とりあえず、CWSandbox (www.cwsandbox.org) へアップして片っ端から解析。
ボットがIRCサーバへログインするためのUsernameやChannelの情報は得られる。ということは、IRCクライアントを使って、ボットネットへ参加した振りができる?そして、tcpdumpとか走らせておけば、ハーダ(指令者)用のアカウント情報をキャプチャーできてしまったりできないだろうか。後でやってみよう。
2008年4月23日水曜日
ボット・ハーダのアカウント取得を試みる。
Nepenthesで集まったマルウェアの検体数も230個を超えた。何かの役に立たないだろうか。
とりあえず、CWSandbox (www.cwsandbox.org) へアップして片っ端から解析。
ボットがIRCサーバへログインするためのUsernameやChannelの情報は得られる。ということは、IRCクライアントを使って、ボットネットへ参加した振りができる?そして、tcpdumpとか走らせておけば、ハーダ(指令者)用のアカウント情報をキャプチャーできてしまったりできないだろうか。後でやってみよう。
とりあえず、CWSandbox (www.cwsandbox.org) へアップして片っ端から解析。
ボットがIRCサーバへログインするためのUsernameやChannelの情報は得られる。ということは、IRCクライアントを使って、ボットネットへ参加した振りができる?そして、tcpdumpとか走らせておけば、ハーダ(指令者)用のアカウント情報をキャプチャーできてしまったりできないだろうか。後でやってみよう。
2117966。net、414151。com に続き
http://www。2117966。net/fuckjp.js や http://www。414151。com/fjp.js に続き、
以下のリンクを埋め込まれてるサイトがいくつも。。。またSQLインジェクションで攻撃された模様。
<script src=http://www。nihaorr1。com/1.js>
(↑ マルウェアに感染するのでアクセスしないように。)
Whoisで確認すると、またもや中国。しかし、今度は日本のサイトだけがターゲットになっているわけではない模様。最終的にオンラインゲームのパスワードかなんかを盗むマルウェアに感染するみたい。一次検体は、VirustotalによるとKasperskyでも検知できず。
以下のリンクを埋め込まれてるサイトがいくつも。。。またSQLインジェクションで攻撃された模様。
<script src=http://www。nihaorr1。com/1.js>
(↑ マルウェアに感染するのでアクセスしないように。)
Whoisで確認すると、またもや中国。しかし、今度は日本のサイトだけがターゲットになっているわけではない模様。最終的にオンラインゲームのパスワードかなんかを盗むマルウェアに感染するみたい。一次検体は、VirustotalによるとKasperskyでも検知できず。
2008年4月16日水曜日
ClamAVでマルウェアをスキャンしてみた。
Fedora Core 5にアンチウイルス(ClamAV)をインストール。
# wget http://freshmeat.net/redir/clamav/29355/url_tgz/clamav-0.93.tar.gz
# tar xvzf clamav-0.93.tar.gz
# cd clamav-0.93
# useradd -d /usr/share/clamav -s /sbin/nologin clamav
# ./configure --prefix=/usr --sysconfdir=/etc
# make
# make install
# vi /etc/freshclam.conf
# Comment or remove the line below.
#Example ←コメントアウト
クーロンで1時間毎にシグネチャ更新。
0 0-23/1 * * * /usr/bin/freshclam
Nepenthesで収集した203個のマルウェアをスキャンしてみた。
clamscan --infected --remove --recursive /tmp/malware/
うち18個は検知できなかった。
# wget http://freshmeat.net/redir/clamav/29355/url_tgz/clamav-0.93.tar.gz
# tar xvzf clamav-0.93.tar.gz
# cd clamav-0.93
# useradd -d /usr/share/clamav -s /sbin/nologin clamav
# ./configure --prefix=/usr --sysconfdir=/etc
# make
# make install
# vi /etc/freshclam.conf
# Comment or remove the line below.
#Example ←コメントアウト
クーロンで1時間毎にシグネチャ更新。
0 0-23/1 * * * /usr/bin/freshclam
Nepenthesで収集した203個のマルウェアをスキャンしてみた。
clamscan --infected --remove --recursive /tmp/malware/
うち18個は検知できなかった。
登録:
投稿 (Atom)
