Published: 2006-05-12,
:2006-05 - 12を発表しました、
Last Updated: 2006-05-12 00:23:57 UTC by Bojan Zdrnja (Version: 1)
最新アップデート:2006-05-12 ボーヤン Zdrnja によっての00:23:57の UTC (バージョン:1)
:2006-05 - 12を発表しました、
Last Updated: 2006-05-12 00:23:57 UTC by Bojan Zdrnja (Version: 1)
最新アップデート:2006-05-12 ボーヤン Zdrnja によっての00:23:57の UTC (バージョン:1)
One of our readers, Chris, sent us a URL to an interesting site. The site in question tries to install some spyware on the users' machine. This in itself is not interesting, but some "more advanced" features that we've seen deployed on this site are.
我々の読者の1人、クリス、が面白いサイトに我々に URL を送ってくれました。 問題のサイトはユーザーのマシンの上にいずれかのスパイウェアをインストールしようとします。 これはそれだけで面白くありません、しかし我々がこのサイトで働かせられるのを見た若干の「いっそう進歩した」特徴がそうです。
The site creators first setup a wildcard DNS entry for their domain, so anything prefixed to their domain name will go to their web server. They needed to do this so they can try to poison Google rates and enhance their page rankings when users are searching for potential keywords. In Chris' case, he was looking for information about one higher education institution (the attack is not limited to higher education institutions; we've seen a lot of other "poison" attempts from this group).
1ワイルドカードサイト創造者最初のセットアップ(彼・それ)らのドメインへの DNS エントリー、(彼・それ)らのドメイン名に前接続された何でも(彼・それ)らの Web サーバに行くように. (彼・それ)らが Google レートを毒殺して、そして、ユーザーが潜在的なキーワードを捜しているとき、(彼・それ)らのページ順位表を拡張しようとすることができるように、(彼・それ)らはこれをする必要がありました。 クリスのケースで、彼は1つのより高等な教育機関についてのインフォメーション(攻撃は高等教育機関に制限されません;我々はこのグループから多くの他の「毒」の試みを見ました)を探していました。
Now they have the basis for their attacks and we come to the interesting part. As a security researcher, you should always be careful when accessing unknown URLs (if you want to try it with a browser, probably the best way is to use one in a virtual machine). So, we decided to use wget to download the initial index.html web page, to see what's inside. Surprisingly, wget didn't manage to download anything:
今(彼・それ)らは(彼・それ)らの攻撃の基礎を持っています、そして我々は面白い地域に来ます。 セキュリティー研究者として、未知の URL (もしあなたがブラウザでそれを試みることを望むなら、おそらく最も良い方法がバーチャルマシンで1(人・つ)を使うことです)にアクセスするとき、あなたは常に注意深くあるべきです。 それで、我々は wget を最初の index.html Web ページをダウンロードして、中にあるものを見るために使うことに決めました。 驚くべきことに、 wget が何かをダウンロードすることに成功しませんでした:
$ wget http://[REMOVED].ascii. zstopers.com
$ wget http://[REMOVED].ascii. が zstopers.com します
--10:56:29-- http://[REMOVED].ascii. zstopers.com/
- 10:56:29 - http://[REMOVED].ascii. zstopers.com /
=> `index.html'
= > 「index.html」
Resolving [REMOVED].ascii. zstopers.com... 66.246.246.215
[削除された] .ascii. zstopers.com を解決する・・・。 66.246.246.215
Connecting to [REMOVED].ascii. zstopers.com|66.246.246.215|:80... connected.
[削除された] .ascii. zstopers.com に接続すること | 接続された66.246.246.215の |:80 。
HTTP request sent, awaiting response... 403 Forbidden
HTTP のリクエストが、応答を待ち受けて、送信しました・・・。 403が禁じられます
10:56:30 ERROR 403: Forbidden.
10:56:30のエラー403:禁じられました。
Hmm, forbidden. Ok, that goes with what Chris told us in his e-mail that the site seems to be down now. Being curious as we are (otherwise you won't be reading this diary) we decided to try the same site with Internet Explorer (in a virtual machine, of course).
