阿碼外傳-阿碼科技非官方中文 Blog: 2011/8/21

2011年8月21日

k985ytv 大規模感染行動持續進行,散播偽冒的防毒軟體

(作者: Wayne Huang, Chris Hsiao, NightCola Lin, Fyodor Yarochkin)

在8月14日,我們開始發現另一波大規模感染,透過被感染的網站大量散播偽冒的防毒軟體。此攻擊目前仍然在持續進行,以下是我們的報導。

[大綱]

[1. 摘要]
[2. 瀏覽者遭受感染的過程]
[3. 散播偽冒的防毒軟體]
[4. ftp log 樣本(來自受感染的網站)]
[5. 部份受感染的網站列表及截圖]

[1. 摘要]

1. 一開始偵測到的日期: 8月14日。
2. 受感染網站的數量: 我們估計至少有 22,400 個網域 (unique)。攻擊者第一波的攻勢並沒有成功,因此 Google 索引 超過了 536,000 被感染的網頁。然而,在之後的攻勢中攻擊者修正了注入的 pattern,讓惡意程式碼 (script) 的部份能夠正確的被執行 (不像第一波攻擊中只是被顯示出來而已)。 在此之後,Google 就不再索引這些被感染的網站了。
3. 被注入的惡意程式碼 (script):
第一波 (沒有使用到no <script> tag ,因此有被 Google 索引到):
上述完整的文字可以在這裡找到。

之後的攻勢 (加上了 <script> tag,因此惡意程式碼 (script) 可以被正確執行)
上述完整的文字可以在這裡找到。
上述完整的文字可以在這裡找到。

4. 攻擊碼(Exploit code) 相關資訊: 使用BlackHole exploit pack 的變種版本,進行 Drive-by download。

5. 惡意程式: 偽冒的防毒軟體,在不同的作業系統會顯示出不同的名稱: Winsods XP中顯示的是 "XP Security 2012" under Windows XP,Windows Vista中是 "Vista Antivirus 2012",而 Windows 7中則是 "Win 7 Antivirus 2012"。

6. 感染方式: 主要是透過偷來的 FTP 帳密,使用自動化程式對網站的FTP 服務進行抓取檔案,注入惡意程式碼 (script),再上傳回網站的步驟。FTP 帳密是從被惡意程式感染的個人電腦中取得的。惡意程式會搜尋個人電腦中儲存的 FTP 帳號密碼,同時會監聽 FTP 的流量,之後將盜取到的帳密資訊傳回給攻擊者。

7. 惡意網域及相關IPs:
重導站:
1. hysofufewobe.com (ex: http://hysofufewobe.com/k985ytv.htm)
2. zirycatum.com (ex: http://zirycatum.com/k985ytv.htm)
3. numudozaf.com (ex: http://numudozaf.com/k985ytv.htm)

上述所有都解析到相同的IP:178.17.163.92 (位於Moldova (烏克蘭南端)),在7月25日透過同一個人: "Alexandr S Grebennikov" 註冊。

攻擊碼是由以下幾個網域提供:
1. jbvnhw.com (ex: http://jbvnhw.com/i87yta.htm)
2. mlvurp.com (ex: http://mlvurp.com/i87yta.htm)
3. rprlpb.com (ex: http://rprlpb.com/i87yta.htm)
4. efnxkg.com (ex: http://efnxkg.com/i87yta.htm)

以上也都解析到同一個IP: 69.50.202.74 (AS18866)(位於美國),屬於 Atjeu Website Hosting。在8月14日使用名字: "Alardo Macias" 進行註冊。

8. 防毒軟體偵測率: 目前在 VirusTotal上是 5 / 43 :

[2. 瀏覽者遭受感染的過程]

為了顯示瀏覽者是如何遭受感染以及我們是如何分析的過程,我們錄製了以下影片:


[3. 散播偽冒的防毒軟體]

偽冒的防毒軟體會在不同的作業系統會顯示出不同的名稱: Winsods XP中顯示的是 "XP Security 2012" under Windows XP,Windows Vista中是 "Vista Antivirus 2012",而 Windows 7中則是 "Win 7 Antivirus 2012"。以下為部份截圖:

[4. ftp log 樣本(來自受感染的網站)]

