UnderForge of Lack

きのこの日
日本特用林産振興会が制定
たすけあいの日
社会福祉法人 全国社会福祉協議会(全社協)が制定
ぞうりの日
草履興業組合が制定（となっていますが、詳細はみあたらず・・）

----------
品質向上のための移行期間

Adobe Reader 9.2 がようやく直接ダウンロード可能になっているようです。

最新バージョンのAdobe Readerのダウンロード

結城さま、情報＆いつも添削ありがとうございます m(_ _)m

追記：
Herr Katze様から、ダウンロードセンターからも 9.2 が直接ダウンロードできるようになっているとの報告をいただきました。
感謝です。

なんとなく、update = 26.7MB というサイズが変な気もするのはきっとキノセイでしょう。（昨日の、ヘルプからダウンロードした際には 50MB強のパッチでした。

----------
Unknown Threats
[予防警戒]
以前、Gumblar/GENO のときに色々とお世話になりました「さまれぼ！」の管理人様から不審なインジェクションの報告がありましたので調査してみました。

スクリプト的には
"d27cdb6e-ae6d-11cf-96b8-444553540000"オブジェクトタグを使った flash コードのように見受けられますが、
hXXp://ocasa. ro/media/offline.php?s=RUiD9MP&id=3
のように、末尾の id=数字を延々と変更してスクリプトを再帰呼び出ししています。

このケースでは id=13 のときに
iexplore.exe -- 2009.10.14 10/41 (24.39%)
をダウンロードさせようとしています。

同様のケースで
ppl-14 .ru
の場合
wJQs.ex -- 2009.10.14 11/41 (26.83%)
となっており、いずれも高い検出率ではありません。

ちなみに、NOD32が Daonol.Fの亜種だとしていますが、この Win32/Daonol は、狭義のGumblarウィルス(zlkon/gumblar/martuz)の名称で、最終型(Martuz.cn)が Daonol.F とされています。

martuz.cnの終焉があまりにも素早かったため、何らかの意図があって一時的に引いたものとも推測されていましたので、ひょっとしたらまた再開するつもりなのかもしれません。

ocasa.ro = 89.42.216.56 収容ドメイン 320 （！？）
SC ROMARG SRL -- AS5606 KQRO GTS Telecom SRL Bucharest ROMANIA
Malicious 判定 :
　lamatache.ro
過去履歴有り :
　groupromo.ro

ppl-14.ru = 78.110.52.219 収容ドメイン : 30
Hosting Telesystems network -- AS31240 OLD-HT-SYSTEMS-AS JSC
全スルー

albaser.com = 69.64.156.62 収容ドメイン : 159
eNom, Incorporated -- AS21740 DemandMedia AS DemandMedia
Malicious 判定 :
　estilointeriors.com
　plavariba.com
　jg.ae
　obsgroup.com
過去履歴有り :
　brokenfoundation.com
　presottome.com

他にも増えそうな雰囲気です。

----------
今日は解析に手間食ったので、残りはサラっと（笑）

----------
脆弱性悪用のドライブ・バイ・ダウンロード

ちょうど、タイムリーな記事が出ていました
大規模なWebサイト改ざんとゼロデイ攻撃：危険な組み合わせ

----------
Zeusの攻撃が続いています

「SSL証明書を更新してください」、新たなウイルスメール出現
New variation of SSL Spam

Tailor-Made ZBOT Spam Campaign Targets Various Companies
The email posed as a notification from the company’s “system administrator,” reminding the employee to update his/her system’s software due to a recent server software upgrade.
Personalized Patch/Update Spam Delivering Malware

Zeusとの関係性が指摘されている Bredlabの解析
Taking a Closer Look at Trojan.Bredolab

とりあえず、怪しげなSSL更新やソフトウェア・アップデート、保守期間切れ及び更新を促すメールが着たら、送り主を３回くらいチェックしましょうネ（笑）

----------
ログが落とせない

Odd Apache/MSIE issue with downloads from ISC
Users who download our log submission client using Internet Explorer frequently receive truncated files. Firefox appears to download them fine. In either case, the server logs a "200" status and the file size in our Apache access log is correct (about 2.2 MBytes). However, the users only receives 200-300kBytes. A packet capture confirms that only 200-300kBytes got transfered. As MSIE starts the download, it does display the correct file size (and the content-length header is correct)
DShieldのログが、Apache環境下でリモートからMSIEを使うと変なサイズになってしまうというお話。
Firefoxでは大丈夫・・なのかな？

----------
Day14 - Port 514 syslogd

Cyber Security Awareness Month - Day 14 - port 514 - syslog
There are 3 main syslog packages at this time:
syslog
syslog-ng
rsyslog

そういえば、Windows Serverの syslogってあまり見ませんね・・・（みてもわかんないし！）

----------
Spammer also loves Obama

Obama Nobel Prize Spam Links to Malware and Drive-By
Blackhat SEO Campaign Targets 2009 Nobel Prize Winner

何でもMalwareの時代ですので・・

----------
見て！見て！　マルウェアだよ

Show Me the Malware!
As part of Cyber Security Awareness Month, we're highlighting cyber security tips and features to help ensure you're taking the necessary steps to protect your computer, website, and personal information.
Google検索で、GSBと連動してマルウェアの内容などを Tips表示する模様

Google highlights malicious code

陥落サイトのオーナは、かなり恥ずかしい気分を味わうことになるのでしょうか・・・

----------
Firefox プラグインアップデート・ガイドが正式運用

Mozilla Plugin Check Now Live
とりあえずは評価しましょう～

あとは、Adobeのようないい加減なバージョン管理を行っているとこが、混乱を避ける方向に進んでくれることを期待しましょう（苦笑）

----------
Google.Com内のマルウェア配布サイト？

gotaskscan.com
逆引き: gw-in-f100.google.com
gotaskscan.com

情報収集中・・

----------
Google Safe Browsing STATUS:
[goog-malware-hash 1.16446 update]
[goog-black-hash 1.42198 update]
Results: 338853 (+16534)
Logged Total: 781436 (+13212)

EoF

This entry was posted on 木曜日, 10 月 15th, 2009 at 9:19 AM and is filed under security. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.