cNotes 検索 一覧 カテゴリ

Waledec botnet - StormWormみたいな

Published: 2008/12/27

12/20にbotから大量送信されたのを確認しました。去年と同じく今年もクリスマスからStormWormのキャンペーンが始まったかのように見えましたが、別物のようです。

いわゆるHoliday、ecard系の新種です。

ただ、感染からすべての工程がStormWormそっくりです。

きっかけの多くはクリスマスなメールから始まります。中には脆弱性利用の攻撃により感染することもあります。これもStormWormと同じです。

subjectは

 Subject: Merry Xmas!
 Subject: Christmas greetings e-card is waiting for you
 Subject: Happy Christmas!

などいろいろ

文面は、To、Fromなどと連動した名前入りのクリスマスe-cardが届いてます系。微妙に数字や言い回しが違っていて同じ文面がほとんどない。

 Betty has created a Christmas e-card.
 To view this eCard please follow this link or paste the following url into your web browser:
 http://yourdecember.com?6030ad32079fc63d1293380411
 Your eCard will be available for the next 20 days.
 Kimberly has just posted a Christmas Postcard.
 Click here to view your card:
 http://justchristmasgift.com?4d64d49da5146c7f1d1b0
 Regards, Webmaster

誘導先のドメインは、これら

 justchristmasgift.com 
 directchristmasgift.com 
 livechristmasgift.com 
 yourdecember.com 
 cheapdecember.com 

そしてこれらのドメインはdouble-flux。Aレコードは、TTL=0で、毎回異なるIPアドレスが応答されます。

 ;; QUESTION SECTION:
 ;yourdecember.com.              IN      A
 
 ;; ANSWER SECTION:
 yourdecember.com.       0       IN      A       70.24.107.174
 
 ;; AUTHORITY SECTION:
 yourdecember.com.       172784  IN      NS      ns3.yourdecember.com.
 yourdecember.com.       172784  IN      NS      ns4.yourdecember.com.
 yourdecember.com.       172784  IN      NS      ns5.yourdecember.com.
 yourdecember.com.       172784  IN      NS      ns6.yourdecember.com.
 yourdecember.com.       172784  IN      NS      ns1.yourdecember.com.
 yourdecember.com.       172784  IN      NS      ns2.yourdecember.com.

NSレコードに関してもこんな感じでTTL=0でアドレスが変わります。なのでdouble-flux。

 ;; QUESTION SECTION:
 ;ns3.yourdecember.com.          IN      A
 
 ;; ANSWER SECTION:
 ns3.yourdecember.com.   0       IN      A       81.224.113.142
 
 ;; AUTHORITY SECTION:
 yourdecember.com.       172691  IN      NS      ns4.yourdecember.com.
 yourdecember.com.       172691  IN      NS      ns5.yourdecember.com.
 yourdecember.com.       172691  IN      NS      ns6.yourdecember.com.
 yourdecember.com.       172691  IN      NS      ns1.yourdecember.com.
 yourdecember.com.       172691  IN      NS      ns2.yourdecember.com.
 yourdecember.com.       172691  IN      NS      ns3.yourdecember.com.

メール文中のURLをクリックするとこんなページに飛びます。

アクセスすると

 google-analysis.js

が実行されます。VirusTotalの結果

クリックすると

 ecard.exe

がダウンロードされます。VirusTotalの結果

感染するとbot仲間になると共に下記のようなアドレスに情報をPUTしようとします。PUTする量が大量なので、解析はまだ時間がかかります。

 99.236.47.238
 99.244.169.127
 116.122.25.144
 116.254.87.118
 116.73.41.45
 116.74.181.12
 124.13.227.4
 124.21.244.186
 124.79.29.116
 125.163.244.92
 125.41.87.82
 148.245.125.199
 212.69.49.12
 213.66.99.225
 220.224.231.73
 221.223.130.74
 24.24.186.141
 60.31.94.54
 61.102.212.18
 61.238.16.83
 76.25.195.117
 76.89.100.221
 77.252.98.96
 82.233.183.147
 82.78.142.146
 83.131.228.111
 83.191.233.15
 83.31.140.66
 84.16.228.132
 84.228.137.182
 84.237.134.103
 85.185.119.42
 85.196.183.244
 85.232.254.214
 85.255.109.83
 86.100.217.214
 86.107.149.138
 86.126.20.9
 86.126.37.96
 87.110.51.157
 88.148.101.139
 89.45.136.200
 89.74.204.108
 89.77.53.132
 92.249.152.117
 93.177.144.51
 98.221.243.14

次はNewYeay系ですかね。

[カテゴリ:botnet観察日記]

by jyake