Waledec botnet - StormWormみたいな
Published: 2008/12/27
12/20にbotから大量送信されたのを確認しました。去年と同じく今年もクリスマスからStormWormのキャンペーンが始まったかのように見えましたが、別物のようです。
いわゆるHoliday、ecard系の新種です。
ただ、感染からすべての工程がStormWormそっくりです。
きっかけの多くはクリスマスなメールから始まります。中には脆弱性利用の攻撃により感染することもあります。これもStormWormと同じです。
subjectは
Subject: Merry Xmas! Subject: Christmas greetings e-card is waiting for you Subject: Happy Christmas!
などいろいろ
文面は、To、Fromなどと連動した名前入りのクリスマスe-cardが届いてます系。微妙に数字や言い回しが違っていて同じ文面がほとんどない。
Betty has created a Christmas e-card. To view this eCard please follow this link or paste the following url into your web browser: http://yourdecember.com?6030ad32079fc63d1293380411 Your eCard will be available for the next 20 days.
Kimberly has just posted a Christmas Postcard. Click here to view your card: http://justchristmasgift.com?4d64d49da5146c7f1d1b0 Regards, Webmaster
誘導先のドメインは、これら
justchristmasgift.com directchristmasgift.com livechristmasgift.com yourdecember.com cheapdecember.com
そしてこれらのドメインはdouble-flux。Aレコードは、TTL=0で、毎回異なるIPアドレスが応答されます。
;; QUESTION SECTION: ;yourdecember.com. IN A ;; ANSWER SECTION: yourdecember.com. 0 IN A 70.24.107.174 ;; AUTHORITY SECTION: yourdecember.com. 172784 IN NS ns3.yourdecember.com. yourdecember.com. 172784 IN NS ns4.yourdecember.com. yourdecember.com. 172784 IN NS ns5.yourdecember.com. yourdecember.com. 172784 IN NS ns6.yourdecember.com. yourdecember.com. 172784 IN NS ns1.yourdecember.com. yourdecember.com. 172784 IN NS ns2.yourdecember.com.
NSレコードに関してもこんな感じでTTL=0でアドレスが変わります。なのでdouble-flux。
;; QUESTION SECTION: ;ns3.yourdecember.com. IN A ;; ANSWER SECTION: ns3.yourdecember.com. 0 IN A 81.224.113.142 ;; AUTHORITY SECTION: yourdecember.com. 172691 IN NS ns4.yourdecember.com. yourdecember.com. 172691 IN NS ns5.yourdecember.com. yourdecember.com. 172691 IN NS ns6.yourdecember.com. yourdecember.com. 172691 IN NS ns1.yourdecember.com. yourdecember.com. 172691 IN NS ns2.yourdecember.com. yourdecember.com. 172691 IN NS ns3.yourdecember.com.
メール文中のURLをクリックするとこんなページに飛びます。
アクセスすると
google-analysis.js
が実行されます。VirusTotalの結果
クリックすると
ecard.exe
がダウンロードされます。VirusTotalの結果
感染するとbot仲間になると共に下記のようなアドレスに情報をPUTしようとします。PUTする量が大量なので、解析はまだ時間がかかります。
99.236.47.238 99.244.169.127 116.122.25.144 116.254.87.118 116.73.41.45 116.74.181.12 124.13.227.4 124.21.244.186 124.79.29.116 125.163.244.92 125.41.87.82 148.245.125.199 212.69.49.12 213.66.99.225 220.224.231.73 221.223.130.74 24.24.186.141 60.31.94.54 61.102.212.18 61.238.16.83 76.25.195.117 76.89.100.221 77.252.98.96 82.233.183.147 82.78.142.146 83.131.228.111 83.191.233.15 83.31.140.66 84.16.228.132 84.228.137.182 84.237.134.103 85.185.119.42 85.196.183.244 85.232.254.214 85.255.109.83 86.100.217.214 86.107.149.138 86.126.20.9 86.126.37.96 87.110.51.157 88.148.101.139 89.45.136.200 89.74.204.108 89.77.53.132 92.249.152.117 93.177.144.51 98.221.243.14
次はNewYeay系ですかね。
by jyake