Java脆弱性を悪用するウイルス感染攻撃 オンラインゲームのアカウント搾取ルートキット

 セキュリティ会社Websenseのブログに、Javaの脆弱性CVE-2012-0507を悪用する強制ウイルス感染攻撃(ドライブバイ・ダウンロード攻撃)というのが紹介されてました。この脆弱性は2012年2月にリリースされたJava(バージョン6 Update 31)でちゃんと修正されてるけれど、いかんせんJavaを古いバージョンのまま更新しないで放置しちゃってるWindowsユーザーがたくさんいるため、ウイルス攻撃者側からすればもうウハウハ状態。 号泣
Is CVE-2012-0507 the best toolkit to exploit Mac OS X? (Websense)

 攻撃サイトは「oviqy. com」(IP 184.22.183.37)。ドメイン取得者は米国GoDaddy.comよりいちお中国人となってます。 

http://www.aguse.jp/?m=w&url=oviqy.com

oviqy. com

 現在ここにアクセスしても何も降ってこず。ただ、JavaScript解析サイトjsunpackに2012年4月10日時点のデータが残ってたので調べてみることに。HTMLコードの書き方の特徴から見ても、中国のハッカーが行った攻撃と分かります。中国の普通のアクセス解析サービス(51yes.com)のコードも埋め込まれてます。

jsunpack.jeek.org/software/?report=516126318cd51948f5dfeb4c9a2c0a5a6ba32a79

oviqy. com/web/ac/ac.js
→ OVIQY. COM/web/ac/apple.html (不正なJavaアプレット)
→ OVIQY. COM/web/ac/ac.html (中国のアクセス解析サービスを呼ぶ用)

 jsunpackのデータから、感染することになるWindows用実行ファイルを生成できました。このファイルには無効なものだけどデジタル署名までちゃっかりついてるし。

無効なデジタル署名 Tencent Technology(Shenzhen) Company Limited

 オンラインウイルス解析サイトAnubisに放り投げてみるみる。何か「ahnurl.sys」という怪しいシステムドライバを投下してるのが分かります。 ペロリ

anubis.iseclab.org/?action=result&task_id=1bc808ed5c9c5fd3465c589a470ea5504&format=html
http://www.virustotal.com/file/fa726a662a490a536f6c54d3a26b313790ab9fc514c0116c56a823295bb17495/analysis/1334713700/

 ファイル名でGoogle検索してみと、流行ってるのか韓国のページがよくヒットしてる感じ? 韓国系オンラインゲームのログイン情報を抜き取るルートキット型ウイルスみたいです。

http://www.virustotal.com/file/1f336588b129c6a1d64692677246911a43bf6b3aa811ed4b5390ab96b555853b/analysis/1334714222/

投稿日: 2012/04/17 | カテゴリー: 未分類 | パーマリンク コメントする.

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中