Pages

แสดงบทความที่มีป้ายกำกับ malware แสดงบทความทั้งหมด
แสดงบทความที่มีป้ายกำกับ malware แสดงบทความทั้งหมด

วันพฤหัสบดี, พฤษภาคม 23

ตามล่ามัลแวร์ iframe injection เว็บไซต์ในไทย

ตรวจมัลแวร์ Redkit exploit kit iframe injection
++++++++++++++++++++++++++++++++++++++++++++++
พบเหตุการณ์
++++++++++++++++++++++++++++++++++++++++++++++
ที่ http://www.cru.ac.th/cru_web/
ตรวจสอบจากเครือข่ายแม่ข่าย
++++++++++++++++++++++++++++++++++++++++++++++
Nmap scan report for 110.77.220.122
Host is up (0.31s latency).
Not shown: 992 filtered ports
PORT    STATE  SERVICE  VERSION
20/tcp  closed ftp-data
21/tcp  open   ftp      vsftpd (before 2.0.8) or WU-FTPD
|_banner: 220 Welcome to CRU FTP services.
22/tcp  open   ssh      OpenSSH 4.3 (protocol 2.0)
|_banner: SSH-2.0-OpenSSH_4.3
25/tcp  closed smtp
80/tcp  open   http     Apache httpd 2.2.3 ((CentOS))
| http-headers: 
|   Date: Tue, 23 Jul 2013 06:40:32 GMT
|   Server: Apache/2.2.3 (CentOS)
|   Last-Modified: Wed, 10 Jul 2013 07:45:56 GMT
|   ETag: "1426800c-1556e-4e12377bfb500"
|   Accept-Ranges: bytes
|   Content-Length: 87406
|   Connection: close
|   Content-Type: text/html
|   
|_  (Request type: GET)
| http-title: xE0xB9x82xE0xB8xA3xE0xB8x87xE0xB9x80xE0xB8xA3xE0xB8xB5xE0xB8xA2xE0xB8x99xE0xB8x8AxE0xB8xA5xE0xB8xA3xE0xB8xB2xE0xB8xA9xE0xB8x8FxE0xB8xA3xE0xB8xADxE0xB8xB3xE0xB8xA3xE0xB8xB8xE0xB8x87 xE0...
|_Requested resource was http://110.77.220.122/cru_web/
110/tcp closed pop3
143/tcp closed imap
443/tcp open   ssl/http Apache httpd 2.2.3 ((CentOS))
| http-headers: 
|_  (Request type: GET)
| ssl-cert: Subject: commonName=Chon1/organizationName=Chonradsadornumrung School/stateOrProvinceName=Chonburi/countryName=TH/emailAddress=cru_school@hotmail.com/localityName=Chonburi/organizationalUnitName=Chonchai
| Issuer: commonName=Chon1/organizationName=Chonradsadornumrung School/stateOrProvinceName=Chonburi/countryName=TH/emailAddress=cru_school@hotmail.com/localityName=Chonburi/organizationalUnitName=Chonchai
| Public Key type: rsa
| Public Key bits: 1024
| Not valid before: 2012-05-14T14:37:18+00:00
| Not valid after:  2032-05-09T14:37:18+00:00
| MD5:   394a 5a16 1dfb f58a 3705 69dc 47a5 4908
| SHA-1: 57c1 542d 00cd 6554 b04d 3d54 13ff bec0 d3fd d194
| -----BEGIN CERTIFICATE-----
| MIICvTCCAiYCCQDdu+DGElp74DANBgkqhkiG9w0BAQUFADCBojELMAkGA1UEBhMC
| VEgxETAPBgNVBAgTCENob25idXJpMREwDwYDVQQHEwhDaG9uYnVyaTEjMCEGA1UE
| ChMaQ2hvbnJhZHNhZG9ybnVtcnVuZyBTY2hvb2wxETAPBgNVBAsTCENob25jaGFp
| MQ4wDAYDVQQDEwVDaG9uMTElMCMGCSqGSIb3DQEJARYWY3J1X3NjaG9vbEBob3Rt
| YWlsLmNvbTAeFw0xMjA1MTQxNDM3MThaFw0zMjA1MDkxNDM3MThaMIGiMQswCQYD
| VQQGEwJUSDERMA8GA1UECBMIQ2hvbmJ1cmkxETAPBgNVBAcTCENob25idXJpMSMw
| IQYDVQQKExpDaG9ucmFkc2Fkb3JudW1ydW5nIFNjaG9vbDERMA8GA1UECxMIQ2hv
| bmNoYWkxDjAMBgNVBAMTBUNob24xMSUwIwYJKoZIhvcNAQkBFhZjcnVfc2Nob29s
| QGhvdG1haWwuY29tMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDUNiDSmaZ3
| neIoKKaDubNIT3tKHx8y84L7bfs+xC319iNtgHFv/DsnaQS4tjPVrI3jorK8FDzV
| K9n5TNLIEarayHft7HOzToerNcwYshrArb8qpXrRD7SJoHfmMH5z+CE9TqFQEh22
| fDssKN0+/mA2/GMsxX7P1D5VbAm+BdM95QIDAQABMA0GCSqGSIb3DQEBBQUAA4GB
| AG051xp8Q6hvcW+IhJRXAanVKtod7TXG4ZVQ0Elx8AxsnGdk4rD0mvPXE7vWf7bG
| onvP8eBQKv4SvHLDzee9qxRxwcZAGXsI80TagIG0ekI4q03Nk3RiaycWDgP7kR48
| BOhMR+pMi8RQfZTdjBK14GOD/wgpBVlA2ycvg+87ZOwg
|_-----END CERTIFICATE-----
Aggressive OS guesses: Linux 2.6.18 (92%), Linux 2.6.32 (92%), FreeBSD 6.2-RELEASE (91%), Linux 2.6.9 - 2.6.18 (91%), Cisco UC320W PBX (Linux 2.6) (90%), Linux 2.6.9 (90%), Linux 2.6.22.1-32.fc6 (x86, SMP) (89%), Linux 2.6.5 (89%), Linux 2.6.11 (89%), Linux 2.6.28 (89%)
No exact OS matches for host (test conditions non-ideal).
Service Info: Host: CRU

