2009.10.27 火曜日 (たぶん)縮刷版
読書の日(読書週間初日)
世界新記録の日(世界記録)
テディベアズ・デー
----------
[EMERGENCY]
言うまでも無く攻撃続行中なわけなんですが、何しろ今回はC&Cがはっきりしないので、Fast-Fluxを一つづつ潰していくしか対処法が無いんです。
で・・いつ記事になるかな~とかワクワク期待していた so-netさんが・・・・
Gumblar再襲来(1) 国内サイトも多数改ざん~以前の改ざんサイトが再改ざん
Gumblar再襲来(2) 「攻撃サイト」も一般サイト/カスペルスキーが確認と警告
Gumblar再襲来(3) Adobe Reader/Flash/IE/Office、攻撃は最新版でブロック
Gumblar再襲来(4) ゲームサイトや競馬サイトが相次ぎ改ざん報告
Gumblar再襲来(5) 感染でパソコン起動せず、サポート窓口に電話殺到
一気に5連弾(笑)気合入ってます
ちなみに Kates は Avira/BitDefender/Kaspersky の検出シグネチャ名称で、Daonolの別称と思ってください。
trojan.zip -- 2009.10.26 07:53:34 (UTC) 23/41 (56.10%)
Trojan-PSW.Win32.Kates.j, Lando
黒い画面にマウスカーソル (Win32/Daonol)
こうして各PCベンダーが一斉にウィルスによる機能回復の手順を出すような事態は相当深刻だと思うのですが、どのくらいの実害が発生しているのかはよくわかりません。
何度も同じコトを言って恐縮ですが、感染したPCからPasswordの変更をしないようにしましょう(何度でも盗まれ、再度改ざんされます)
----------
Guardian Down
英ガーディアン紙は中堅の一般紙ですが、その求人サイト Guardian.Jobs がクラックされた模様(USAのサイトは影響なし)・・・
UK newspaper Web site hacked; 500,000 job-seekers affected
登録ユーザの個人情報のうち最大で500,000件が流出した可能性があると発表されています。
Guardian Jobs Security Update
クラッキングの経路などは現時点では不明です。
----------
IPv6関連の脆弱性
IPv6 を実装した複数の製品にサービス運用妨害 (DoS) の脆弱性
IPv6 を実装した複数の製品には、Neighbor Discovery Protocol (RFC4861) に関連したパケットの処理に問題があります。細工されたパケットの処理に起因するサービス運用妨害 (DoS) の脆弱性が存在します。
参考:
IPv6 Secure Neighbor Discovery: Protecting Your IPv6 Layer 2 Access Network
影響下にある製品
IPv6のNDP実装におけるサービス運用妨害(DoS)の脆弱性 -- 古川電工
FITELnet-F80 ×(V01.02(00)以降)
FITELnet-F100 ×(V02.06(00)以降)
FITELnet-F120
FITELnet-F1000 ×V02.06(00)以降)
FITELnet-F2000 ×
IPv6対応製品にDoSの脆弱性、IPAらが注意喚起
IPv6は全然わかってないので、勉強しておきます(苦笑)
----------
IPv6 と 6to4プロトコル
IPv6 Tunneling Protocols: Good for Adoption, Not So Hot for Security
新技術に移行するに当たって様々なセキュリティ的懸念が発生するのは当然のことですが、なかなか知識が追いつきません。
Teredoとは
Teredoとは,Windows Vista端末からIPv6インターネットへの接続を試せる技術の一つ。IPv4のネットワーク経由でIPv6パケットを転送するトンネル技術を使ってIPv6インターネットへ接続する。
Again, I don’t want to scare anyone off. Just know the risks, and take appropriate precautions.
