Palm84 某所の日記

有為のクマにかくれり~

危険サイト

こういうことここで書くのはどうかと思ってたんですが詳しいウイルス情報があまりないようなので敢えて書いてみます。

上記の未修正の脆弱性を狙った罠サイトがありました。最初は実証コードそのままなんで検証サイトかなと思ってたんですがとんでもなく危険な「トロイの木馬」とか仕込もうとするようです。

あっ、以下のファイルはリンク先とかスクリプトやらActiveXで勝手に落ちてくるのをマルウェアホイホイ(←これはウソ)で捕獲しただけです。あんなことしてこんなことする■い技術は私にはございませんので。あしからず。(冷汗

まずサイトトップ

index.?
  • Exploit.VBS.Phel.a (Kaspersky)
cmdexe.txt
  • 未検出

拡張子【txt】となってますが中身は違います(スクリプト or htaファイルかな?・・自信なし)

cmdexe2.txt
  • VBS/Psyme
  • Trojan-Downloader.VBS.Phel.a (Kaspersky)
cmdexe.exe
  • Backdoor.Win32.Haxdoor.ba(Kaspersky)
writehta.txt

サブディレクトリ。iframe(サイズ0)で3つのファイル呼出。

exploit.htm
classload.jar
hta.exe

ダウンローダが実行されると別サイトから下記のファイルをダウンロードされるようです。(すべてを確認したわけではないのですが)

bot.php(01080001.exe)
loader.php(loader.exe)
  • TROJ_SAMBE.A(Trend Micro)
  • Downloader-TO
  • Trojan-Downloader.Win32.Small.afb(Kaspersky)
01070001.exe
01080000.exe
01080002.exe
【hta.exe】を実行(1/10)

オフライン、あるいはパーソナルファイアウォールでブロックした場合は何も起こりませんでした。よってこれは単機能のダウンローダーだと思われます。以下のファイルがダウンロードされました。

  • C:\WINDOWS\system32\bot.exe (Backdoor.Trojan)
  • C:\WINDOWS\system32\mcsmss.exe(Backdoor.Trojan)
  • ..Temporary Internet Files..\01080005[1].exe (Backdoor.Trojan)
  • HKLM\...\Run [cmssSystemProcess] - c:\windows\system32\mcsmss.exe

バックドアとして起動するようです。TCPport:34476 を開きます。bot.exe は起動しませんでした。監視役orダウンローダーなのでしょうか?

【hta.exe】を実行(12/?)

C:\WINDOWS\tgbcde\library32.dllが「PWSteal.Trojan」として検出

  • HKLM\..\Run: [cmssSystemProcess] c:\windows\system32\mcsmss.exe
  • HKCU\..\Run: [tgbcde] C:\WINDOWS\tgbcde\module32.exe arg1
  • TCPport:28854を開く

この時点では上記レジストリ記載のファイルは検出されませんでした。

実際にサイトにアクセスした場合は、多分複数のバックドア(ダウンローダー)などが仕込まれるのではないかと思います。

用済みとなったダウンローダーだけを削除しても解決とはならないので詳しい情報が早く欲しいですね。

とと、いかにも危険だよ的なことを書きましたが、このサイトに関してはIEのセキュリティ設定【高】+WindowsUpdateで感染はほぼ防ぐことは可能だと思います。

でもやっぱし基本は「怪しいサイトに近づかない」ってことですね。(こればっかし・・)