[nsp-sec-jp] system infected with proxy malware
Taka Mizuguchi
taka @ nttv6.jp
2010年 5月 10日 (月) 13:09:43 EDT
----------- nsp-security Confidential --------
NSP-SEC-JP各位、
水口です。
古い情報となってしまい申し訳ありません。
NSP-SECからProxy Malwareに感染したPCの情報です。
感染していると思われるPCを保有されている方は対処をお願い
します。
---
下記のシステムは、proxy/rootkit malwareに感染したPCです。
これは、proxyサーバのリストを販売している犯罪者から収集した情報です。
ISPのサポートにより、アクセスしたあるシステムでは、malwareは/windows
/system32の痔レクトリの配下にランダムに名前を付けられた.DLLファイル
としてFloppy Disk Monitorというサービスを動かしているように存在して
いた。これはrootkit driverによって守られており、私の推奨は、Windows
を再フォーマットもしくは再インストールすることです。
malwareはそれ自身、ポート番号80番を使ったpeer-to-peerでで通信しており、
分かりにくいデータでPeer先に、/s/にPOSTを送信する。
/windows/system32の配下に.dat拡張子をもつランダムな名前のファイル
をもち、私はpeerのリストを自動生成すると思う。
これらは、Tue Apr 27 17:07:34 2010 UTCからTue Apr 27 22:11:30 2010
UTCの間に私が確認したホストです。
2510 | 115.177.128.26 | 45043 | INFOWEB FUJITSU LIMITED
2510 | 116.80.14.132 | 55418 | INFOWEB FUJITSU LIMITED
2510 | 222.159.211.202 | 22797 | INFOWEB FUJITSU LIMITED
2518 | 61.193.32.57 | 64541 | BIGLOBE NEC BIGLOBE, Ltd.
2519 | 222.230.154.86 | 46148 | VECTANT VECTANT Ltd.
4685 | 118.243.144.79 | 49382 | ASAHI-NET Asahi Net
4685 | 122.249.171.166 | 25553 | ASAHI-NET Asahi Net
4691 | 59.156.161.136 | 6298 | DTI Dream Train Internet Inc.
4713 | 114.145.25.205 | 24683 | OCN NTT Communications
Corporation
4713 | 114.159.82.155 | 2080 | OCN NTT Communications
Corporation
4713 | 114.178.88.91 | 60714 | OCN NTT Communications
Corporation
4713 | 114.185.129.37 | 41203 | OCN NTT Communications
Corporation
4713 | 118.21.202.109 | 31932 | OCN NTT Communications
Corporation
4713 | 118.21.8.72 | 24958 | OCN NTT Communications
Corporation
4713 | 121.114.227.195 | 46490 | OCN NTT Communications
Corporation
4713 | 123.217.31.116 | 45412 | OCN NTT Communications
Corporation
4713 | 125.174.2.128 | 12927 | OCN NTT Communications
Corporation
4713 | 180.1.145.233 | 60453 | OCN NTT Communications
Corporation
4713 | 210.248.128.14 | 64082 | OCN NTT Communications
Corporation
4713 | 210.248.179.165 | 24929 | OCN NTT Communications
Corporation
4713 | 210.248.179.172 | 22625 | OCN NTT Communications
Corporation
4713 | 210.248.179.176 | 19553 | OCN NTT Communications
Corporation
4713 | 210.248.179.182 | 21089 | OCN NTT Communications
Corporation
4713 | 219.167.191.163 | 2148 | OCN NTT Communications
Corporation
4713 | 219.167.200.106 | 53523 | OCN NTT Communications
Corporation
4713 | 222.151.114.109 | 65196 | OCN NTT Communications
Corporation
4713 | 222.151.118.169 | 17064 | OCN NTT Communications
Corporation
4713 | 222.151.133.14 | 40283 | OCN NTT Communications
Corporation
4713 | 222.151.72.208 | 19350 | OCN NTT Communications
Corporation
4716 | 211.7.57.151 | 38122 | POWEREDCOM KDDI Corporation
4732 | 211.18.145.229 | 64322 | DION KDDI CORPORATION
4732 | 222.3.231.30 | 8505 | DION KDDI CORPORATION
7522 | 219.124.183.10 | 31340 | STNET STNet, Incorporated
7524 | 119.148.108.44 | 48155 | HANSHIN ITEC HANKYU
HANSHIN CO.,LTD.