ふーん、禁じられました。 オーケー、それはクリスが彼の電子メールで我々にサイトが今下がっているように思われると言ったものに付随します。 我々が(バーチャルマシンで、もちろん、)インターネット・エクスプローラで同じサイトを試みるために決断した、我々がそうであるように、不思議であること(さもなければあなたはこの日記を読んでいないでしょう)。
What we got: (I've removed the domain prefix, which showed higher education institution, but the spyware domain is still visible there):
我々が手に入れたもの:(私はより高等な教育機関を見せたドメイン接頭辞を削除しました、しかしスパイウェアドメインはそこ(に・で)まだ目に見えます) :
Notice the ActiveX control up there? That's what they want you to install. The popup will be shown until the user decides to install the ActiveX control. Keep in mind that other Internet Explorer versions will actually show a window asking the user to install the ActiveX component.
あちら(に・で) ActiveX コントロールに気付きます? それは(彼・それ)らがあなたがインストールすることを望むものです。 ユーザーが ActiveX コントロールをインストールすることに決めるまで、ポップアップは見せられるでしょう。 他のインターネット・エクスプローラバージョンが実際にユーザーに ActiveX コンポーネントをインストールするように求めてウインドウを見せるであろうということを念頭においてください。
So, why didn't our wget work? Let's try with Mozilla:
それで、我々の wget はなぜ働きませんでしたか? Mozilla と一緒に試みましょう:
Interesting! They detect what kind of browser is running, probably by parsing the User Agent field.
面白いです! (彼・それ)らはどんな種類のブラウザが、おそらくユーザーのエージェントフィールドを解析することによって、走っているか検出します。
So, let's try to download the web page (just the index.html) file with wget, but this time faking the User Agent field, so the remote site will think that we are actually using Internet Explorer. If you're wondering what the User Agent field should look like, the easiest way is to check web server logs on one of the servers you have access to. Below we used Internet Explorer's User Agent field.
それで、 wget で、しかし今回はユーザーのエージェントフィールドを偽造して Web ページ(ただ index.html)ファイルをダウンロードしようとしましょう、それで遠いサイトは我々が実際にインターネット・エクスプローラを使っていると考えるでしょう。 もしあなたがユーザーのエージェントフィールドが何のように見えるべきであるかと思っているなら、最も容易な方法はあなたがアクセスを持っているサーバーの1つで Web サーバログをチェックすることです。 下に我々はインターネット・エクスプローラのユーザーのエージェントフィールドを使いました。
$ wget -U "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" http://[REMOVED].ascii. zstopers.com/
$ wget U「Mozilla/4.0 (互換機; MSIE 6.0; Windows NT 5.1)」 http://[REMOVED].ascii. が / zstopers.com します
--11:04:52-- http://[REMOVED]. zstopers.com/
- 11:04:52 - http://[REMOVED]. zstopers.com /
=> `index.html'
= > 「index.html」
Resolving [REMOVED].ascii. zstopers.com... 66.246.246.215
[削除された] .ascii. zstopers.com を解決する・・・。 66.246.246.215
Connecting to [REMOVED].ascii. zstopers.com|66.246.246.215|:80... connected.
[削除された] .ascii. zstopers.com に接続すること | 接続された66.246.246.215の |:80 。
HTTP request sent, awaiting response... 200 OK
HTTP のリクエストが、応答を待ち受けて、送信しました・・・。 200 OK
Length: unspecified [text/html]
長さ:特定されていない[テキスト / html ]
[ <=> ] 18,416 42.02K/s
[ <=> ]18,416 42.02K / s
11:04:53 (41.87 KB/s) - `index.html' saved [18416]
11:04:53(41.87KB / s) - セーブされた「index.html」[18416]
Aha! So they do use the User Agent field to detect what browser you are running and then send you to different web pages depending on it.
アハ! それで(彼・それ)らはユーザーのエージェントフィールドをあなたがどんなブラウザを走らせているか検出して、そして次にそれによってあなたを異なった Web ページに行かせるために使います。
Further investigation of the index.html web page showed that it calls a JavaScript which then tries to install the WinAntiSpyware2006FreeInstall.cab, a well known spyware application, which some anti-virus vendors even detect as Trojans.
index.html Web ページのさらなる調査がそれがそれから WinAntiSpyware2006FreeInstall.cab をインストールしようとする JavaScript 、よく知られているスパイウェアアプリケーションを呼び出すことを示しました、そしてそれを若干の対ウイルスのベンダーが Trojan Horses として検出しさえします。
Those guys are definitely getting better and are actively adding new features to their malware. Remember the -U option for wget, it is very handy in cases like this.
