2010.01.16 土曜日
禁酒の日
1920年1月16日にアメリカで禁酒法が施行された
籔入り
嫁に出た人や奉公人が一時的に暇を許され、生家に帰ることができた日。宿下がりとも言う。この日と7月16日。
初閻魔/閻魔賽日/十王詣 1年で最初の閻魔の
縁日
----------
今日は IE-ZERO DAY で時間食ったので・・
[その他落穂]
----------
Adobe the tainted
Adobeの意味からレンガが外されて単なる「泥」になってしまってから相当立つわけですが、今回の一件はどうなってるんでしょうか?
Clearing some things up about Adobe
This led some folks (including me) to the conjecture that the attack involved the use of a malicious PDF file. I’ve seen examples where this group used malicious PDFs, but nobody provided an example of the PDF file used in THIS attack. Adobe’s (the company) ASSET security team released additional details yesterday where they assert that Adobe Acrobat Reader was not involved in the incident, that instead it was an IE vulnerability (
detailed here).
今回の Google/Adobeその他への攻撃には PDFによる攻撃が含まれていたと考えていたわけですが・・・・
Dec.13 Adobe 0 day CVE-2009-4324 PDF attack of the Day (#2) Interview Request from fureer.angelica@gmail.com Sun, 13 Dec 2009 14:13:46 -- contagio
少なくとも昨年の12/13には既に、この攻撃の詳報が出されており、CVE-2009-4324が受理されたのはその翌日です。
ま、こまけぇこたぁいーんだよー ということにしておきますか
FireEyeによる、(いつもながら)詳細なレポートが出されていますので参照してみるのも良いでしょう。
PDF Obfuscation using getAnnots()
廃業宣言したはずの、MalwareToolkit "Neosploit" による、mebroot(aka
Torpig)のインストールの様子。
MebrootはMBRに潜伏する最悪のrootkitで、ウチでも12/22に警戒を呼びかけていました。
----------
IE8にあげちゃだめ
:Cisco ASAユーザ
シスコ製品のSSL VPN機能とIE 8との互換性問題が明らかに
米国Cisco Systemsのセキュリティ・アプライアンス「Cisco ASA」がInternet Explorer(IE)8をサポートするのは、今年3月以降になる見通しだ。それまでASAユーザーは、SSL VPNでアクセス可能なアプリケーションが限定されることになる。
そうだ、 FirefoxとかOperaとかChromeとか使えば良いんだ(Win版Safariは却下の方向で)
いやまて!?われわれには w3m があるじゃないか!
W3M Homepage
----------
せみな
感染被害拡大!今話題のGumblar(ガンブラー)を徹底解説
逝行ってみたかった
微妙に続く
----------
感染してみたシリーズ
必見です。
8080(aka ガンブラー™)に実際に感染して調査を行っていらっしゃる方のページ:
いわゆるガンブラーに感染してみた4 「あ、感染した。」
syszyd32.exeのアイコン七変化がかなり笑えました。
・MS09-043 → Microsoft Office Web Components → そもそも生贄PCにはoffice入ってない。
・MS09-002 → Internet Exploreの脆弱性 → 該当する修正プログラムをアンインストールして試してみたけど感染しなかった。
手元でこそこそ解体したときは
CVE-2008-2463
Office Snapshot Viewer
[MS08-041] Microsoft Access Snapshot Viewer の ActiveX コントロールの脆弱性により、リモートでコードが実行される (955617)
CVE-2008-0015
[MS09-037] Microsoft ATL (Active Template Library) の脆弱性により、リモートでコードが実行される (973908)
が入っていましたが・・・・
まぁ
こまけぇこたぁいーんだよー
に激しく同意しました(笑)
ガンブラー vs Spybot-S&D
撃沈(苦笑)
次回も期待しておこうっと
余談:
Wiresharkはログパースが大変なので・・次回から
TCP Monitor Plus を入れてInbound/Outgoing のセッションを暴いて欲しいかな(笑)
追記:
KDDI、ウェブ改ざん検知システムでGumblarを検知可能に
ふぅん・・
Gumblarにより挿入されるスクリプトのパターンは、現在確認されているだけでも約30パターンあるという。今後も増加が予想されることから引き続き改ざんの特徴を分析し、システムに反映していくとしている。
「ワシのガンブラー™は108パターンまであるぞ」って感じなんですかネ?
----------
Twitterbuilding・com
Twitterbuilding.com—Stealing Your Passwords One Tweet at a Time
twitterbuilding.com as AS21844 THEPLANET-AS2
うはは・・
防弾ホストはいつまでたっても変わりません
----------
あなぼっこ by HIRT
BGM:
チェックしておきたいぜい弱性情報<2010.01.15>
・Sendmail 8.14.4リリース(2009/12/31)
・シマンテックVeritas VRTSweb.exeにぜい弱性(2009/12/09)
・Windows環境のIndeoコーデック処理にぜい弱性(2009/12/09)
・米アドビ システムズFlash Media Serverのセキュリティ・アップデート(2009/12/18)
・PHPで開発された複数のWebサイト用プログラムにぜい弱性
----------
あなぼっこ : Add
Zeus Web Server Buffer Overflow Vulnerability 4
[NO patch] : Restrict network access to the affected application.
この会社のせいではないとはいえ、名前にも問題が・・
----------
8080
82.98.231.25 AS8455(ATOM86)
91.121.4.99 AS16276(OVH Paris)
91.121.7.26 AS16276(OVH Paris)
91.121.142.111 AS16276(OVH Paris)
94.23.206.229 AS16276(OVH Paris)
----------
Google Safe Browsing
| 1263499205 | B | [goog-black-hash 1.48812 update]
| 1263499202 | M | [goog-malware-hash 1.18634 update]
| 302136 | -8309(310445) 大幅減少!!
| 1248751 |
EoF