cNotes 検索 一覧 カテゴリ

zlkon.lv から gumblar.cn へ

Published: 2009/06/04

create at 2009/05/07update at 2009/06/04

GGaT & Mudrockさんの書かれたGENO(ZLKON)ウイルス 新たな脅威?の後、ゴールデンウィークに入ってからzlkonの変異タイプ?のインジェクションが拡大しているようです。

たとえばこのようなスクリプトがインジェクションされていて、

解読するとこうなります。

gumblar.cnは中国のレジストラで取得されたドメインでIPアドレスは固定で現状はロシアです。

 gumblar.cn.             300     IN      A       94.229.65.172
 ;; AUTHORITY SECTION:
 gumblar.cn.             300     IN      NS      ns2.everydns.net.
 gumblar.cn.             300     IN      NS      ns3.everydns.net.
 gumblar.cn.             300     IN      NS      ns1.everydns.net.
 gumblar.cn.             300     IN      NS      ns4.everydns.net.
 ;; ADDITIONAL SECTION:
 ns1.everydns.net.       300     IN      A       208.76.56.56
 ns2.everydns.net.       300     IN      A       208.76.62.100
 Domain Name: gumblar.cn
 ROID: 20090422s10001s30804494-cn
 Domain Status: ok
 Registrant Organization: NetworkProtect
 Registrant Name: TiankaiCui
 Administrative Email: cuitiankai@googlemail.com
 Sponsoring Registrar: 
 Name Server:ns1.everydns.net
 Name Server:ns2.everydns.net
 Registration Date: 2009-04-22 03:24
 Expiration Date: 2010-04-22 03:24
 inetnum:        94.229.65.160 - 94.229.65.191
 netname:        LIMIT-SUREHOST-IP-3
 descr:          LIMIT SUREHOST IP RANGE 3
 country:        RU
 admin-c:        AAS188-RIPE
 tech-c:         AAS188-RIPE
 status:         ASSIGNED PA
 mnt-by:         UKSERVERS-MNT
 changed:        david@ukservers.com 20081209
 source:         RIPE

傍目から見てもwindowsでNT6が対象のようです。アンチデバッグ環境的な変な動きもするようです。

しかし、windows vistaへの買い替え、ましてやwindowsから他OSへの乗り換えを推奨する攻撃ってわけでもないでしょうが。。。状況は怖いので、他のOSを使うというも解決法の一つではあります。

感染は下記のようような感じ

http://gumblar.cn/rss/?id=xxxxxxxxxxxx ⇒ 一段階目の環境チェック?アクセス制限機能の一つ?

http://gumblar.cn/rss/?id=2 ⇒ Virustotalの結果

http://gumblar.cn/rss/?id=3 ⇒ Virustotalの結果

http://gumblar.cn/rss/?id=10 ⇒ Virustotalの結果

アンチウィルスの反応は非常に悪いです。downloadされるファイルがころころ変わるのかもしれません。

また何かしらのアクセス制限をされていて、一定期間?同一IPからのファイルのダウンロードはできなくなります。

多くのURLフィルタでこのドメインはブロックされるようになってますので、とりあえず気づくことはできるようになっているかもしれませんが、ドメインをgumblar.cnから変更されれば終わりです。また、インジェクションされているサイトの検出はほぼスルーです。一部のリンクチェッカーは反応してくれるようでgoogleの検索結果にインジェクションされたサイトが含まれていても反応してくれますが、完全ではありません。

インジェクションされているスクリプトも下記のようにバリエーションがあり、あきらかにランダムにオートジェネレートされているっぽいのでパターンマッチの自動化も難しいですね。

たぶんMalicious PDF Server injectionとも関連してるかな?となると関連するのがもう一ついますので、後ほど書きます。「iframe src系」「script src系」から次の手法に変化したってことですかね。

とりあえずブラウザのjavascript機能はデフォルトOFFにすることが基本ですかね。iframeも禁止にすることでより強固になりますが、今の世の中、両方をOFFにするとまともにページが表示できなくなりますので、少なくともjavascriptはOFFで。

[カテゴリ:インジェクション観察日記]

by jyake