社ケイエルジェイテック

0 件のコメント:

コメントを投稿