■下記のサイト↓
gisa-japan.org/203.183.242.158
■下記のダウンロードURL/ファイル↓
hxxp://gisa-japan.org/sig/local-gov/1.exe
hxxp://www.gisa-japan.org/sig/local-gov/1.exe
証拠↓
Mon Jan 30 21:36:09 JST 2012
--21:35:35-- hxxp://gisa-japan.org/sig/local-gov/1.exe
=> `1.exe'
Resolving gisa-japan.org... 203.183.242.158
Connecting to gisa-japan.org|203.183.242.158|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 440,576 (430K) [application/octet-stream]
100%[====================================>] 440,576 897.36K/s
21:35:36 (895.77 KB/s) - `1.exe' saved [440576/440576]
■下記のマルウェアを発見しました↓
マルウェア種類:偽セキュリティ・アラート/FakeAV(偽アンチウイルス)
マルウェア名 :FakeSysdef/FakeAlert
マルウェア機能:Spyware、Ransom(システムロック)、ワーム、スパイウェア(Spyware)
説明 :1. 感染されたパソコンの情報を外に送る(Dropper)、
2. 偽アラートが成功した時にパソコンがロックされる可能性がある(Ransom)
3. 周りパソコンに感染する(ワーム)
4. 感染されたPCの情報をリモートサイトに送る(Spyware)
■オンラインスキャン結果↓
Detection ratio: 14 / 43
Analysis date : 2012-01-30 12:41:53 UTC / Mon Jan 30 21:36:09 JST 2012
SHA256 :
1b21d4e5db8c1b4850a2de1c2bae1094c6d8c9a8d67971973352c3684eb30117
http://r.virscan.org/report/6c76d5aed51ff47694c920bf5d18539c.htmlファイル名:1.exe
サイズ :444.3 KB ( 454,912 bytes )
MD5 : 42d58f2ac633da96a50607f45e254f08
First Detected: 2012-01-17 22:54:07 JST by K-PROX
Last Detected: 2012-01-30 21:10:00 JST by K-PROX
アイコンの通り、実行(PE)ファイルですね (実行フラグ@IMAGE_SCN_MEM_WRITEと
IMAGE_SCN_MEM_EXECUTEが設定された)
アイコンとプロパティ:
■ 調査結果 - 本サンプルのあやしい/注意ポイント↓
1. 書いたCRC情報と本当のCRCが違います、書いたのは:468,614、実は:458,857
2. Compile Time: 2012-01-29 15:50:33 ←最近再compileされたマルウェア…
3. Borland Delphi 3.0のcompiler traceを発見
4. あやしいentropi↓
Name: .rdata
Misc: 0x652D4
Misc_PhysicalAddress: 0x652D4
Misc_VirtualSize: 0x652D4
VirtualAddress: 0x5000
SizeOfRawData: 0x65400
PointerToRawData: 0x4000
PointerToRelocations: 0x0
PointerToLinenumbers: 0x0
NumberOfRelocations: 0x0
NumberOfLinenumbers: 0x0
Characteristics: 0x40000040
5. 書いたDLLのコールの中にあやしいコールが沢山発見↓
ADVAPI32.dll.RegCreateKeyExA Hint[351] <---Registryキーを作る
ADVAPI32.dll.RegConnectRegistryA Hint[348]
ADVAPI32.dll.RegQueryValueExA Hint[379]
ADVAPI32.dll.RegCreateKeyA Hint[350] <---Registryキーを作る
ADVAPI32.dll.RegOverridePredefKey Hint[373] <---registryを上書き
KERNEL32.dll.GetStringTypeA Hint[339]
KERNEL32.dll.GetStartupInfoA Hint[336]
KERNEL32.dll.GetProcAddress Hint[318]
KERNEL32.dll.GetModuleHandleA Hint[294]
KERNEL32.dll.GetCommandLineA Hint[202] <---shell/command line..何故?