Host script results:
| asn-query: 
| BGP: 110.77.220.0/24 and 110.77.208.0/20 | Country: TH
|   Origin AS: 131090 - CAT-IDC-4BYTENET-AS-AP CAT TELECOM Public Company Ltd,CAT
|_    Peer AS: 4651
| dns-blacklist: 
|   SPAM
|_    l2.apews.org - SPAM
| hostmap-ip2hosts: 
|   hosts: 
|     cru.ac.th
|_    www.cru.ac.th

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
การเชื่อมโยง
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
พบสิ่งผิดปกติ
ที่เกิดจาก iframe ซ่อนโดแมนมัลแวร์ในเว็บ
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
 width="210" height="210" src="source/swf/clock.swf" quality="high"
pluginspage="http://www.adobe.com/shockwave/download/download.cgi?P1_Prod_Version=ShockwaveFlash"
type="application/x-shockwave-flash">


width="864" height="354" src="source/swf/banner.swf" quality="high"
pluginspage="http://www.adobe.com/shockwave/download/download.cgi?P1_Prod_Version=ShockwaveFlash"
type="application/x-shockwave-flash">


+++++++++++++++++++++++++++++++++++++++++++++++++++++++
ตรวจการเรียกข้อมูล
++++++++++++++++++++++++++++++++++++++++++
URLStatusContent Type
http://www.cru.ac.th/302text/html
 http://www.cru.ac.th/cru_web/200text/html
 http://www.cru.ac.th/cru_web/js/jquery.js200application/x-javascript
 http://mybodybuildingjourney.com/oeef.html?j=3267321301text/html
 http://mikeborge.com/oeef.html?j=3267321200text/html
 http://mikeborge.com/0o4.jar200application/zip
 about:blank200text/html
 http://www.cru.ac.th/cru_web/js/easySlider1.7.js200application/x-javascript
 http://www.cru.ac.th/cru_web/Scripts/AC_RunActiveContent.js200application/x-javascript
 http://www.cru.ac.th/cru_web/source/swf/banner.swf200application/x-shockwave-flash
 http://www.cru.ac.th/cru_web/source/swf/clock.swf200application/x-shockwave-flash
 http://artisticgenepool.com/oaaf.html?j=3267321301text/html
 http://mikeborge.com/oaaf.html?j=3267321404empty
 http://mybodybuildingjourney.com/oeef.html?i=3267321301text/html
 http://mikeborge.com/oeef.html?i=3267321404empty
 http://www.cru.ac.th/cru_web/css/mainMenu.css200text/css
 http://www.cru.ac.th/cru_web/css/screen.css404text/html
 http://www.cru.ac.th/cru_web/css/topMenu.css200text/css
 http://www.cru.ac.th/cru_web/css/personMenu.css404text/html
Redirects
FromTo
http://www.cru.ac.th/http://www.cru.ac.th/cru_web/
http://mybodybuildingjourney.com/oeef.html?j=3267321http://mikeborge.com/oeef.html?j=3267321
http://artisticgenepool.com/oaaf.html?j=3267321http://mikeborge.com/oaaf.html?j=3267321
