Nontawatt 'n talk: พฤศจิกายน 2012

เมื่อวาน (14/11/2555) จากระบบ siamhelp.org ได้ตรวจพบ

http://www.siamhelp.org/search?q=122.155.18.90

Hostname	122.155.18.90
IP	122.155.18.90
AS	AS9931 CAT-AP The Communication Authoity of Thailand, CAT
Web server	Apache/2
OS	Unknown
ISP	CAT Telecom public company Ltd
City	Bangkok
Country	Thailand
Local time	Thu Nov 15 15:53:26 ICT 2012

http://checkip.me/whomap.php?domain=122.155.18.90

มีการติดเชื้อ หรือ แพร่เชื้อไวรัสคอมพิวเตอร์ เมื่อดูจากประวัติใน siamhelp.org แล้ว พบการติดเชื้อมา 3 ครั้ง คือ
วันแรกที่พบคือ วันที่ 26 กรกฏาคม 2555 มี file ที่ติดเชื้อที่ 122.155.18.90/roudcubemail-0.5.2/program/biti.exe
วันที่สองที่พบคือ วันที่ 1 ตุลาคม 2555 มี file ที่ติดเชื้อที่ 122.155.18.90/1.exe
วันที่สามที่พบคือ วันที่ 14 พฤศจิกายน 2555 มี file ที่ติดเชื้อที่ 122.155.18.90/bin.exe
(file เหล่านี้ติดไวรัส อันตรายห้ามดาวโหลดไปลองหากไม่มีระบบป้องกันพอ เครื่องคอมพิวเตอร์ของท่านอาจเสียหายได้)

ข้อมูลทั้งหมดที่พบจาก http://www.scumware.org/report/122.155.18.90

	URL	MD5	IP		Threat
2012-10-17 16:36:56	http://122.155.18.90/Done.exe...	312B9857A2476F7516BCB287CB404940	122.155.18.90	TH	Trojan-Dropper.Win32.Dapato.btlt
2012-10-04 23:21:16	http://122.155.18.90/1.exe...	D648F3D2E177DFAC4EC34B154A2575D2	122.155.18.90	TH	Win32/Injector.XFC trojan
2012-07-26 09:46:27	http://122.155.18.90/roundcubemail-0.5.2/bitfud.exe...	537E450713251692F260E7722D5BBF3D	122.155.18.90	TH	Win32/Packed.Themida application
2012-07-26 06:59:06	http://122.155.18.90/roundcubemail-0.5.2/program/biti.exe...	E9A63A6AA767986F9A502A0ECF178A61	122.155.18.90	TH	Win32/Packed.Themida application
2012-07-22 16:03:33	http://122.155.18.90/roundcubemail-0.5.2/program/bitfud.exe...	482B9368AFBF39AC162BD0338AC30840	122.155.18.90	TH	Win32/Packed.Themida application

ลองมาทำการผ่าพิสูจน์ไวรัสกัน !!
เอาตัวล่าสุดคือ bin.exe

Scan date	2012-11-14 19:33:31 +00:00
File name	4200663
MD5 hash	5402d50803d892edfb8878a2ccbab0de
File type	Win32 EXE
File Size (Byte)	2118144
Detection ratio	27 / 44

