UnderForge of Lack

NHKの一件で（一躍？）有名になったBOTnetですが、最新のBOTnetはPCではなく RouterやDSLmodemを狙ったものらしいです。

mipsel搭載ルータやモデムを狙い、ボットネット形成するワーム
Mipsel-based-linuxなマシンを狙ったワーム「psyb0t」により、10万台規模のボットネットが形成されているらしい

　感染条件は
　* mipsel搭載のデバイスであること
　* WAN側からアクセス可能なtelnet、SSHもしくはWebベースのインターフェイスがあること
　* ユーザー名とパスワードの組み合わせが脆弱であるか、搭載ファームウェアが利用しているデーモンが脆弱であること

ボットネットに組み込まれたものの90％は、ユーザー側のミスによるとのこと。

※Mispel : debian MIPS 概観


New Botnet Runs on DSL Modems and Routers

Network Bluepill - stealth router-based botnet has been DDoSing dronebl for the last couple of weeks


-------------------
また、OpenWRT / DD-WRT のルータにも脆弱性が存在し、BOTnetの構成メンバーとなってしまっている例もあるようです。

Botnet Worm Targets DSL Modems and Routers
"The people who bring you the DroneBL DNS Blacklist services, while investigating an ongoing DDoS incident, have discovered a botnet composed of exploited DSL modems and routers. OpenWRT/DD-WRT devices all appear to be vulnerable. What makes this worm impressive is the sophisticated nature of the bot, and the potential damage it can do not only to an unknowing end user, but to small businesses using non-commercial Internet connections, and to the unknowing public taking advantage of free Wi-Fi services. The botnet is believed to have infected 100,000 hosts."


対策？
うーん・・（苦笑）
SSHベースでのインターフェイスで ID が root 固定のものとか危険かも・・（Buffuro!?)
WAN側から操作できないタイプも多いとは思いますが・・・

一旦感染すると、しつこく偽セキュリティソフトの広告を出してくることで有名なウィルス Vundo ですが、最新のものは更に手口がイヤらしくなっているようです。

ファイルを勝手に暗号化して人質に、有料ソフトの購入迫る

問題のマルウェア「Vundo」はユーザーのシステムに感染すると、PDF、Word、JPGなどのファイルを暗号化してしまい、暗号を解除するために有料プログラム「FileFix Pro 2009」を購入するよう迫る。ユーザーは、脅しの手に乗るのは馬鹿げていると分かっていても、ファイルを人質に取られている以上、言われた通りのソフトを購入するしか手がなくなるという。

しかしFileFix Proを入手しても、復旧できるのは一部のファイルのみ。システムに感染したままのマルウェアによって、再び暗号化される悪循環に陥るという。このマルウェアがファイル共有サービスのLimeWireでMP3ファイルに見せかけて配布されているという情報もある。

人（ファイル）質かよ！（笑）

TrendMicro:
Data-for-ransom Syndicates Strike Online
「ランサム」シンジケートがオンラインに侵攻

Antivirus2009 Holds Victim's Documents for Ransom
Antivirus2009は被害者のドキュメントを人質に取る！

実に笑えるタイトルで、楽しんでます（楽しむなよ！）
こんな画面が出てきた人は感染しています


米セキュリティ企業のFireEyeは
A new method to monetize scareware
perlベースの「人質にとられたファイルの解凍ツール」を公開しています。

余禄：
b1c90ff4ceea86765bfb4c5b88ce1249 - setup_4_.exe
うぇ～い

Firefoxに深刻な脆弱性、修正パッチ公開へ
MozillaのオープンソースブラウザFirefoxに深刻な脆弱性が報告された。コンセプト実証（PoC）コードも公開されており、Mozillaは修正パッチの開発を急いでいる。

指摘元レポート: Mozilla Firefox and Seamonkey XSLT Memory Corruption Vulnerability - VUpen

Bugzilla: Mozilla Bug 485217
Found on security focus, not sure where the original came from. Exploit code at the link iframes a little xml file with an xslt transform that causes a crash reliably on 3.0 branch and trunk (and presumably 1.9.1, didn't test). Null, but it's being called, assuming the worst for the moment.

Mac版 Linux版でもクラッシュが確認されたようですね。


脆弱性を解決したFirefox 3.0.8は、3月30日から4月1日の間にリリースする見通しとなっている

CDやUSBの自動実行を利用して感染を拡大するワーム（ウィルス）は Conficker/Downadup に留まらずその数を増していることは既にご存知のとおりですが、TrendMicroから Autorun の現状に関するレポートが出されました。

読み物としても面白いので興味のある方はご一読ください。

＜コラム＞USBワームが作成する「Autorun.inf」の分析とその傾向

■目次■
▼ 数から見るUSBワーム
▼ さらに巧妙になる「Autorun.inf」の難読化
▼ 自動実行ファイルの拡張子から見る「Autorun.inf」
▼ URLを直接開くことが可能な「Autorun.inf」
▼ 利用方法により拡がる「Autorun.inf」の危険性
▼ まとめ


Autorun.inf の難読化の実情とか、URLを直接開ける Autorunの性質(OPEN=)とかを知っておくと、今後の対策の一助になる・・かもしれませんね。

というか・・
ここを見てる賢者諸氏は、既にAutorunそのものを切っているものと思っていますが？（笑）