zeroday.jpブログはhttp://unixfreaxjp.blogspot.comへ移動しました。

このブログ内容は更新されておりません。最新情報はhttp://unixfreaxjp.blogspot.comへ

広告

※このエリアは、60日間投稿が無い場合に表示されます。記事を投稿すると、表示されなくなります。

【マルウェア情報】日本国内マルウェア添付されたメールのレポート(5月)-1

2010年06月20日 13時57分24秒 | Weblog

今回日本国内にある2台ハニーサーバからの5月のマルウェアメールの情報がやっと出来上がりました。サーバは関西、関東に用意しました。メールフィルター製品は「K-SHIELD」メールセキュリティフィルターアプライアンスを使っております。
5月のメール通を見たらマルウェアメールは~2.5%となりますが、4月と比べたらパーセンテージが少し下がりましたがメールトラフィック事態に増えて着ましたのでマルウェアメール通的には増えました。
上記の画像を見ながら5月には注意しなきゃ行け無いマルウェア情報は下記の一覧5件となります。以下説明します。さらに「Exploit.Win32.Pidief.dcd」、「Packed.Win32.Katusha.l」、「Trojan-spy.HTML.Fraud.gen」、「Trojan.Win32.FakeAV.xx」のマルウェア情報について先月のブログ内容に説明しました。現在迄情報は変わらないので、こちらへご覧下さい
1)KRAP
Dropper/Malware.52736.AD [AhnLab]
Packed.Win32.Krap.an [Kaspersky Lab]
Mal/EncPk-NS, Mal/FakeAV-BW, Mal/FakeAV-BW [Sophos]
Packed.Win32.Krap [Ikarus]

【background】
本件のマルウェアは偽(Fake)マルウェア警告ソフト/scarewareです。

【マルウェア仕組み】

このマルウェアが入ってしまったら、セキュリティ警告の関係registry情報を追加/変更されてます。目的は詐欺です。先ずはトロイの形でPCに入ってしまいます、このトロイはジェネリック種類トロイですが入ってしまったらセキュリティ警告のバイナリープログラム(scareware)をダウンロードさてます。scarewareをインストールされたら沢山ウイルス感染された警告pop-upウィンドーが出て、ユーザが偽ウイルス対策ソフトのダウンロードページにおすすめされてます。本件のscarewareのファイル形はPE_Patch.UPX形式ファイルです。

【ファイル名】
%System%41.exe (0byte)
%System%ES15.exe (0byte)
%System%helpers32.dll (0byte)
%System%smss32.exeと
%System%winlogon32.exe(合計52,736bytes)
%System%warnings.html (4,278bytes)

【プロセス名】
smss32.exe %System%smss32.exe 139,264 bytes
↑若しくは↓
winlogon32.exe %System%winlogon32.exe 139,264 bytes

【registry】
下記のregistry情報を追加されます↓
o HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerPhishingFilter
o HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInternet SettingsZoneMapDomainsbuy-security-essentials.com
:
o HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesActiveDesktop
o HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer
o HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerPhishingFilter
o HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZoneMapDomainsbuy-security-essentials.com
o HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZoneMapDomainsdownload-soft-package.com
:
o HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesActiveDesktop
o HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem

悪戯設定は2件があり↓
※TaskManagerを起動が出来ないように下記のregistryバリューを変更された↓
o [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]
+ DisableTaskMgr = 0x00000001
※それで、OS起動の時にsmss32.exe も起動する形になります↓
o [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
+ smss32.exe = "%System%smss32.exe"

【サンプルスキャンリファレンス】

2)VBKRYPT
Trojan.Sasfis [PCTools]
Trojan.Sasfis [Symantec]
Trojan.Win32.VBKrypt.xx [Kaspersky Lab]
Troj/Bredo-CZ [Sophos]
Trojan:Win32/Meredrop [Microsoft]
Win-Trojan/Vbcrypt.34816 [AhnLab]

【background】
本件のマルウェアはMicrosoftOfficeVBコードのベースのトロイです。
ソースIPを見たら全て100%ロシアからのメールルートです。

【マルウェア仕組み】
Trojan.Win32.VBKrypt.xxx又はTrojan.Sasfisは海外文書のスパムメールに結構添付されております。
添付されたファイルの形は「Contract<date/mmddyy>.zip」のZIPファイルですのでアーカイブの中にはマルウェアファイル「contract<date>___doc____.exe」が入ってます。スパムメール文書のサンプルは下記となります↓↓
ーーーーーここからーーーーー
Dear ladies and gentlemen,
We have prepared a contract and added the paragraphs that you wanted to see in it.
Our lawyers made alterations on the last page. If you agree with all the provisions we are ready to make the payment on Friday for the first consignment.
We are enclosing the file with the prepared contract.
If necessary, we can send it by fax.
Looking forward to your decision.
"Young Lockett
ーーーーここまでーーーーーーー
もし添付されたEXEファイルをクリックしてしまうとシステムにマルウェアファイルをコピーされてWindowsのregistryを変更されて次の起動する時にこのマルウェアを起動されます。
起動されたらインターネットから色々マルウェアファイルをダウンロードされます(詰り:VirTool:Win32/VBInject.FO, Win32/Oficla.GN, Trj/Downloader.XOV, Mal/Koobface-E, Trojan.Sasfis)

【ファイル名】
%Temp%1.tmp (ワードファイルですが、このファイルをクリックしてしまうと感染仕組みが始めます)
%System%dllcachendis.sys(これはトロイのバイナリー)

【process情報】
svchost.exe %System%svchost.exe 5,124,096 bytes

【registry】
下記のregistryを追加されます↓
HKEY_LOCAL_MACHINESOFTWAREClassesidid
* url1 = 68 74 74 70 3A 2F 2F 6C 65 65 69 74 70 6F 62 62 6F 64 2E 72 75 2F 69 6D 61 67 65 2F 62 62 2E 70 68 70 00 52 51 91 7C A0 10 08 00 08 00 15 C0 78 E8 07 00 C0 1F 1A 00 FC 1F 1A 00 50 E8 07 00 7D 5D 91 7C B0 1F 1A 00 40 CE 97 7C B4 5D 91 7C 42 CE 97 7C 4
:
HKEY_LOCAL_MACHINESOFTWAREAGProtect

【ネットワーク】
Windows registryに書いたURLに繋ぎますので下記のIPとポート番号となります↓
193.105.174.108 80
59.53.91.195 80
67.215.250.146 80
199.239.254.18 25
204.93.169.124 25
209.85.227.27 25
213.205.33.247 25
62.211.72.32 25
64.34.180.29 25
64.59.134.8 25
65.54.188.72 25
66.94.236.34 25
74.125.148.10 25
212.95.32.15 21131
↑上記のURLを調査したら下記のサイトに繋ぐ状況確認が取りました↓
http://hulejsoops.ru/images/bb.php?v=200&id=653227819&b=build_20&tm=1
http://hulejsoops.ru/images/bb.php?v=200&id=653227819&tid=11&b=build_20&r=1&tm=1
http://www.russianmomds.ru/loader.exe

【サンプル・リファレンス】




つづく…
ジャンル:
ウェブログ
Comment   この記事についてブログを書く
« 「HTTPS Everywhere」セキュ... | TOP | 【マルウェア情報】日本国内... »
最近の画像もっと見る

post a comment

ブログ作成者から承認されるまでコメントは反映されません。

Recent Entries | Weblog

Similar Entries