それらの男たちは確かにもっと良くなっていて、そして活発に(彼・それ)らの悪性ソフトに新しい特徴を加えています。 wget の - U選択を覚えていてください、それはこのようなケースで非常に有用です。
我々の読者の1人、クリス、が面白いサイトに我々に URL を送ってくれました。 問題のサイトはユーザーのマシンの上にいずれかのスパイウェアをインストールしようとします。 これはそれだけで面白くありません、しかし我々がこのサイトで働かせられるのを見た若干の「いっそう進歩した」特徴がそうです。
The site creators first setup a wildcard DNS entry for their domain, so anything prefixed to their domain name will go to their web server. They needed to do this so they can try to poison Google rates and enhance their page rankings when users are searching for potential keywords. In Chris' case, he was looking for information about one higher education institution (the attack is not limited to higher education institutions; we've seen a lot of other "poison" attempts from this group).
1ワイルドカードサイト創造者最初のセットアップ(彼・それ)らのドメインへの DNS エントリー、(彼・それ)らのドメイン名に前接続された何でも(彼・それ)らの Web サーバに行くように. (彼・それ)らが Google レートを毒殺して、そして、ユーザーが潜在的なキーワードを捜しているとき、(彼・それ)らのページ順位表を拡張しようとすることができるように、(彼・それ)らはこれをする必要がありました。 クリスのケースで、彼は1つのより高等な教育機関についてのインフォメーション(攻撃は高等教育機関に制限されません;我々はこのグループから多くの他の「毒」の試みを見ました)を探していました。
Now they have the basis for their attacks and we come to the interesting part. As a security researcher, you should always be careful when accessing unknown URLs (if you want to try it with a browser, probably the best way is to use one in a virtual machine). So, we decided to use wget to download the initial index.html web page, to see what's inside. Surprisingly, wget didn't manage to download anything:
今(彼・それ)らは(彼・それ)らの攻撃の基礎を持っています、そして我々は面白い地域に来ます。 セキュリティー研究者として、未知の URL (もしあなたがブラウザでそれを試みることを望むなら、おそらく最も良い方法がバーチャルマシンで1(人・つ)を使うことです)にアクセスするとき、あなたは常に注意深くあるべきです。 それで、我々は wget を最初の index.html Web ページをダウンロードして、中にあるものを見るために使うことに決めました。 驚くべきことに、 wget が何かをダウンロードすることに成功しませんでした:
$ wget http://[REMOVED].ascii. zstopers.com
$ wget http://[REMOVED].ascii. が zstopers.com します
--10:56:29-- http://[REMOVED].ascii. zstopers.com/
- 10:56:29 - http://[REMOVED].ascii. zstopers.com /
=> `index.html'
= > 「index.html」
Resolving [REMOVED].ascii. zstopers.com... 66.246.246.215
[削除された] .ascii. zstopers.com を解決する・・・。 66.246.246.215
Connecting to [REMOVED].ascii. zstopers.com|66.246.246.215|:80... connected.
[削除された] .ascii. zstopers.com に接続すること | 接続された66.246.246.215の |:80 。
HTTP request sent, awaiting response... 403 Forbidden
HTTP のリクエストが、応答を待ち受けて、送信しました・・・。 403が禁じられます
10:56:30 ERROR 403: Forbidden.
10:56:30のエラー403:禁じられました。
Hmm, forbidden. Ok, that goes with what Chris told us in his e-mail that the site seems to be down now. Being curious as we are (otherwise you won't be reading this diary) we decided to try the same site with Internet Explorer (in a virtual machine, of course).
ふーん、禁じられました。 オーケー、それはクリスが彼の電子メールで我々にサイトが今下がっているように思われると言ったものに付随します。 我々が(バーチャルマシンで、もちろん、)インターネット・エクスプローラで同じサイトを試みるために決断した、我々がそうであるように、不思議であること(さもなければあなたはこの日記を読んでいないでしょう)。
What we got: (I've removed the domain prefix, which showed higher education institution, but the spyware domain is still visible there):
我々が手に入れたもの:(私はより高等な教育機関を見せたドメイン接頭辞を削除しました、しかしスパイウェアドメインはそこ(に・で)まだ目に見えます) :
Notice the ActiveX control up there? That's what they want you to install. The popup will be shown until the user decides to install the ActiveX control. Keep in mind that other Internet Explorer versions will actually show a window asking the user to install the ActiveX component.
