月曜日, 2月 13, 2012

【マルウェア報告】 #OCJP-013: ODNネットワークのIP「211.121.253.132」にトロイ(PincAV)とワームマルウェア発見! 【対応済み】


■下記のサイト↓

211.121.253.132

■下記のURL↓

hxxp://211.121.253.132/vct/set.rar hxxp://211.121.253.132/vct/vel19.rar

■ダウンロード証拠↓

--19:29:24-- hxxp://211.121.253.132/vct/set.rar => `set.rar' Connecting to 211.121.253.132:80... connected. HTTP request sent, awaiting response... 200 OK Length: 28,672 (28K) [application/octet-stream] 100%[====================================>] 28,672 --.--K/s 19:29:25 (265.19 KB/s) - `set.rar' saved [28672/28672] --19:29:31-- hxxp://211.121.253.132/vct/vel19.rar => `vel19.rar' Connecting to 211.121.253.132:80... connected. HTTP request sent, awaiting response... 200 OK Length: 73,728 (72K) [application/octet-stream] 100%[====================================>] 73,728 --.--K/s 19:29:31 (489.64 KB/s) - `vel19.rar' saved [73728/73728]

■下記のマルウェアを発見されました↓

File name: set.rar MD5: 642ef29e0194075c830d0f2a418d8fce File size: 28.0 KB ( 28672 bytes ) File type: Win32 EXE Detection ratio: 25 / 43 Analysis date: 2012-02-13 11:03:26 UTC First Seen: 2010-07-11 13:56:56 UTC Detection: [CLICK] File name: vel19.rar MD5: 5fedec6191864124b1b89b8428f1941a File size: 72.0 KB ( 73728 bytes ) File type: Win32 DLL Detection ratio: 39 / 43 Analysis date: 2012-02-13 10:52:29 UTC First Seen: 2012-02-13 10:52:29 UTC Detection: [CLICK]

■マルウェア・ファイル情報↓

-rwx------ 1 28672 May 27 2010 set.rar* -rwx------ 1 73728 Feb 13 01:28 vel19.rar*

set.rar↓ vel19.rar↓ ↑両方ファイルはRARアーカイブのアイコンとRARファイルEXTが持っていますが実は実効ファイル(PE)ですね

1. set.rarマルウェアに付いて

アファイル  :「set.rar」 マルウェア種類: トロイ・ドロッパー マルウェア名 : Win32/Trojan/Agent/Dropper/PINCAV マルウェア機能: ドロッパー(Dropper)機能 説明     : 他のマルウェアをPCに保存し、メモリで実行させる(ドロッパー) 感染されたPCにマルウェアMFC42.DLLプロセスが沢山出てきました。 その他↓ set.rarファイルはMicrosoft Visual C++ v6.0でCompileしたバイナリーです。 バイナリーはArmadillo v1.71でPACKEDされております。 本マルウェアは日本に発見した、昨年11月に調査しましたので、今回のサンプルもまったく同じですので、 昨年作った調査情報は参考になると思います、アクセスはこちらです↓ トロイ・ドロッパー「Pincav」マルウェアがFreeBit IDCのネットワークに発見! set.rarのマルウェアは下記のファイルを保存する動きを確認しました。↓ C:\WINDOWS\system32\MFC42.DLL それで上記のファイルがメモリで実行される↓ MFC42.DLL Ordinal[4277] (Imported by Ordinal) MFC42.DLL Ordinal[535] (Imported by Ordinal) MFC42.DLL Ordinal[540] (Imported by Ordinal) : : MFC42.DLL Ordinal[825] (Imported by Ordinal) MFC42.DLL Ordinal[1089] (Imported by Ordinal) MFC42.DLL Ordinal[1576] (Imported by Ordinal)