KERNEL32.dll.GetVersion Hint[372]
KERNEL32.dll.ExitProcess Hint[125]
KERNEL32.dll.TerminateProcess Hint[670]
KERNEL32.dll.GetCurrentProcess Hint[247]
KERNEL32.dll.UnhandledExceptionFilter Hint[685]
KERNEL32.dll.GetModuleFileNameA Hint[292]
KERNEL32.dll.FreeEnvironmentStringsA Hint[178]
KERNEL32.dll.FreeEnvironmentStringsW Hint[179]
KERNEL32.dll.WideCharToMultiByte Hint[722]
KERNEL32.dll.GetEnvironmentStrings Hint[262]
KERNEL32.dll.GetEnvironmentStringsW Hint[264]
KERNEL32.dll.SetLastError Hint[625]
KERNEL32.dll.GetStdHandle Hint[338]
KERNEL32.dll.GetFileType Hint[277]
KERNEL32.dll.GetCurrentThreadId Hint[250]
KERNEL32.dll.TlsSetValue Hint[677] <-----TLS aware...
KERNEL32.dll.TlsAlloc Hint[674] <-----TLS aware...
KERNEL32.dll.GetStringTypeW Hint[342]
KERNEL32.dll.TlsGetValue Hint[676] <------TLS aware...
KERNEL32.dll.GetLastError Hint[282]
KERNEL32.dll.HeapDestroy Hint[413]
KERNEL32.dll.HeapCreate Hint[411] <------DEP Setting changes
KERNEL32.dll.VirtualFree Hint[703]
KERNEL32.dll.HeapFree Hint[415]
KERNEL32.dll.WriteFile Hint[735]
KERNEL32.dll.InitializeCriticalSection Hint[426]
KERNEL32.dll.EnterCriticalSection Hint[102]
KERNEL32.dll.LeaveCriticalSection Hint[449]
KERNEL32.dll.QueryPerformanceCounter Hint[518]
KERNEL32.dll.GetProcessHeap Hint[320]
KERNEL32.dll.GetTickCount Hint[365]
KERNEL32.dll.GetEnvironmentVariableA Hint[265]
KERNEL32.dll.SetHandleCount Hint[621]
KERNEL32.dll.WriteProfileSectionA Hint[747]
KERNEL32.dll.CreateEventA Hint[49]
KERNEL32.dll.GetOverlappedResult Hint[306]
KERNEL32.dll.GlobalSize Hint[400]
KERNEL32.dll.GetCPInfoExA Hint[192]
KERNEL32.dll.GlobalUnlock Hint[403]
KERNEL32.dll.LocalUnlock Hint[466]
KERNEL32.dll.HeapCompact Hint[410]
KERNEL32.dll.GlobalMemoryStatus Hint[397]
KERNEL32.dll.GlobalLock Hint[396]
KERNEL32.dll.IsValidCodePage Hint[445]
KERNEL32.dll.GetProfileStringA Hint[331]
KERNEL32.dll.GetProfileIntA Hint[327]
KERNEL32.dll.GetPrivateProfileStructA Hint[316]
KERNEL32.dll.GetPrivateProfileSectionA Hint[310]
KERNEL32.dll.GetPrivateProfileSectionNamesA Hint[311]
KERNEL32.dll.LCMapStringW Hint[448]
KERNEL32.dll.LCMapStringA Hint[447]
KERNEL32.dll.MultiByteToWideChar Hint[484]
KERNEL32.dll.LoadLibraryA Hint[450]
KERNEL32.dll.HeapReAlloc Hint[418]
KERNEL32.dll.VirtualAlloc Hint[699] ←DEP Setting changes
KERNEL32.dll.HeapAlloc Hint[409]
KERNEL32.dll.GetOEMCP Hint[305]
KERNEL32.dll.GetACP Hint[185]
KERNEL32.dll.GetCPInfo Hint[191]