あちら(に・で) ActiveX コントロールに気付きます? それは(彼・それ)らがあなたがインストールすることを望むものです。 ユーザーが ActiveX コントロールをインストールすることに決めるまで、ポップアップは見せられるでしょう。 他のインターネット・エクスプローラバージョンが実際にユーザーに ActiveX コンポーネントをインストールするように求めてウインドウを見せるであろうということを念頭においてください。
So, why didn't our wget work? Let's try with Mozilla:
それで、我々の wget はなぜ働きませんでしたか? Mozilla と一緒に試みましょう:
Interesting! They detect what kind of browser is running, probably by parsing the User Agent field.
面白いです! (彼・それ)らはどんな種類のブラウザが、おそらくユーザーのエージェントフィールドを解析することによって、走っているか検出します。
So, let's try to download the web page (just the index.html) file with wget, but this time faking the User Agent field, so the remote site will think that we are actually using Internet Explorer. If you're wondering what the User Agent field should look like, the easiest way is to check web server logs on one of the servers you have access to. Below we used Internet Explorer's User Agent field.
それで、 wget で、しかし今回はユーザーのエージェントフィールドを偽造して Web ページ(ただ index.html)ファイルをダウンロードしようとしましょう、それで遠いサイトは我々が実際にインターネット・エクスプローラを使っていると考えるでしょう。 もしあなたがユーザーのエージェントフィールドが何のように見えるべきであるかと思っているなら、最も容易な方法はあなたがアクセスを持っているサーバーの1つで Web サーバログをチェックすることです。 下に我々はインターネット・エクスプローラのユーザーのエージェントフィールドを使いました。
$ wget -U "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" http://[REMOVED].ascii. zstopers.com/
$ wget U「Mozilla/4.0 (互換機; MSIE 6.0; Windows NT 5.1)」 http://[REMOVED].ascii. が / zstopers.com します
--11:04:52-- http://[REMOVED]. zstopers.com/
- 11:04:52 - http://[REMOVED]. zstopers.com /
=> `index.html'
= > 「index.html」
Resolving [REMOVED].ascii. zstopers.com... 66.246.246.215
[削除された] .ascii. zstopers.com を解決する・・・。 66.246.246.215
Connecting to [REMOVED].ascii. zstopers.com|66.246.246.215|:80... connected.
[削除された] .ascii. zstopers.com に接続すること | 接続された66.246.246.215の |:80 。
HTTP request sent, awaiting response... 200 OK
HTTP のリクエストが、応答を待ち受けて、送信しました・・・。 200 OK
Length: unspecified [text/html]
長さ:特定されていない[テキスト / html ]
[ <=> ] 18,416 42.02K/s
[ <=> ]18,416 42.02K / s
11:04:53 (41.87 KB/s) - `index.html' saved [18416]
11:04:53(41.87KB / s) - セーブされた「index.html」[18416]
Aha! So they do use the User Agent field to detect what browser you are running and then send you to different web pages depending on it.
アハ! それで(彼・それ)らはユーザーのエージェントフィールドをあなたがどんなブラウザを走らせているか検出して、そして次にそれによってあなたを異なった Web ページに行かせるために使います。
Further investigation of the index.html web page showed that it calls a JavaScript which then tries to install the WinAntiSpyware2006FreeInstall.cab, a well known spyware application, which some anti-virus vendors even detect as Trojans.
index.html Web ページのさらなる調査がそれがそれから WinAntiSpyware2006FreeInstall.cab をインストールしようとする JavaScript 、よく知られているスパイウェアアプリケーションを呼び出すことを示しました、そしてそれを若干の対ウイルスのベンダーが Trojan Horses として検出しさえします。
Those guys are definitely getting better and are actively adding new features to their malware. Remember the -U option for wget, it is very handy in cases like this.
それらの男たちは確かにもっと良くなっていて、そして活発に(彼・それ)らの悪性ソフトに新しい特徴を加えています。 wget の - U選択を覚えていてください、それはこのようなケースで非常に有用です。