2. vel19.rarのマルウェアに付いて

アファイル  :「vel19.rar」 マルウェア種類: トロイ・ドロッパー マルウェア名 : Win32/Trojan/ マルウェア機能: ドロッパー(Dropper)機能、ウイルス対策ソフトを止める機能(KillAV)、 ワーム(Autorun経由感染機能) 説明     : 感染されたPCのウイルス対策ソフトを止められます、マルウェアを実行する、 マルウェアがAutorun機能を使い他のデバイスに感染仕組みを作る、 追加情報ですが、本件のマルウェア作り方を見たらもう一つのファイルと非常に似てますが、 もっと完璧に作ってくれたそうですね。下記のバイナリー調査で説明致します。

■マルウェアのバイナリー調査結果↓

1.packerを使いニセRARアーカイブファイルの形を作られた。   今回のpacker情報は不明です。ファイルのアイコンとファイル名を見たらpackerが使われたと間違い無いです。 2.ニセAUTOCADアプリケーションの形を見せる事↓ [StringFileInfo] Length: 0x1F8 ValueLength: 0x0 Type: 0x1 [StringTable] Length: 0x1D4 ValueLength: 0x0 Type: 0x1 LangID: 040904b0 LegalCopyright: Copyright 1999 InternalName: VEL FileVersion: 0, 0, 17, 0 ProductName: VEL Application ProductVersion: 0, 0, 17, 0 FileDescription: AUTOCAD ObjectARX application OriginalFilename: vel.arx 3.ニセAUTOCADアプリケーションの動きを見せる事↓ OriginalFirstThunk: 0xC10C Characteristics: 0xC10C TimeDateStamp: 0x0 [Thu Jan 01 00:00:00 1970 UTC] ForwarderChain: 0x0 Name: 0xC6E8 FirstThunk: 0xA000 ACAD.exe.?acDocManagerPtr@@YAPAVAcApDocManager@@XZ Hint[297] ACAD.exe.adsw_acadMainWnd Hint[1545] 4.下記のあやしい過ぎるDLLコールが発見↓ acdb17.dll.acrxSysRegistry Hint[10521] acdb17.dll.?desc@AcRxDynamicLinker@@SAPAVAcRxClass@@XZ Hint[3125] acdb17.dll.??0AcRxObject@@IAE@XZ Hint[658] acdb17.dll.?clone@AcRxObject@@UBEPAV1@XZ Hint[2410] acdb17.dll.?comparedTo@AcRxObject@@UBE?AW4Ordering@AcRx@@PBV1@@Z Hint[2495] acdb17.dll.?isEqualTo@AcRxObject@@UBEHPBV1@@Z Hint[6000] acdb17.dll.?copyFrom@AcRxObject@@UAE?AW4ErrorStatus@Acad@@PBV1@@Z Hint[2588] MSVCR80.dll.?terminate@@YAXXZ Hint[65] MSVCR80.dll.??0exception@std@@QAE@ABV01@@Z Hint[8]] MSVCR80.dll.??0exception@std@@QAE@XZ Hint[9] MSVCR80.dll.??1exception@std@@UAE@XZ Hint[13] MSVCR80.dll.?what@exception@std@@UBEPBDXZ Hint[68] MSVCR80.dll.??0exception@std@@QAE@ABQBD@Z Hint[6] MSVCR80.dll.?_type_info_dtor_internal_method@type_info@@QAEXXZ Hint[52] MSVCP80.dll.?c_str@?$basic_string@DU?$char_traits@D@std@@V?$allocator@D@2@@std@@QBEPBDXZ Hint[1575] MSVCP80.dll.??1?$basic_string@DU?$char_traits@D@std@@V?$allocator@D@2@@std@@QAE@XZ Hint[603] MSVCP80.dll.??0?$basic_string@DU?$char_traits@D@std@@V?$allocator@D@2@@std@@QAE@ABV01@@Z Hint[367] MSVCP80.dll.??0?$basic_string@DU?$char_traits@D@std@@V?$allocator@D@2@@std@@QAE@PBD@Z Hint[374] MFC80.DLL Ordinal[1964] (Imported by Ordinal) MFC80.DLL Ordinal[5175] (Imported by Ordinal) MFC80.DLL Ordinal[1362] (Imported by Ordinal) : MFC80.DLL Ordinal[5203] (Imported by Ordinal) MFC80.DLL Ordinal[3441] (Imported by Ordinal) MFC80.DLL Ordinal[297] (Imported by Ordinal) ←(37個迄同じコールを発見↑) 5.