■下記のサイトに↓qhfl880.net (27.125.204.59) xogml.net (27.125.204.59)■下記のダウンロードURL/ファイル↓hxxp://qhfl880.net/down/bb.exe hxxp://www.qhfl880.net/down/bb.exe hxxp://xogml.net/sqlservt.exe hxxp://www.xogml.net/sqlservt.exe hxxp://qhfl880.net/down/downlist.txt http://www.qhfl880.net/down/downlist.txt■下記のマルウェアを発見しました↓アファイル :「bb.exe」 マルウェア種類:トロイ・ドロッパーとダウンローダー マルウェア名 : Win32/Trojan/Agent/Dropper/Downloader/Spyware マルウェア機能: スパイウェア(Spyware)機能、ウイルスダウンロードする機能 説明 :1. 感染されたパソコンの情報を外に送る(Spyware)、 2. 他のマルウェアをダウンロードする(ダウンローダー) 3. 他のマルウェアをPCに保存する(ドロッパー) アファイル :「sqlservt.exe」 マルウェア種類:トロイ・スパイウェアとバックドア マルウェア名 : Win32/Trojan/Agent/Spyware/Bakdoor マルウェア機能: スパイウェア(Spyware)機能、個人情報を外側に送る機能 説明 :1. 感染されたパソコンの情報をメールで外に送る(Spyware)、 2. 外側に繋げてPCの情報を送信する(バックドア)■オンラインスキャン結果↓File name : bb.exe MD5 : 6858ec96b6adb0f3d94911a46aa817a5 File size : 436.8 KB ( 447270 bytes ) File type : Win32 EXE Detection ratio: 16 / 43 Analysis date : 2012-02-03 13:31:17 UTC File name : sqlservt.exe MD5 : 229a26c15b3e7afc26f953e43120c723 File size : 383.0 KB ( 392192 bytes ) File type : Win32 EXE (UPX) Detection ratio: 32 / 43 Analysis date: 2012-02-04 00:40:29 UTC■URLのダウンロード証拠↓Date: Sat Feb 4 15:42:02 JST 2012 --15:46:00-- hxxp://qhfl880.net/down/bb.exe => `bb.exe' Resolving qhfl880.net... 27.125.204.59 Connecting to qhfl880.net|27.125.204.59|:80... connected. HTTP request sent, awaiting response... 200 OK Length: 447,270 (437K) [application/octet-stream] 100%[====================================>] 447,270 1.44M/s 15:46:01 (1.44 MB/s) - `bb.exe' saved [447270/447270] --15:46:36-- hxxp://xogml.net/sqlservt.exe => `sqlservt.exe' Resolving xogml.net... 27.125.204.59 Connecting to xogml.net|27.125.204.59|:80... connected. HTTP request sent, awaiting response... 200 OK Length: 392,192 (383K) [application/octet-stream] 100%[====================================>] 392,192 1.44M/s 15:46:37 (1.44 MB/s) - `sqlservt.exe' saved [392192/392192]■マルウェアファイル情報↓アファイル :「bb.exe」 アイコン :↑UPXファイルですね、ALZip SFX マークした日付けは最終作った日付 アファイル :「sqlservt.exe」 アイコン :
↑PEファイルですね、マークした日付けは最終作った日付 「韓国語でMailCOMアプリケーション」と書いてあります。
■マルウェア感染仕組みと行動分析調査結果↓※本件のマルウェア調査に付いて全て調査結果を書くと長すぎるので、 さっそくマルウェアの動き結果だけを報告させて頂きます。 もっと詳しい情報がほしいなら私に直接にご連絡下さい。マルウェアサイトからbb.exeをダウンロードと実行されたら上記の感染仕組みが動きます。 bb.exeが2個マルウェアのファイルをドロップする、sqlstarter.exeとsqlupdate.exe sqlstarter.exeが最初の感染準備を行い、パソコンのセキュリティ設定を変更し sqlupdateの自動起動設定を行い、sqlupdate.exeを実行する、 sqlupdateが実行されたらsqlstarter.exeが終了し、sqlupdate.exeがパソコン情報をゲットする、 sqlupdate.exeがまとめたパソコン情報を外に送る事になり、下記のポートでやり取りが発見↓
------------------------------------ ポート リモートIP プロトコル ------------------------------------ UDP/53 27.125.204.59 DNS TCP/80 27.125.204.59 HTTP TCP/5011 27.125.204.59 不明パケットキャップチャーしたら下記のやり取り情報が発見↓さらに5011のデータキャップチャーの中にパソコンの情報は発見↓