http://mybodybuildingjourney.com/oeef.html?i=3267321http://mikeborge.com/oeef.html?i=3267321
ActiveX controls
  • D27CDB6E-AE6D-11CF-96B8-444553540000
    NameValue
    Attributesmovie
    source/swf/clock.swf
    jQuery1366577423256
    147.0
    1022.0
    quality
    high
  • =================================
  • ตรวจ HTTP
  • =================================
  • โหลด HTTP Capture แบบ Proxy Request จะเห็นการติดต่อไปที่ เว็บมัลแวร์ mybodybuildingjourney.com

==============================================================
ตรวจ Whois
==============================================================
Domain name: mybodybuildingjourney.com
Registrant Contact:
Pete81
Petri Olsson ()
Fax:
Saarenvainionkatu 15 D 57
Tampere, FIN 33710
FI
Administrative Contact:
Pete81
Petri Olsson (holaluna81@yahoo.com)
+358.405079703
Fax: +1.5555555555
Saarenvainionkatu 15 D 57
Tampere, FIN 33710
FI
Technical Contact:
Pete81
Petri Olsson (holaluna81@yahoo.com)
+358.405079703
Fax: +1.5555555555
Saarenvainionkatu 15 D 57
Tampere, FIN 33710
FI
Status: Locked
Name Servers:
ns3321.hostgator.com
ns3322.hostgator.com
Creation date: 15 Oct 2009 16:41:05
Expiration date: 15 Oct 2013 16:41:05

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

Link 
https://www.virustotal.com/th/url/e23ec6b60262684212b39c1751a04d5fe8c573beb91826b30c50684c257ee39f/analysis/
http://wepawet.iseclab.org/view.php?hash=66100e0d535a4c1119acb647613b4b70&t=1366577405&type=js
http://urlquery.net/report.php?id=2104305
http://checkip.me/whomap.php?domain=mybodybuildingjourney.com

เขียนโดย ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: , ,

วันพฤหัสบดี, พฤศจิกายน 15

วิเคราะห์ Malware จาก file bin.exe

เมื่อวาน (14/11/2555) จากระบบ siamhelp.org ได้ตรวจพบ

http://www.siamhelp.org/search?q=122.155.18.90


Hostname122.155.18.90
IP122.155.18.90
ASAS9931
CAT-AP The Communication Authoity of Thailand, CAT
Web serverApache/2
OSUnknown
ISPCAT Telecom public company Ltd
CityBangkok
CountryThailand
Local timeThu Nov 15 15:53:26 ICT 2012

http://checkip.me/whomap.php?domain=122.155.18.90

มีการติดเชื้อ หรือ แพร่เชื้อไวรัสคอมพิวเตอร์  เมื่อดูจากประวัติใน siamhelp.org แล้ว พบการติดเชื้อมา 3 ครั้ง คือ
วันแรกที่พบคือ วันที่ 26 กรกฏาคม 2555  มี file ที่ติดเชื้อที่ 122.155.18.90/roudcubemail-0.5.2/program/biti.exe
วันที่สองที่พบคือ วันที่ 1 ตุลาคม 2555 มี file ที่ติดเชื้อที่ 122.155.18.90/1.exe
วันที่สามที่พบคือ วันที่ 14 พฤศจิกายน 2555 มี file ที่ติดเชื้อที่ 122.155.18.90/bin.exe
(file เหล่านี้ติดไวรัส อันตรายห้ามดาวโหลดไปลองหากไม่มีระบบป้องกันพอ เครื่องคอมพิวเตอร์ของท่านอาจเสียหายได้)