そもそも下記のDLLのコールがとてもあやしい…、マークしました↓
ole32.dll.StgCreatePropSetStg Hint[255]
ole32.dll.StgIsStorageILockBytes Hint[261]
ole32.dll.CoInstall Hint[49]
ole32.dll.StgOpenStorage Hint[264]
ole32.dll.CoUnmarshalHresult Hint[85]
ole32.dll.CoGetClassObject Hint[28]
ole32.dll.CoFreeLibrary Hint[21]
ole32.dll.CreatePointerMoniker Hint[100]
ole32.dll.CoGetCurrentProcess Hint[30]
ole32.dll.StgIsStorageFile Hint[260]
ole32.dll.CoLoadLibrary Hint[52]
ole32.dll.CoGetMalloc Hint[34]
念のため、いくつか上記のあやしいDLLコールのアドレス↓
0x405068 TlsSetValue
0x40506c TlsAlloc
0x405074 TlsGetValue
0x405080 HeapCreate
0x405104 VirtualAlloc
0x405020 GetProcAddre
0x405038 GetCurrentPr
0x4050a4 GetTickCount
0x4050fc LoadLibraryA
6. あやしいSTRING↓
7. さくっとオンラインスキャンしたら、マルウェアの結果が沢山出ました↓
Detection ratio: 14 / 43
Analysis date : 2012-01-30 12:41:53 UTC / Mon Jan 30 21:36:09 JST 2012
SHA256 :
1b21d4e5db8c1b4850a2de1c2bae1094c6d8c9a8d67971973352c3684eb30117
--------------------------------------------------
Antivirus Result Update
--------------------------------------------------
AhnLab-V3 - 20120129
AntiVir TR/Kazy.53781 20120130
Antiy-AVL - 20120130
Avast Win32:Crypt-LHP [Trj] 20120130
AVG Downloader.Generic12.AWNK 20120130
BitDefender Gen:Variant.Kazy.53781 20120130
ByteHero - 20120126
CAT-QuickHeal - 20120130
ClamAV - 20120130
Commtouch - 20120130
Comodo - 20120128
DrWeb - 20120130
Emsisoft Malware.Win32.AMN!A2 20120130
eSafe - 20120126
eTrust-Vet - 20120130
F-Prot - 20120129
F-Secure Gen:Variant.Kazy.53781 20120130
Fortinet - 20120130
GData Gen:Variant.Kazy.53781 20120130
Ikarus - 20120130
Jiangmin - 20120129
K7AntiVirus - 20120127
Kaspersky Trojan.Win32.FakeAV.ksit 20120130
McAfee Generic FakeAlert!vr 20120130
McAfee-GW-Edition Artemis!42D58F2AC633 20120130
Microsoft Trojan:Win32/FakeSysdef 20120130
NOD32 Win32/TrojanDownloader.Prodatect.BK 20120130
Norman - 20120129
nProtect Gen:Variant.Kazy.53781 20120130
Panda - 20120130
PCTools - 20120130
Prevx - 20120130
Rising - 20120118
Sophos - 20120130
SUPERAntiSpyware - 20120128
Symantec - 20120130
TheHacker - 20120130
TrendMicro - 20120130
TrendMicro-HouseCall - 20120130
VBA32 - 20120130
VIPRE Trojan.Win32.Generic!BT 20120130
ViRobot - 20120130
VirusBuster - 20120129
↑現時点本マルウェアを検知が出来たウイルス対策ソフトは(14 / 43)だけです。
【注意点】すり抜けたケースが多いと思います!サンプル登録が必要 ■マルウェア行動分析調査結果
1. 起動した時に下記のDLLをロードされて
C:\WINDOWS\system32\ntdll.dll 0x7C900000 0x000AF000
