2009.10.25 日曜日
リクエストの日
1936年10月25日にベルリンのドイツ放送でラジオのリクエスト番組が始まった事にちなんで作られた記念日。
民間航空記念日
1951年10月25日に、戦後最初の国内民間航空会社として設立された日本航空が一番機の「
もく星号」で東京 - 大阪 - 福岡間の運航を開始したことに由来。
世界パスタデー(World Pasta Association)
ナポリタン好きですか? (
イタリアン (新潟))
----------
X DAY: Oct.2010 by ICANN
JPNICがICANN幹部の「IPv4アドレスの割り振りが2010年10月に終了」発言についてコメント発表
一応反論っぽいもの
ICANN事務総長による「IPv4アドレスの割り振り、2010年10月終了」との発言に関して
IPv4 IPv6 問題は、なんとなく先送りにしてきた観がありますが、実際問題 2010あるいは2011というタイムリミットを突きつけられると、そろそろ何かしておかないといけないのかな?という気になってしまう不思議・・・
ICANNのCEO曰く「IPアドレスの枯渇、Xデーは2010年10月」
NGNのIPv6接続が認可、2011年4月以降サービス開始予定
----------
Gumblar継続中
新Gumblar関連?真っ黒の画面にマウスカーソルだけ
midi?=だけでなくaux?=もですか。
妙というのが判断しづらいですよね……「.拡張子(tmpとか) 」な感じという認識でいいのかな?
す・・すみません。
でも本当に「妙な」としか表現しようがないんですよね・・・
現在判明している「レジストリ・インジェクション」のパターンは
"midi9"="C:\\WINDOWS\\.tmp " (ソース:小野寺さん)
詳細:
XP loads to black screen with mouse, but no keyboard
Trojan-PSW.Win32.Kates.j
ということで、現在は midi9 を使っているようですが、以前も aux1 と aux2 を使ったことのある Gumblarですので、この辺の変更は視野に入れておかないといけないかな?と思ったのです。
実際のトコ、wdmaud.drv とか korgumdd.drv とか、それっぽい名前を使われるのが一番怖かったりします(苦笑)
ちょっとわかりにくい(というかハングルわからない!)ですが、RegEditで見た感染例が以下に載っています(WoTスコアカード評価低いので自己責任で・・・って nProtectのページなんですが・・)
부팅 오작동 증상을 유발하는 악성코드 주의(起動不具合の症状を誘発する悪質なコードの注意 by Google翻訳)
トロイ本体のDropperの名前は iexplore.exe (苦笑)
Drivers32 に設定されるファイルは eisvmyu.tmp, ayndn.bak, diq.dat, hgwcmg.oldなど、ランダム + tmp bak dat old
登録時に Document~1\user\LOCALS~1\Temp のように、マイドキュメントへのフルパスが入っている
というところでしょうか?
"新"Gumblarに注意喚起
・FTPの利用に気をつける(特にパスワード)
といわれましても・・・SFTP/FTPoSSLを許可してるホストが少ないんですよね・・・
martuz型のGumblarはパケットスニファを実装していましたので、どこか1箇所が感染していると、telnet/ftpのような平文送信のサービスはことごとくID/Passwordを抜き取られる恐れがあります。
Inside the Massive Gumblar Attack -- 2009.05.20 Andrew Martin
As mentioned earlier, the malware downloads software to sniff network traffic, winpcap. With the network card in promiscuous mode, the attacker can then capture other FTP credentials from machines on the same subnet.
改ざんサイトの4割が再び被害、Gumbler亜種の活動か
国内60サイト以上が改ざん、Gumblar亜種が台頭か
noooo_spam様の時系列記事:
「Gumblar」(GENOウイルス)再来襲。真っ黒画面にマウスカーソルだけ!