ข้อมูลทั้งหมดที่พบจาก http://www.scumware.org/report/122.155.18.90

URLMD5IPThreat
2012-10-17 16:36:56http://122.155.18.90/Done.exe...312B9857A2476F7516BCB287CB404940122.155.18.90THTrojan-Dropper.Win32.Dapato.btlt
2012-10-04 23:21:16http://122.155.18.90/1.exe...D648F3D2E177DFAC4EC34B154A2575D2122.155.18.90THWin32/Injector.XFC trojan
2012-07-26 09:46:27http://122.155.18.90/roundcubemail-0.5.2/bitfud.exe...537E450713251692F260E7722D5BBF3D122.155.18.90THWin32/Packed.Themida application
2012-07-26 06:59:06http://122.155.18.90/roundcubemail-0.5.2/program/biti.exe...E9A63A6AA767986F9A502A0ECF178A61122.155.18.90THWin32/Packed.Themida application
2012-07-22 16:03:33http://122.155.18.90/roundcubemail-0.5.2/program/bitfud.exe...482B9368AFBF39AC162BD0338AC30840122.155.18.90THWin32/Packed.Themida application


ลองมาทำการผ่าพิสูจน์ไวรัสกัน !!
เอาตัวล่าสุดคือ bin.exe  


Scan date2012-11-14 19:33:31 +00:00
File name4200663
MD5 hash5402d50803d892edfb8878a2ccbab0de
File typeWin32 EXE
File Size (Byte)2118144
Detection ratio27 / 44
Scan result
แสดงผลลัพธ์การสแกนจากแอนตี้ไวรัส 44 ค่าย มีผลดังนี้
Scan result of virustotals
VendorVersionResultVirus NameDatabase Date
1. TotalDefense37.0.10162Virus not found20121114
2. MicroWorld-eScan12.0.250.0Virus not found20121114
3. nProtect2012-11-14.02Virus foundTrojan.Generic.796284220121114
4. CAT-QuickHeal12.00Virus not found20121114
5. McAfee5.400.0.1158Virus foundArtemis!5402D50803D820121114
6. K7AntiVirus9.154.7858Virus foundRiskware20121114
7. TheHackerNoneVirus not found20121113
8. F-Prot4.6.5.141Virus foundW32/Themida_Packed!Eldorado20121114
9. Symantec20121.2.1.2Virus foundWS.Reputation.120121114
10. Norman6.08.06Virus foundW32/Troj_Generic.EWJYW20121114
11. ByteHero1.0.0.1Virus not found20121110
12. TrendMicro-HouseCall9.700.0.1001Virus foundTROJ_GEN.R47CGJP20121114
13. Avast6.0.1289.0Virus foundWin32:Malware-gen20121114
14. eSafe7.0.17.0Virus not found20121112
15.ClamAV0.97.3.0Virus not found20121114
16. Kaspersky9.0.0.837Virus foundTrojan-Downloader.Win32.Dapato.mpc20121114
17. BitDefender7.2Virus foundTrojan.Generic.796284220121114
18. Agnitum5.5.1.3Virus foundSuspicious!SA20121114
19. ViRobot2011.4.7.4223Virus not found20121114
20. Sophos4.83.0Virus foundMal/Behav-37420121114
21. Comodo14201Virus foundUnclassifiedMalware20121114
22. F-Secure9.0.17090.0Virus foundTrojan.Generic.796284220121114
23. DrWeb7.0.4.09250Virus foundTrojan.DownLoader7.2146020121114
24. VIPRE13976Virus foundTrojan.Win32.Generic!BT20121114
25. AntiVir7.11.50.24Virus foundTR/Crypt.XPACK.Gen20121114
26. TrendMicro9.561.0.1028Virus foundTROJ_GEN.R47CGJP20121114
27. McAfee-GW-Edition2012.1Virus foundHeuristic.BehavesLike.Win32.Suspicious-BAY.O20121114
28. Emsisoft3.0.0.569Virus not found20121114
29. Jiangmin13.0.900Virus foundTrojan/Miner.bd20121114
30. Antiy-AVL2.0.3.7Virus not found20121113
31. Kingsoft2012.9.22.155Virus not found20121112
