« 2009.08.02 Danger List from CHINA
BLOCK LIST »

[実験中] : 触るな危険!

余談:

martuz.cn に変わったので何が変わったのか挙動をみてみることにしました

が・・
検体取得できない(泣

Win2k の VMスナップを10個くらい吹き飛ばして、ようやくクエリ発行したら

hXXp://martuz.cn/vid/?id=568835

!? なんだそのIDは という数値で返ってきました

ショウガナイので、友人の XP でやってもらったけど、やっぱりダメっぽい。
というわけで IRC 経由で貰っちゃった(笑)

martuz1upx.exe : 17920 Bytes UPX
MD5: b76359a9e8345845b70fbfef2ba6d7bd
SHA-1: af82be2a128cf76cd2b32a8d43085946d684d474

martuz_cn_id10_20090516.exe -- 2009.05.16 6/40 (15.00%)

Analysis Report for martuz1upx.exe

挙動的にはいつもと一緒ですね

自己抹消用のバッチが e.bat になってるくらいかな・・?
もちろん sqlsodbc.chm を改変する部分も変わりません。
AUX = rohkor.ebu

Trojan:Win32/Daonol.D [Microsoft]

AUX = に埋め込まれる本体が完全にランダムなのが改めてよくわかります。
bkthxwj.dqy

この MSの検出名は Generical っぽいですが、Sophosのシグネチャが一番それっぽい気がします。

Troj/Daonol-Fam


---------

VM環境下で .exeを実行してみました
検体は上のやつ from martuz.cn


exe実行!


うーん、警報もなく素通し・・・これはヤバイ(笑)
spybot の TeaTimerが ヒステリックモードになってるはずなのに、見事にすり抜けました。


そして・・・・



なるほど、svchostじゃなくて、直接 IEを操作してるのか・・そりゃ判らないわけです。

この後、RegEditを開こうとしたら、タスクバーごと消えてハングアップ・・・

やばそうなのでスナップショット戻しました(笑)


Vista環境下では、現在の検体では感染できない模様(いくら UAC OKを押しまくっても、そもそもレジストリが違う)

以上、テスト結果でした。


あと、生成された AUX=に登録されるトロイ本体:

MD5: B53959E27A14D488B81C81E691E70D26
Trojan:Win32/Daonol.D


sqvuvmr.xcq -- 05.16.2009 5/40 (15.00%)

Sophosは I WIN ! なんていうだけの事はありますね(笑)

-----------------
感染した人のウィルスチェックが働かないわけだ・・・


感染状態でサンドボックス内に放置していた Windows2000 VM ですが、

6時間で2回、トロイ本体である AUX=xxxxx.xxx を自己書き換えしています。

最後に変更されたものはこんな感じです。


lgifjsu.bsw -- 05.17.2009 1/40 (2.5%)

Microsoftは検出してますけど、 Windows UPDATE (何故か起動する)しても MSRTでは検出できません(当たり前ですが)


なんかもうイヤになってきた(苦笑)

------------------
とにかくヒドい・・

何がひどいかといえば、何か設定を変えるたびに、カリブ海も真っ青な BSoD が発生。
あぁ・・海いきたい・・・

とうとう、毎回 BSoD で吹っ飛んで何もできなくなりました

ひょっとしたら Task が VMwareService.exe の存在を検知してるのかもしれない
(VMwareTrey から sqlsodbc.chm への WRITE が飛んだのは確認済み)

ちなみに何かの通信を行っているのは
95.129.145.57
martuz.cn : 95.129.145.58
すくなくとも、この2つのIPは完全に悪意を持った何者かに操られています。

もう後は、セキュベンダーに任せましょうか~


------------------
なんかもう、現実逃避モードでウィルスの挙動を見ています。
ニーチェの言葉が頭をよぎる(笑)


謎なのは、aux="xxxxxxx.xxx" に登録された存在が何かのタイミングで戻ってくることがあるという話

Computer help: troj/daonol-fam
Can anyone suggest how I can get rid of this trojan. I am running windows xp. I run sophos and it picked up the trojan, sophos cleaned it but it just seems to return.

そんなことはないと思うんだけど・・


あと、 BSoD になる理由が判明

ユーザ認証直後に 95.129.145.57 へ何らかのアクセスに失敗すると・・・?


強引に explorer.exeをクラッシュさせてる様子

これってアレだ・・

下手にIPブロックすると起動できなくなる・・
起動するためには IP情報、その他を抜かれるという・・・

どこまでいやらしいんだオマエハ・・・・

This entry was posted on 月曜日, 1 月 10th, 2000 at 5:14 PM and is filed under RiskHedge. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.

Leave a Reply

*
画像に書かれた文字を入力してください

スパム対策用画像
ログインすると画像認証なしで投稿できます

ホットワード 実験 危険 padding margin 余談
割引クーポンまとめ情報 - クー割