「Gumblar」(GENOウイルス)再来襲。カスペ警告。改ざん被害者も・・・
「Gumblar」(GENOウイルス)再来襲。悪用される脆弱性
「Gumblar」(GENOウイルス)再来襲。オンラインゲームサイト改ざん被害
「Gumblar」(GENOウイルス)再来襲。芸能事務所や財団法人のサイトが改ざん被害
「Gumblar」(GENOウイルス)の改ざん攻撃者に新たな動き [2009年10月]
バリバリー! -- pluto様 の日記
さようなら、マルゼンスキー。語り継ごう、おまえの強さを
かな?(ちょっと自信ない)
----------
Gumblar vs Google
MDLに"compromized by Gumblar"というカテができていたので、ちょっとGoogleセンセイにお問い合わせ。
| werkgruppe-donau.de | THROUGH |
| bolcsvolgyi.hu | BLOCKED |
| o0w0o.com | BLOCKED |
| ozguvenplastik.com | REMOVED |
| mikyaku.jp | BLOCKED |
| mifconsulting.net | BLOCKED |
| red-devil-sport-club.gymdb.com | BLOCKED |
| asyouwishwed.biz | BLOCKED |
| siva4kids.org | BLOCKED |
| lakyrnikcup.cz | BLOCKED |
| filmkolik.net | THROUGH |
| psgtech72.com | THROUGH |
| thalassapromotion.eu | BLOCKED |
| melstra-techniek.nl | BLOCKED |
| haydikaradenize.com | BLOCKED |
| lou-ferrigno.info | BLOCKED |
| johnson.co.th | BLOCKED |
| olight-usa.com | BLOCKED |
| mobydickrock.ru | BLOCKED |
| thailocal.sru.ac.th | BLOCKED |
| sunkenlibrary.org | BLOCKED |
| spin-nds.de | BLOCKED |
| fotothhi.be | BLOCKED |
| agag44.com | THROUGH |
| angelsinuniform.com | BLOCKED |
| amusecity.com | BLOCKED |
| hannabarbera.com.br | BLOCKED |
| usepetrol2earn.com | BLOCKED |
| kingofbelgrade.com | BLOCKED |
| ar-global.com | BLOCKED |
| sksolvesborg.se | BLOCKED |
| jatulintarhan.net | BLOCKED |
| agenturadomov.cz | BLOCKED |
| yondental.co.kr | BLOCKED |
| myrussia.kz | BLOCKED |
| uchikawa.ne.jp | THROUGH |
| magnoliamails.com | THROUGH |
| transmarecuador.com | BLOCKED |
| ibdf-deutschland.de | BLOCKED |
| kcr-net.de | THROUGH |
| sejoong.tourskorea.com | BLOCKED |
| bikingrealtor.net | THROUGH |
| stockbuzzindia.com | BLOCKED |
| mcsdp.com | THROUGH |
| bulgaristanuniversiteleri.org | REMOVED |
| foro.gamesquality.com | THROUGH |
| kathrynmetcalf.com | THROUGH |
もちろん、これら陥落サイト群も被害者なわけですが、Gumblarの恐ろしいところは同時に加害者になってしまう点にあります。
気をつけましょう(何に!?)
----------
MSKKは楽しそう・・
Trick or Threat!(念のため、本当はTrick or Treat です)
----------
DM album plugin for Wordpress
周囲に入れてる人が居たので注意喚起
delete_album を通して、意図しない削除や悪意コードの注入が行える模様
最新版 2.1.1
----------
Day-23 -- BGP -- Port 179TCP
BGPは
BGPのセキュリティ上の懸念のひとつに、BGPハイジャックと呼ばれるものが挙げられます。
もうひとつの懸念は、経路情報が失われた際、PBGPセッションが意図せずリセットされてしまう問題です。
これら3つはいずれも CISCOルータの問題ですが、そもそもこうした外向き経路を管理しているルータはCisco製が現在も主流ですのでしかたありません。
いずれにせよ、一般PPLにはあまり縁の無い話ではあります・・・
----------
Day-24 -- small service -- Port 1-20 & 37
Port 20番以下と 37番は "small service"と呼ばれるもので、現在ではあまり利用頻度が高くなくデフォルトでブロックしているルータも多いです。
Ciscoのルータでは
Router(config)# no service tcp-small-servers
21番もヤバいんでしょうけどね・・
----------
NP
だそうです
----------
Google Safe Browsing STATUS:
| 1256432416 | B | [goog-black-hash 1.42934 update]
| 1256432412 | M | [goog-malware-hash 1.16691 update]
| 331539 | current blocked
| 852324 | total logged
EoF