32. Microsoft1.8904Virus not found20121114
33. SUPERAntiSpyware5.6.0.1008Virus not found20121114
34. GData22Virus foundTrojan.Generic.796284220121114
35. Commtouch5.3.2.6Virus not found20121114
36. AhnLab-V32012.11.15.00Virus foundDownloader/Win32.Dapato20121114
37. VBA323.12.18.3Virus not found20121114
38. PCTools8.0.0.5Virus not found20121114
39. ESET-NOD327693Virus foundprobably a variant of Win32/BitCoinMiner.H20121114
40. Rising24.36.01.05Virus not found20121114
41. IkarusT3.1.1.122.0Virus foundTrojan.Win32.Miner20121114
42. Fortinet5.0.26.0Virus foundW32/BitCoinMiner.H20121114
43. AVG10.0.0.1190Virus foundGeneric6_c.BDXE20121114
44. Panda10.0.3.5Virus foundTrj/Thed.A20121114
File fuzzy hashing
Context Triggered Piecewise Hashing ของไฟล์
File ssdeep of 4200663
49152:wx08+tkrW4K8G/i4wVQyPAetraEaNAZZGGxb:VqrYZiR1asHGGx
File metadata
แสดงรายละเอียดและคุณลักษณะของไฟล์
File exif of 4200663
PropertyValue
mimetypeapplication/octet-stream
subsystemWindows command line
machinetypeIntel 386 or later, and compatibles
timestamp2012:07:05 13:47:47+01:00
filetypeWin32 EXE
petypePE32
codesize0
linkerversion10.0
entrypoint0x6e014
initializeddatasize2114048
subsystemversion5.1
imageversion0.0
osversion5.1
uninitializeddatasize0
Portable Executable structural information
Compilation timedatestamp.....: 2012-07-05 12:47:47
Target machine................: 0x14C (Intel 386 or later processors and compatible processors)
Entry point address...........: 0x0006E014

PE Sections...................:

Name        Virtual Address  Virtual Size  Raw Size  Entropy  MD5
                       4096        438272    438272     7.19  d1deeaa0eb791825a85a8e1647060a68
.rsrc                442368          1328      1536     4.91  5db9c0afa277e657781a7042386629cd
.idata               446464          4096       512     1.38  72003d358d654906aeb64ef8dce8c16c
...                  450560       1679360   1673728     7.81  9bbc6c53ef7c2afc1d8990d901779fee

PE Imports....................:

[[KERNEL32.dll]]
CreateFileA, lstrcpy

[[COMCTL32.dll]]
InitCommonControls

PE Resources..................:

Resource type            Number of resources
RT_MANIFEST              2

Resource language        Number of resources
NEUTRAL                  1
ENGLISH US               1


ไวรัสชนิดนี้ พบว่ายังมีหลายชื่อ file ดังนี้


1. 4200663


2. output.4200663.txt


3. bin.exe


ตรวจสอบเส้นทางการเชื่อมต่อค่า DNS ทางระบบเครือข่าย


122.155.18.90


ปัจจุบัน domain denichsoiltest.com ไม่ได้อยู่ที่ IP อันตรายนี้แล้ว แต่ค่าที่เห็นเกิดนำมาจาก http://ip.robtex.com/122.155.18.90.html#graph


วันที่ทำการตรวจสอบการเชื่อมต่อค่า DNS วันที่ 15 /11/ 2555


ผลการทดสอบเส้น Query DNS จาก http://sran.org/dns พบค่าดังนี้


















เขียนโดย



ที่







ไม่มีความคิดเห็น:
  




















ป้ายกำกับ:
,

















        

      









สมัครสมาชิก:
บทความ (Atom)