セキュリティ違反のコール↓ //アンチDEBUG機能↓ 0x1000a05c IsDebuggerPresent 0x1000a0b8 GetProcAddress 0x1000a0c0 GetCurrentProcess 0x1000a0e4 CloseHandle 0x1000a100 GetTickCount //システム動きの監視機能↓ 0x1000a094 SetFileAttributesA 0x1000a0a0 CopyFileA 0x1000a0a8 CreateFileA 0x1000a0dc WriteProcessMemory 0x1000a108 CreateProcessA //システムフックコールの関係↓ 0x1000a0d4 VirtualAllocEx //権限ポリシー違反のコール↓ 0x1000a0d8 ReadProcessMemory 0x1000a030 OpenProcessToken //インターネット接続関係↓ 0x1000a43c InternetCloseHandle //プロセス計算機能の関係↓ 0x1000a0c4 CreateToolhelp32Snapshot 0x1000a0c8 Process32First 0x1000a0cc Process32Next 6.アンチウイルススキャン結果↓ -------------------------------------------------------------- Antivirus Result Update -------------------------------------------------------------- AhnLab-V3 Win32/Autorun.worm.73728.AM 20120213 AntiVir DIAL/Dialer.Gen 20120213 Antiy-AVL Worm/Win32.AutoRun.gen 20120213 Avast Win32:AutoRun-BRN [Trj] 20120212 AVG Worm/Generic2.ALGJ 20120213 BitDefender Gen:Variant.Buzy.508 20120213 ByteHero - 20120211 CAT-QuickHeal Worm.Autorun.ZJ5 20120213 ClamAV Trojan.Autorun-386 20120213 Commtouch W32/AutoRun.P.gen!Eldorado 20120213 Comodo Worm.Win32.Autorun.NRB 20120213 DrWeb Win32.HLLW.Riplip.81 20120213 Emsisoft Virus.Worm.SuspectCRC!IK 20120213 eSafe - 20120213 eTrust-Vet Win32/AutoRun.AW!genus 20120213 F-Prot W32/AutoRun.P.gen!Eldorado 20120213 F-Secure Gen:Variant.Buzy.508 20120213 Fortinet W32/AutoRun.CFNZ!worm 20120213 GData Gen:Variant.Buzy.508 20120213 Ikarus Virus.Worm.SuspectCRC 20120213 Jiangmin Worm/AutoRun.zfs 20120212 K7AntiVirus EmailWorm 20120211 Kaspersky Worm.Win32.AutoRun.cfnz 20120213 McAfee W32/Autorun.worm.bbt 20120212 McAfee-GW-Edition W32/Autorun.worm.bbt 20120212 Microsoft Worm:Win32/Autorun.ZJ 20120213 NOD32 Win32/AutoRun.Agent.YM 20120213 Norman W32/SmallTroj.ZNSY 20120212 nProtect Trojan/W32.Agent.73728.BEV 20120213 Panda Trj/Genetic.gen 20120212 PCTools Trojan.KillAV!rem 20120207 Prevx - 20120213 Rising Trojan.Win32.Autorun.ahv 20120213 Sophos W32/RIPLIP-A 20120213 SUPERAntiSpyware Trojan.Agent/Gen-Autorun[Worm] 20120206 Symantec Trojan.KillAV 20120213 TheHacker Trojan/AutoRun.Agent.ym 20120212 TrendMicro WORM_RIPLIP.SMI 20120213 TrendMicro-HouseCall WORM_RIPLIP.SMI 20120213 VBA32 AutoRun.Agent.ym 20120213 VIPRE Trojan.Win32.Autorun.ps (v) 20120213 ViRobot - 20120213 VirusBuster Worm.Autorun.Gen.25 20120212