Scan result

แสดงผลลัพธ์การสแกนจากแอนตี้ไวรัส 44 ค่าย มีผลดังนี้

Scan result of virustotals

Vendor	Version	Result	Virus Name	Database Date
1. TotalDefense	37.0.10162	Virus not found		20121114
2. MicroWorld-eScan	12.0.250.0	Virus not found		20121114
3. nProtect	2012-11-14.02	Virus found	Trojan.Generic.7962842	20121114
4. CAT-QuickHeal	12.00	Virus not found		20121114
5. McAfee	5.400.0.1158	Virus found	Artemis!5402D50803D8	20121114
6. K7AntiVirus	9.154.7858	Virus found	Riskware	20121114
7. TheHacker	None	Virus not found		20121113
8. F-Prot	4.6.5.141	Virus found	W32/Themida_Packed!Eldorado	20121114
9. Symantec	20121.2.1.2	Virus found	WS.Reputation.1	20121114
10. Norman	6.08.06	Virus found	W32/Troj_Generic.EWJYW	20121114
11. ByteHero	1.0.0.1	Virus not found		20121110
12. TrendMicro-HouseCall	9.700.0.1001	Virus found	TROJ_GEN.R47CGJP	20121114
13. Avast	6.0.1289.0	Virus found	Win32:Malware-gen	20121114
14. eSafe	7.0.17.0	Virus not found		20121112
15.ClamAV	0.97.3.0	Virus not found		20121114
16. Kaspersky	9.0.0.837	Virus found	Trojan-Downloader.Win32.Dapato.mpc	20121114
17. BitDefender	7.2	Virus found	Trojan.Generic.7962842	20121114
18. Agnitum	5.5.1.3	Virus found	Suspicious!SA	20121114
19. ViRobot	2011.4.7.4223	Virus not found		20121114
20. Sophos	4.83.0	Virus found	Mal/Behav-374	20121114
21. Comodo	14201	Virus found	UnclassifiedMalware	20121114
22. F-Secure	9.0.17090.0	Virus found	Trojan.Generic.7962842	20121114
23. DrWeb	7.0.4.09250	Virus found	Trojan.DownLoader7.21460	20121114
24. VIPRE	13976	Virus found	Trojan.Win32.Generic!BT	20121114
25. AntiVir	7.11.50.24	Virus found	TR/Crypt.XPACK.Gen	20121114
26. TrendMicro	9.561.0.1028	Virus found	TROJ_GEN.R47CGJP	20121114
27. McAfee-GW-Edition	2012.1	Virus found	Heuristic.BehavesLike.Win32.Suspicious-BAY.O	20121114
28. Emsisoft	3.0.0.569	Virus not found		20121114
29. Jiangmin	13.0.900	Virus found	Trojan/Miner.bd	20121114
30. Antiy-AVL	2.0.3.7	Virus not found		20121113
31. Kingsoft	2012.9.22.155	Virus not found		20121112
32. Microsoft	1.8904	Virus not found		20121114
33. SUPERAntiSpyware	5.6.0.1008	Virus not found		20121114
34. GData	22	Virus found	Trojan.Generic.7962842	20121114
35. Commtouch	5.3.2.6	Virus not found		20121114
36. AhnLab-V3	2012.11.15.00	Virus found	Downloader/Win32.Dapato	20121114
37. VBA32	3.12.18.3	Virus not found		20121114
38. PCTools	8.0.0.5	Virus not found		20121114
39. ESET-NOD32	7693	Virus found	probably a variant of Win32/BitCoinMiner.H	20121114
40. Rising	24.36.01.05	Virus not found		20121114
41. Ikarus	T3.1.1.122.0	Virus found	Trojan.Win32.Miner	20121114
42. Fortinet	5.0.26.0	Virus found	W32/BitCoinMiner.H	20121114
43. AVG	10.0.0.1190	Virus found	Generic6_c.BDXE	20121114
44. Panda	10.0.3.5	Virus found	Trj/Thed.A	20121114

File fuzzy hashing

Context Triggered Piecewise Hashing ของไฟล์

File ssdeep of 4200663

49152:wx08+tkrW4K8G/i4wVQyPAetraEaNAZZGGxb:VqrYZiR1asHGGx

File metadata

แสดงรายละเอียดและคุณลักษณะของไฟล์

File exif of 4200663

Property	Value
mimetype	application/octet-stream
subsystem	Windows command line
machinetype	Intel 386 or later, and compatibles
timestamp	2012:07:05 13:47:47+01:00
filetype	Win32 EXE
petype	PE32
codesize	0
linkerversion	10.0
entrypoint	0x6e014
initializeddatasize	2114048
subsystemversion	5.1
imageversion	0.0
osversion	5.1
uninitializeddatasize	0

Portable Executable structural information

Compilation timedatestamp.....: 2012-07-05 12:47:47
Target machine................: 0x14C (Intel 386 or later processors and compatible processors)
Entry point address...........: 0x0006E014

PE Sections...................:

Name        Virtual Address  Virtual Size  Raw Size  Entropy  MD5
                       4096        438272    438272     7.19  d1deeaa0eb791825a85a8e1647060a68
.rsrc                442368          1328      1536     4.91  5db9c0afa277e657781a7042386629cd
.idata               446464          4096       512     1.38  72003d358d654906aeb64ef8dce8c16c
...                  450560       1679360   1673728     7.81  9bbc6c53ef7c2afc1d8990d901779fee

PE Imports....................:

[[KERNEL32.dll]]
CreateFileA, lstrcpy

[[COMCTL32.dll]]
InitCommonControls

PE Resources..................:

Resource type            Number of resources
RT_MANIFEST              2

Resource language        Number of resources
NEUTRAL                  1
ENGLISH US               1

ไวรัสชนิดนี้ พบว่ายังมีหลายชื่อ file ดังนี้

1. 4200663

2. output.4200663.txt

3. bin.exe

ตรวจสอบเส้นทางการเชื่อมต่อค่า DNS ทางระบบเครือข่าย

ปัจจุบัน domain denichsoiltest.com ไม่ได้อยู่ที่ IP อันตรายนี้แล้ว แต่ค่าที่เห็นเกิดนำมาจาก http://ip.robtex.com/122.155.18.90.html#graph

วันที่ทำการตรวจสอบการเชื่อมต่อค่า DNS วันที่ 15 /11/ 2555

ผลการทดสอบเส้น Query DNS จาก http://sran.org/dns พบค่าดังนี้

Nontawatt 'n talk

Pages

วันพฤหัสบดี, พฤศจิกายน 15

วิเคราะห์ Malware จาก file bin.exe

Scan result

File fuzzy hashing

File metadata

Portable Executable structural information

เกี่ยวกับฉัน

คลังบทความของบล็อก

ป้ายกำกับ