I'n Blog 之萬象真藏

來自.HK的信件攻擊
近日發現多起以.HK網域寄發的電子郵件，包含惡意JAVA語法與夾帶文件，
並試圖啟動瀏覽器上的弱點予以攻擊植入，還包括之前出現過的網頁游標弱點，
讓如果點選惡意連結，就會開始幫您下載fun.exe
但這可不是好玩的因為一堆病毒木馬開始住進你家電腦裡。

這事件的意義不是要大家注意香港的 垃圾信 ，要建立良好的收信看信習慣：

1. 盡量少開啟信件預視功能。
2. 不認識的信盡量不要收下開啟。
3. 認識的信也要注意，因為可能為假冒信件或是他人已中毒擴散。
4. 使用信件軟體時盡量建立垃圾郵件排除規則。
5. 只要是連結，都先盡量不去點選。
6. 只要是附件，要先確認或掃毒後才能開啟，如非必要也少開啟。

Attack involving .hk domains
Published: 2007-06-16,
Last Updated: 2007-06-16 12:07:05 UTC
http://isc.sans.org/diary.html?storyid=2985

by Maarten Van Horenbeeck (Version: 1)
Eric, one of our many valued contributors wrote in yesterday with various spam messages that contained nothing but a short piece of text and a link to a very simple HK domain. Different domains were used in each message.

Subject line: Hello, Pal
Body: look

http://[domain].hk

When investigating this, we noticed that these domains have no less than 10 authorative nameservers. Most interesting is that each of these appear to be located within an ISPs dynamic IP address range. This is naturally highly suspicious. Random querying for A records shows that a large number of other compromised hosts are being used to host the actual website.

On each of these servers, the index.html page contains nastiness:

One piece of obfuscated javascript code, that once decoded appears to exploit a known vulnerability in msdss.dll;
One piece of obfuscated javascript which contains iframe inclusion of three other files, exp1.htm, exp2.htm and exp3.htm and a link to an icon file 123.htm. The three HTM files attempt to exploit three vulnerabilities in Internet Explorer, the 123.htm file in fact turns out to be a malicious ANI file.
A final piece of human readable text that invites a user to click on a link, should the ‘download not start automatically’. Once you click on this link, a file ‘fun.exe’ will be downloaded from this same web server.
The resulting file ‘fun.exe’ appears to be different on each single server. We have currently seen the following SHA1 hashes:

810cac98916a018162792494bb1029cd52136431
64d4d736dd973bdee2be325560d2e2896992838c
9399cdd56e92c492dff1430de2da98dbbec60af8

Detection of the code by regular Anti-virus is very spotty, shown by the following output of Virustotal. These were the only solutions that detected malicious code. As you can see, even these are mostly generic detections:

BitDefender 7.2 06.16.2007 GenPack:Trojan.Peed.NG
CAT-QuickHeal 9.00 06.15.2007 (Suspicious) - DNAScan
DrWeb 4.33 06.16.2007 Trojan.Packed.138
eSafe 7.0.15.0 06.14.2007 Suspicious Trojan/Worm
Fortinet 2.85.0.0 06.16.2007 suspicious
F-Secure 6.70.13030.0 06.15.2007 Tibs.gen111
Kaspersky 4.0.2.24 06.16.2007 Email-Worm.Win32.Zhelatin.eu
Norman 5.80.02 06.15.2007 Tibs.gen111
Sophos 4.18.0 06.12.2007 Mal/EncPk-E
Sunbelt 2.2.907.0 06.16.2007 VIPRE.Suspicious
Webwasher-Gateway 6.0.1 06.16.2007 Worm.Win32.Malware.gen (suspicious)

This type of well-prepared and extensive attack is very difficult to shut down, mostly due to the amount of servers and authorities involved. As such, the most effective way of responding would be to have the domain itself taken down. This issue has been reported to the HKCERT as well as the administrators of the .hk TLD. In addition, we’re working with anti virus vendors to improve coverage of both the resulting file and the trojan droppers being used on the malicious site.

Cheers,
Maarten Van Horenbeeck


「.hk」に注意、悪用目的の香港ドメインが急増
「.hk」のドメインを使い、さまざまな脆弱性を悪用したスパム攻撃が多発している。
2007年06月19日 09時31分 更新
　香港のドメイン「.hk」を使ったスパム攻撃が多発している。リンクをクリックすると、さまざまな脆弱性を悪用したサイトに誘導される。

　SANS Internet Storm Centerは、悪質サイトへのリンクを含んだごく簡単な内容のスパムメールが出回っていると伝えた。メール本文では「Look」（見て）などの一言と、香港ドメインへのリンクのみが記載されている。

　これに先立ちセキュリティ企業のSophosも、香港ドメインの急増を報告していた。主にバイアグラなどの薬品を宣伝するスパムに使われているという。

　SANSによれば、各メールごとに使われているドメインは異なるが、サイトのホスティングには、ハッキングされたホストが多数使われているという。

　それぞれのサーバには、難読化され見えにくくしたJavaScriptコードなどの不正コードが仕掛けられ、msdss.dllの脆弱性やInternet Explorer（IE）の脆弱性、アニメーションカーソルの脆弱性などが悪用されている。

　これらの攻撃コードは、通常のウイルス対策ソフトでは検出できたりできなかったりと、むらがあるという。SANSでは攻撃に使われているドメイン自体を 無効にするため、HKCERTと.hkドメインの管理者に通報するとともに、ウイルス対策ソフトメーカー各社と協力して対応に当たっている。