■マルウェア行動分析調査結果↓

本件のマルウェア行動分析調査時におかしい動きが沢山あり、私がネットワークが無効にしました。 危険さが高そうなので、念のためにネットワークの環境を止めました。 さらに、他の環境で行動分析調査を頼むとアプリがクラッシュしてしまいました。 行動分析はコードベースの証明でやらせて頂きます。マルウェアの証拠になります↓ 1. マルウェアの実行が成功されたらメモリでdll_analysis.exeプロセスが立ち上がります。 2. %CommonFile%のダイレクトリにd1.tmp.dllファイルが保存されます。 3. マルウェアファイルは「%System%regsvr32.exe /c /s .\d1.tmp.dll」のコマンドが実行されます。 4. MFC80.DLL、MSVCR80.dll、MSVCR80.dllのライブラリーが実行されます。<ここからクラッシュ…> 5. インターネット接続のコール↓ urlmon.dll.URLDownloadToCacheFileA WININET.dll.InternetOpenA Hint[146] WININET.dll.InternetOpenUrlA Hint[147] WININET.dll.InternetCloseHandle Hint[105] WININET.dll.FindFirstUrlCacheEntryA Hint[20] WININET.dll.DeleteUrlCacheEntry Hint[11] WININET.dll.FindNextUrlCacheEntryA Hint[27] 6. 周りのWindowsネットワークをスキャンする機能を確認しました。下記のコール↓ MSVCP80.dll.?c_str@?$basic_string@DU?$char_traits@D@std@@V?$allocator@D@2@@std@@QBEPBDXZ Hint[1575] MSVCP80.dll.??1?$basic_string@DU?$char_traits@D@std@@V?$allocator@D@2@@std@@QAE@XZ Hint[603] MSVCP80.dll.??0?$basic_string@DU?$char_traits@D@std@@V?$allocator@D@2@@std@@QAE@ABV01@@Z Hint[367] MSVCP80.dll.??0?$basic_string@DU?$char_traits@D@std@@V?$allocator@D@2@@std@@QAE@PBD@Z Hint[374] ↑恐らくマルウェアのネットワーク環境のスキャン機能です。 SMBのスキャン動きです、ドライブを発見されたらwindowsのautorunで感染行動がはじまるかと思います。

■感染されたマシンのインターネット情報(連絡先と手続きの為に)

IPアドレス: 211.121.253.132 Network Information: a. [Network Number] 211.121.192.0/18 b. [Network Name] ODN g. [Organization] Open Data Network(JAPAN TELECOM CO.,LTD.) m. [Administrative Contact] JP00035900 n. [Technical Contact] JP00035900 p. [Nameserver] ns2.odn.ne.jp p. [Nameserver] ns4.odn.ne.jp [Assigned Date] 2000/06/27 [Return Date] [Last Update] 2008/04/03 11:59:44(JST) Less Specific Info. ---------- SOFTBANK TELECOM Corp. [Allocation] 211.121.0.0/16 Group Contact Information: [担当グループ情報] [グループハンドル] JP00035900 [グループ名] コアネットワーク課 [Group Name] IPTG [電子メール] abuse@odn.ad.jp [組織名] ソフトバンクテレコム株式会社 [Organization] SOFTBANK TELECOM Corp. [部署] 高度ネットワーク部 [Division] Advanced Network Department [電話番号] 03-6889-1091 [FAX番号] [最終更新] 2008/03/25 18:53:07(JST) ito@gw.odn.ad.jp IP: 211.121.253.132 Decimal: 3547987332 Hostname: ofsfb-30p4-132.ppp11.odn.ad.jp ISP: SOFTBANK TELECOM Corp. Organization: Open Data Network(JAPAN TELECOM CO.,LTD.) Type: Dial-up Assignment: Static IP Country: Japan State/Region: Tokyo City: Tokyo Latitude: 35.685 Longitude: 139.7514

----
ゼロデイ・ジャパン
http://0day.jp
マルウェア研究所
アドリアン・ヘンドリック / Hendrik ADRIAN
Sponsored by: 株式会社ケイエルジェイテック

1 件のコメント:

  1. マルウェアのアクセス停止↓

    --16:22:42-- http://211.121.253.132/vct/vel19.rar
    => `vel19.rar'
    Connecting to 211.121.253.132:80... (タイムアウト)^C

    本件の対応は終了となります。

    返信削除