C:\WINDOWS\system32\kernel32.dll 0x7C800000 0x000F6000
C:\WINDOWS\system32\USER32.dll 0x7E410000 0x00091000
C:\WINDOWS\system32\GDI32.dll 0x77F10000 0x00049000
C:\WINDOWS\system32\ole32.dll 0x774E0000 0x0013D000
C:\WINDOWS\system32\ADVAPI32.dll 0x77DD0000 0x0009B000
C:\WINDOWS\system32\RPCRT4.dll 0x77E70000 0x00092000
C:\WINDOWS\system32\Secur32.dll 0x77FE0000 0x00011000
C:\WINDOWS\system32\msvcrt.dll 0x77C10000 0x00058000
C:\WINDOWS\system32\oledlg.dll 0x7DF70000 0x00022000
2. 起動されたらRUN-TIMEのDLLがこんな感じ↓
C:\WINDOWS\system32\imagehlp.dll 0x76C90000 0x00028000
C:\WINDOWS\system32\OLEAUT32.dll 0x77120000 0x0008B000
C:\WINDOWS\system32\WININET.dll 0x771B0000 0x000AA000
C:\WINDOWS\system32\CRYPT32.dll 0x77A80000 0x00095000
C:\WINDOWS\system32\MSASN1.dll 0x77B20000 0x00012000
C:\WINDOWS\system32\VERSION.dll 0x77C00000 0x00008000
C:\WINDOWS\system32\SHLWAPI.dll 0x77F60000 0x00076000
C:\WINDOWS\system32\SHELL32.dll 0x7C9C0000 0x00817000
C:\WINDOWS\system32\urlmon.dll 0x7E1E0000 0x000A2000
3. スナップショット↓
4. マルウェアが作られたMUTEX↓
ZonesCacheCounterMutex
ZonesCounterMutex
ZonesLockedCacheCounterMutex
5. 作られたWindows Registry:
項目:HKU\S-1-5-21-842925246-1425521274-308236825-500\Control Panel
バリュー:5761b2dc-ce77-4bfa-b965-6f33b1867cf
6. ネットワークやり取りを発見(4種類)↓
PROTOCOL: TCP/IP
TYPE: PACKET SEND (OUT)
SRC: (パソコンのIP)
DST: 10.20.25.255
PORT: 137
パケットキャップチャー↓
↑暗号された物ですね、クラックが出来る様に今未だ頑張っています…
PROTOCOL: TCP/IP
TYPE: PACKET SEND (OUT)
SRC: (パソコンのIP
DST: 10.20.25.255
PORT: 138
(DATA CONTAINS IP ADDR & HOST INFO)
パケットキャップチャー↓
- take one -
- take two -
PROTOCOL: TCP/IP
TYPE: PACKET SEND (OUT)
SRC: (パソコンのIP)
DST: 239.255.255.250
LOCAL-PORT: 1113
REMOTE PORT: 1900
(DATA CONTAINS IP ADDR & HOST INFO)
パケットキャップチャー↓
PROTOCOL: DNS (REQUEST)
REQUESTED DOMAIN:
jobikun.com 31.210.120.14
sadiegaile.com 31.44.184.49
PROTOCOL: TCP/HTTP
DST: 31.210.120.14
LOCAL-PORT: 1116
REMOTE PORT: 80
やり取り情報↓
HTTP/1.1
GET
/up.php?0Q9oBPXEN0uECUgzEJ95RQsajT7vq1aG3F/2q5oNowaH1WY=
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; InfoPath.3
Host: jobikun.com
Cache-Control: no-cache ここ迄見たら間違い無いマルウェアですね。
■マルウェアのソース調査結果(ネットワーク/IP/DNS/登録/など…)↓
1. 感染されたウェブサイトのドメイン登録情報↓
Domain ID:D126689325-LROR
Domain Name:GISA-JAPAN.ORG
Created On:03-Aug-2006 01:44:38 UTC
Last Updated On:31-Jul-2011 15:24:02 UTC
Expiration Date:03-Aug-2012 01:44:38 UTC
Sponsoring Registrar:Firstserver, Inc. (R1277-LROR)
Status:CLIENT TRANSFER PROHIBITED
Registrant ID:DOREG-000-007425