204.12.252.138 UNKNOWN user1004 [14/Aug/2011:22:31:51 -0500] "LIST /example.com/ftp/" 226 11862
204.12.252.138 UNKNOWN user1004 [14/Aug/2011:22:31:51 -0500] "TYPE I" 200 -
204.12.252.138 UNKNOWN user1004 [14/Aug/2011:22:31:51 -0500] "PASV" 227 -
204.12.252.138 UNKNOWN user1004 [14/Aug/2011:22:31:51 -0500] "SIZE index.htm" 213 -
204.12.252.138 UNKNOWN user1004 [14/Aug/2011:22:31:51 -0500] "RETR index.htm" 226 12573
204.12.252.138 UNKNOWN user1004 [14/Aug/2011:22:31:51 -0500] "TYPE I" 200 -
204.12.252.138 UNKNOWN user1004 [14/Aug/2011:22:31:51 -0500] "PASV" 227 -
204.12.252.138 UNKNOWN user1004 [14/Aug/2011:22:31:51 -0500] "STOR index.htm" 226 13018

[5. 部份受感染的網站列表及截圖]


uwpagina.nl
mydesert.com
paramountcommunication.com
freebloggiveaways.com
sikhsangeet.com
thenewcivilrightsmovement.com
shakeshack.com
greenandcleanmom.org
noor7.us
restorationsos.com
gopusanj.com
amateurmodelsite.com
animationblogspot.com
accessoryworld.net.au
advancedwaterfilters.com
autoventa.com.bo
usgoldbuyers.com
kharidani.biz
nwp4life.com
chicagofree.info
howwazyourweekend.com
marinerslearningsystem.com
articleolive.com
pitchanything.net
toysonics.com
diaperdecisions.com
realtimedesigner.com
group-games.com
coffeebreakwithlizandkate.com
tvtopten.com
la-zen.com
mountainmaids.com
healthlady.com
articleality.com
shophenna.com
lifescircle.info
xmworks.com
articleoncall.com
trainace.com
grupo20.com
tinkfanatic.com
metrokingpc.ca
rapidgiveawayprofits.com
icebreakers.ws
9y3h.com
miamitvchannel.com
beemaster.com
buydropstop.com
freeautoblogger.com
bid4agents.com
interstateplastics.com
b3bootcamp.net
bestbuyuniforms.com
antigravityinc.com
azholisticchamber.com
root-h.org
affiliateplrmarketing.com
justinmichie.com
cyberbullyingreport.com
creativeblogsolutions.com
advancedfanpagesolutions.com
sungrubbies.com
homewiththeboys.net
marsvenus.com
nhwellnesscenters.com
universityfashions.com
bandjob.com
atmananda.com
flyl4l.com
filmyforum.com
iftn.ie
rjharris2012.com
heppellmedia.com
unionsquarecafe.com
vatanfilm.co.cc
statebrief.com
daylabor.org
affnet.com
passingthru.com 906065,775885.net
khojit.com.au
listacquisition.com
vestalwatch.com
printedblindsfactory.com
oauq.org
theoriginalrudebitch.com
quickcash4.us
intraligilaw.ca
ohswekenspeedway.com
autosenbolivia.net
cityclassifiedsads.com
keepingmeposted.com
henckengaines.com
sportsmatchmaker.com
premiereworks.com
ahyasalam.com
sandiegoduilawyer.com
wecravegamestoo.com
vodkasobieski.com
itrmagictricks.com
f1racefactory.com
epoquehotels.us
freakshowvideo.com
write-solution.com
hydrocephaluskids.org
intersectioncapital.com

killzonezero.com
www.en.chosenfewurbano.com
www.generalmoly.com
www.pinnint.com
www.hiphop.org
www.fiftysevendegrees.com
spbaseball.org
www.ohiogisociety.org
www.senjomartialarts.com
www.assignmentproof.com
tulakesbaptist.com
www.generalmoly.com
www.balboaparkdancers.org
sho-ryders.com
www.azholisticchamber.com
www.ajseatery.com
www.thegrangelifestylevillage.com.au
www.north-fayette.com
tilos.com
www.parteen-gaa.com
www.hawaiiancouncil.org
www.levi-catering.com
sbnmarble.com
sayanythingblog.com
cincyshopper.com
www.fiftysevendegrees.com
www.cincygardens.com
www.freeridesurfshop.com
sayanythingblog.com
steve-watt.com
www.thacoshammer.info
www.stevenjackson.net
www.dearborndumpsterrental.com
basementrejects.com
www.hawaiiancouncil.org
www.frostbrothersentertainment.net
www.levi-catering.com
www.chicagodumpsterrental.org
www.center44.com
sbnmarble.com
www.chicagodumpster.org
buysomenow.com
www.noinkonyourfingers.com
www.nashvilledesign.com
photocrystal.biz
www.momsclubofbranchburg.org
www.cardboardrecycling.freedumpsterrental.com
www.atlantadumpster.org
designresumes.com
www.fiftysevendegrees.com
3millionfans.com
lpmndc.org
www.bugfreeservices.com
ibvsct.com

繼續閱讀全文...