----------
検索するとマルウェアに遭遇する(確率の高い)キーワード
ネット検索で危険なセレブの日本版、マカフィーが報告
インターネット検索で最も危険な日本の有名人は? - マカフィー調査
もっとも、McAfee SiteAdvisorの信頼度の方はアレですが・・・
いちおう、MDL/MalwareURL等からの危険情報を(たぶんボランティアで)転記している方はいらっしゃるようですが、反映が遅い遅い・・・
このサイトは検査待ちです。自動検査の結果が出るまでしばらくお待ちください。
この辺は、NortonSafeWeb あたりも同じ問題を抱えています。
バッサリと危険リストに投げ込んで(血のように)真っ赤な警告ウィンドウを出す Googleセンセイのような迅速さが要求されているのではないでしょうか?(苦笑)
----------
エイリアン vs プレデター
じゃあるまいし・・・
DHLやら
UPSやらの荷物不達メールに変なTrojanを添付している Bredolabですが、Botnetの雄(イヤな雄ですが・・)である Zbotにケンカをうっている模様・・・
Bredo vs. Zeus: The Battle of the Bots continues
We have seen bots go toe-to-toe with one another before; embedding logic into their armory to block or disable other malware. As such, it comes as no surprise to have seen a recent Bredo sample with additional code to disable installed Zbots. The sample loops through the list of known Zbot executable names…
Botに感染するようなガードの甘いパイはそれなりに少なくなってきているので Botnet同士でパイの奪い合いでもしてるんでしょうか?(嘆息)
もっとも、この両者はイロイロ類似点も多く、単にBredlabの作者(グループ)がZbotの内部を知り尽くしているだけなのかもしれませんが
で、そのZbotですが、MDLのアナリストがインジェクションにこんなメッセージが入っているのを見つけたそうです。
iframes are EVIL! Hate Zeus!
えーっと、何でしたっけ?
「お前が言うな!」
かな?
----------
SUN Java system web server
Sun Java System Web Server Unspecified Buffer Overflow
指標:4 High-Critcal
(いつもの)バッファ・オーバーフローとそれに伴う任意コード実行の可能性です。
The vulnerability is reported in version 7.0U6. Other versions may also be affected.
緩和策等の指示はありません。
Due to the very limited available information, it is not possible to suggest an effective workaround.
とりあえずベンダーの報告待ちですかネ?
----------
Day 25 -- 80 and 443
お馴染み過ぎるPort番号ですが、故に見落としがちな部分もあります。
Cyber Security Awareness Month - Day 25 - Port 80 and 443
インターネット(笑)に普通に接続していると、80および443のセッションは山のように存在し、おそらくはそのパケットの精査などはやっていないでしょう。
しかし、Malware: When <!-- comments --> become commands --2006.02 のようにHTMLコメントに偽装したコマンドなどもあり、完全に信頼できるものなど存在しないと警告しています。
ちなみに、ウチは TCP Monitor Plusのセッションモニターを常に表示して、妙なセッションが張られてないかを気が向いたら監視(というか漠然と見)していますが、コンナノではダメなんでしょうね・・・・
----------
Day 26 -- port1433/1434 MSSQL
Cyber Security Awareness Month - Day 26 port1433/1434 MSSQL
Port 1433 together with port 1434 are the ports most associated with MSSQL or to security people as the Slammer ports.
SQL Slammer Wormの悪夢の話ですね。
----------
DNS-BH New List
10/25 update: 114 new domains blocked
114 new domains added. Sources www.malwareurl.com, tech-linkblog.com, malwaredomainlist.com and others:
and..
rapidshare.com was delisted. (笑)
----------
Firefox 3.6は自動更新?
モジラ、「Firefox 3.6」をマイナーアップデートに位置づけか?--幹部が示唆
Firefox 3.6が3.5からの自動更新で提供される可能性高まるそして、Smedberg氏がわずかに言及しているが、Firefox 3.7 / 4.0の開発をしながら、Firefox 3.5 / 3.6のメンテナンスを続けることによって生じるコストを減らしたいのだ。3.6に一本化できれば、コストはかなり低下する。そうはいっても、このような開発者側の事情が、膨大なユーザーに対し、一時的とはいえかなりの不便を強いることを正当化できるだけのものといえるのか、疑問は残る。
エンジン Gecko 1.9.2はかなり変更されているということでしたので、大丈夫なのかな?という気もしますが、このあたりは多くの開発者の主張を統合しなければならないMozillaと、トップダウンでヤレ!とできる Google(Chrome)の違いなんでしょうね・・たぶん。
----------
Symantec的に・・・
Honor Among Thieves? Definitely Not.
46.9% Norton Antivirus
って部分が一番アタマにきてるのではないかと?(笑)
※注意
Windows Enterprise Defenderは偽アンチウィルスです。
----------
セカイカメラ・テロ
姉ヶ崎寧々エアタグテロ
ラブプラス
これだったのか~!
----------
Google Safe Browsing STATUS:
| 1256587204 | B | [goog-black-hash 1.43063 update]
| 1256587202 | M | [goog-malware-hash 1.16734 update]
| 327070 | current blocked
| 857106 | total logged
EoF