Registrant Name:GEOGRAPHIC INFORMATION SYSTEMS ASSOCIATION OF JAPAN
Registrant Organization:GEOGRAPHIC INFORMATION SYSTEMS ASSOCIATION OF JAPAN
Registrant Street1:2-4-16 Yayoi,
Registrant Street2:4F Japan Academic Societies Center
Registrant City:Bunkyo-ku
Registrant State/Province:Tokyo
Registrant Postal Code:113-0032
Registrant Country:JP
Registrant Phone:+81.356897955
Registrant Email:office@gisa-japan.org
Admin ID:DOREG-000-007426
Admin Name:GEOGRAPHIC INFORMATION SYSTEMS ASSOCIATION OF JAPAN
Admin Organization:GEOGRAPHIC INFORMATION SYSTEMS ASSOCIATION OF JAPAN
Admin Street1:2-4-16 Yayoi,
Admin Street2:4F Japan Academic Societies Center
Admin City:Bunkyo
Admin State/Province:Tokyo
Admin Postal Code:113-0032
Admin Country:JP
Admin Phone:+81.356897955
Admin Email:office@gisa-japan.org
Tech ID:DOREG-000-007427
Tech Email:office@gisa-japan.org
Name Server:NSAS1.FIRSTSERVER.NE.JP
Name Server:NSAS2.FIRSTSERVER.NE.JP
DNSSEC:Unsigned
インターネットドメインのルーティング図↓
↑正式な情報を確認しました。おかしい所がありませんでしたので、
マルウェアに感染されたかと思われます。
DNS DUMP調査結果を報告必要がありません。欲しいならご連絡下さい。
2. IPアドレスのネットワーク調査結果↓
IP: 203.183.242.158
APNIC情報↓
ASN: 4694
Network Prefix: 203.183.0.0/16
AS Type: IDC
Domain: FS-USER.NET
ISP Name: FIRSTSERVER INC
Country: JP
JPNIC情報↓
a. [Network Number] 203.183.240.0/21
b. [Network Name] FSVNET-12
g. [Organization] Firstserver, Inc.
m. [Administrative Contact] HM3100JP
n. [Technical Contact] JP00056436
p. [Nameserver] fsns1.firstserver.ne.jp
p. [Nameserver] fsns3.firstserver.ne.jp
[Assigned Date] 2008/08/12
[Return Date]
[Last Update] 2010/05/12 12:53:03(JST)
Group Contact Information: [担当グループ情報]
[グループハンドル] JP00056436
[グループ名] IPアドレス担当窓口
[Group Name] IP Address Contact
[電子メール] as9995@firstserver.ne.jp
[組織名] ファーストサーバ株式会社
[Organization] FirstServer, Inc.
[部署]
[Division]
[電話番号] 06-6261-3332
[FAX番号] 06-6261-0051
[最終更新] 2012/01/20 16:11:03(JST)
work@nir.nic.ad.jp
インターネットルーティング図↓
↑これで連絡先が分かるですね、停止手続きの為に上記の情報を使って下さい。
■報告と連絡フォローに付いて
本件のインシデントを報告しました↑
■最新情報、マルウェアのファイルが削除されました↓
Tue Jan 31 12:54:01 JST 2012
--12:52:46-- http://www.gisa-japan.org/sig/local-gov/1.exe
=> `1.exe'
Resolving www.gisa-japan.org... 203.183.242.158
Connecting to www.gisa-japan.org|203.183.242.158|:80... connected.
HTTP request sent, awaiting response... 404 Not Found
12:52:46 ERROR 404: Not Found.
↑それでは本件の対応は終了です。
ご協力頂き誠に有難う御座います!行動が早くて、感謝致します。
また次の#OCJP発見のご対応も宜しくお願い致します。
(後3件を発見しました…調査最中)。
0 件のコメント:
コメントを投稿