7524 | 203.202.195.84 | 41480 | HANSHIN ITEC HANKYU
HANSHIN CO.,LTD.
9614 | 202.220.184.104 | 47218 | OCT Oita Cable Telecom
Co,ltd.
9617 | 119.26.152.110 | 30959 | ZAQ KANSAI MULTIMEDIA
SERVICE COMPANY
9617 | 58.85.106.37 | 29776 | ZAQ KANSAI MULTIMEDIA
SERVICE COMPANY
9617 | 58.85.225.86 | 2011 | ZAQ KANSAI MULTIMEDIA
SERVICE COMPANY
9617 | 58.85.250.42 | 33728 | ZAQ KANSAI MULTIMEDIA
SERVICE COMPANY
9617 | 61.46.92.180 | 40545 | ZAQ KANSAI MULTIMEDIA
SERVICE COMPANY
9824 | 110.134.186.91 | 57812 | ASN-ATHOMEJP
9824 | 210.194.86.70 | 34948 | ASN-ATHOMEJP
9824 | 59.171.40.96 | 53011 | ASN-ATHOMEJP
9824 | 60.62.196.114 | 20728 | ASN-ATHOMEJP
17506 | 122.208.189.232 | 15559 | UCOM UCOM Corp.
17511 | 59.190.187.17 | 45952 | K-OPTICOM K-Opticom
Corporation
17639 | 111.125.65.87 | 11822 | COMCLARK-AS ComClark Network
& Technology Corp.
17676 | 219.207.96.128 | 21435 | GIGAINFRA Softbank BB Corp.
17676 | 219.31.242.53 | 11817 | GIGAINFRA Softbank BB Corp.
17676 | 219.50.124.22 | 10407 | GIGAINFRA Softbank BB Corp.
17676 | 220.24.212.31 | 2824 | GIGAINFRA Softbank BB Corp.
17676 | 220.49.52.113 | 17640 | GIGAINFRA Softbank BB Corp.
17676 | 221.83.131.29 | 21086 | GIGAINFRA Softbank BB Corp.
17676 | 221.88.188.20 | 20577 | GIGAINFRA Softbank BB Corp.
23823 | 61.87.120.137 | 57925 | GUJO-TV Gujo City
24276 | 210.2.206.243 | 62748 | ICNET ICHIKAWA CABLE NETWORK
CO.,LTD.
24278 | 118.237.39.187 | 23121 | USEN-NET USEN CORPORATION
33922 | 84.32.99.61 | 8503 | NTT-LT-AS NTT Data and
VoIP services
-------- Original Message --------
Hi,
I'm sending the following information by courtesy of John LaCour from
PhishLabs:
The following systems are compromised PCs which are infected with a
proxy/rootkit malware.
This was captured from criminals who were selling lists of proxys.
On the one system I did get access to with the help of an ISP, the malware
was a randomly named .DLL in \windows\system32 that was running as a service
named "Floppy Disk Monitor". It was protected by a rootkit driver so my
recommendation is to reformat and reinstall Windows.
The malware itself seems to communicate via peer to peer over port 80 and
sends a POST to /s/ on its peers with obfuscated data. I think there's a
.dat file with a random name in \windows\system32 which is used to bootstrap
a list of peers.
These were all verified by me between Tue Apr 27 17:07:34 2010 UTC and Tue
Apr 27 22:11:30 2010 UTC.
ASN IP Proxy TCP Port ASN Description
> snip all ASN list by taka
--
Taka Mizuguchi
nsp-security-jp メーリングリストの案内