HTTPで投げたリクエストの宛先は下記となります↓
http://xogml.net/version.txt http://xogml.net/sqlservt.exeドロップされたマルウェアのファイル情報↓ファイル名:SqlStarter.exe MD5 : 0xD01C0B3EDCD4B2FE8CC0F6CF0E9F5AD9 サイズ : 59,904バイト ファイル名:sqlupdate.exe MD5 : 0x333B5B2CED080BA3D0F8B27B2A00CFED サイズ : 178,176バイト■重要なレジストリー変更↓ 作ったレジストリーHKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\Downloader HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\Downloader\Settings HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\MailCom HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\MailCom\Settings自動起動機能レジストリー[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] sysfile = [pathname with a string SHARE]\sqlupdate.exe" ↑パソコンが起動された時にマルウェアも自動で起動されます。追加情報↓調査の終わる時にsqlupdate.exeとsqlservert.exeがずっと動いております。 パソコンが起動した時に必ず最新版sqlsrvt.exeをダウンロードし、起動されます。 マルウェアが取ったパソコン情報とマルウェア更新情報は下記のファイルに保存されます↓ %Common-Share% \main.dat %Common-Share% \durl.dat %Common-Share% \version.txt
■本件のマルウェアが昨年3回出ました昨年3回同じ種類マルウェアが発見されました。 全て同じパターンですね↓ ・韓国語環境作ったマルウェア ・ドメイン登録は韓国のドメイン ・サーバは日本のデータセンター/日本のネットワーク(AレコードONLY) ・マルウェアの仕組みはまったく同じ ・昨年の発見されたレポートのURL↓ http://unixfreaxjp.blogspot.com/2011/05/url.html http://unixfreaxjp.blogspot.com/2011/06/posminetcome-back.html http://unixfreaxjp.blogspot.com/2011/10/sqlupdateexealzip.html
■ネットワーク情報調査IPアドレスを検索したら日本にあるIDCのIPアドレスとなりす↓IP : 27.125.204.59 ASN : 55383 NETWORK PREFIX: 27.125.204.0/22 NETWORK-NAME : IDC COUNTRY : JP ISP : YYY GROUP INCネットワークルーティング情報↓ネットワークシェアの情報+ASN情報↓
JPNICで検索したら下記の責任者情報が出ます↓
inetnum: 27.125.204.0 - 27.125.204.255 netname: IDC-JP descr: YYY Group, Inc. country: JP admin-c: BH404JP tech-c: HK17507JP source: JPNIC Contact Information: [担当者情報] a. [JPNICハンドル] BH404JP b. [氏名] ファン 炳夏 c. [Last, First] Hwang, ByungHa d. [電子メイル] hwang@yyy-group.com f. [組織名] 株式会社YYY g. [Organization] YYY Group, Inc. k. [部署] ネットワーク管理部 l. [Division] Network Team m. [肩書] n. [Title] o. [電話番号] p. [FAX番号] y. [通知アドレス] hwang@yyy-group.com [最終更新] 2010/08/04 14:32:07(JST) db-staff@nic.ad.jp Contact Information: [担当者情報] a. [JPNICハンドル] HK17507JP b. [氏名] 権 亨津 c. [Last, First] Kwon, HyoungJin d. [電子メイル] kwon@yyy-group.com f. [組織名] 株式会社YYY g. [Organization] YYY Group, Inc. k. [部署] ネットワーク管理部 l. [Division] Network Team m. [肩書] n. [Title] o. [電話番号] 043-441-4877 o. [電話番号] 080-1238-7248 p. [FAX番号] 043-441-4878 y. [通知アドレス] kwon@yyy-group.com y. [通知アドレス] kwonhj@japannetidc.com [最終更新] 2010/08/04 14:32:08(JST) db-staff@nic.ad.jp
結論↓
・本マルウェアの目的は間違いなく情報を盗むように作ったマルウェアです。
・本マルウェアが依然3回発見されましたので、また出る可能性が高いです。
・IPのアクセスが止めて頂ければ解決方法になるかと思われます、ご協力をお願いします。
・本マルウェアが依然3回発見されましたので、また出る可能性が高いです。
・IPのアクセスが止めて頂ければ解決方法になるかと思われます、ご協力をお願いします。
----
ゼロデイ・ジャパン
http://0day.jp
マルウェア研究所
アドリアン・ヘンドリック
Sponsored by: 株式会社ケイエルジェイテック
Tweet
0 件のコメント:
コメントを投稿