UnderForge of Lack

日本国内への豚インフルエンザの感染の疑いが騒がれています

日本人か？ロスから到着のＮＷ機で女性がインフル陽性
成田空港関係者によると、米ロサンゼルスから成田空港に３０日午後到着した米ノースウエスト１便で、乗客女性１人がインフルエンザ簡易検査に陽性反応を示した。女性は救急車で搬送された。

搬送されたのは日本人女性とみられる。女性の周囲に座っていた乗客も隔離する。

成田赤十字病院は厚生労働省成田空港検疫所から連絡を受け、患者の受け入れ準備を始めた。

とりあえず、完全な検査結果が出るまでに８時間近くかかるらしいですので、パニックに陥らないように慎重になりましょう。

不要な外出を避けるために、少しだけ多めに食料品を買ったりするのはいいアイデアですね。

家に戻ってきたら、手洗い、うがいをしましょう。

あ・・そうだ、
「ＧＷ期間中ヒマになる！」
という人は、ＯＳのクリーンインストールなんかどうでしょう？　いいヒマツブシになりますよ？

とうとう、日本にも波及しはじめました。
サイバー空間における豚インフルエンザ騒動の影響
国立感染症研究所は28日、発信者「From: 国立感染症研究所＜任意のアドレス@yahoo.co.jp＞」、件名「Subject:豚インフルエンザに注意！」とする添付ファイル（「ブタインフルエンザに関する知識.zip」等）付きメールが流通していると注意を呼びかけています。

@yahoo.co.jp からのメールってあたりで警戒してください（笑）

「国立感染症研究所」を詐称したブタインフルエンザ関連メールにご注意ください
添付ファイルは不正プログラムの可能性があり、警戒が必要です。
国立感染症研究所では、 メールはすべて "nih.go.jp" のドメインから発信することとしており、 yahooから発信されることはありません。 また、公的なお知らせはすべてWebサイト上に公開され、 メールを用いたサービスは行っておりません。

なお、国立感染症研究所では第三者中継（発信元を隠すために、関係のない第三者のサーバを中継して発信する）されないメールサーバの設定や、ウィルス感染メールを発信しないようウィルス対策をするなどセキュリティにも十分配慮しておりますが、引き続き対策を強化していく考えです。

----------
Malicious Code Authors Jump on the Swine Flu Bandwagon
Computer viruses got their name because they spread just like biological viruses. There are other parallels as well; for instance, best practices.
コンピュータウィルスという名称は、生物学的なウィルスが拡散することからから採られたものですが、まさにそういう状況を同時に目にしています。

皮肉な話ですね

使用された脆弱性はいつものAcrobat Reader(JBIG2関連）です。
CVE-2009-0658

----------
Looking at Swine Flu Spam Globally
なぜか、Brazil発のSpamが多いようです。

----------
Swine flu “cure” offered by Russian RX sites.

本物かどうかよくわからない、ロシア製のタミフルを売りつけてみたり・・・

※Tamiful™はスイス・ロシュ社の登録商標で、正式名は Oseltamivir(オセルタミビル)だそうです。

諸悪の根源のような存在だった Autorunですが、Windows7では USB等のリムーバブルメディアでの Autorunがデフォルトで無効化されるようです。

Changes in Windows to Meet Changes in Threat Landscape
Today, we’re announcing modifications in Windows that adapts to recent changes in the threat environment. Specifically, we’re announcing changes to the behavior in AutoPlay so that it will no longer enable an AutoRun task for devices that are not removable optical media (CD/DVD.). However, the AutoRun task will still be enabled for media like CD-ROM. There are more details on the change over at the Windows 7 blog as well as at the Security Research and Defense (SRD)

AutoRun changes in Windows 7
光学メディア以外のリムーバブルデバイスにおいて、自動起動は廃止されます。CDやDVDのような光学メディアではAutorunは有効ですが、USBドライバにおいては無効化されます。たとえば（ウィルスに）感染している USBデバイスをPCに接続してもAutoRunタスクは表示されません。この変更によってソーシャル・エンジニアリング的な脅威度が高まっている状況をブロックできます。この変更前はMalwareはAutorunによって作用し、ユーザを混乱に陥れていましたが、変更後はAutoRunは動作することがなく、AutoPlayは安全に作用します。

---------
※AutoRunとAutoPlayは若干意味が違います。
What's the difference between AutoPlay and autorun?

AutoPlay:
音楽(RedBook)や、CD-i(GreenBook)などのメディアを自動で認識すること

AutoRun:
CDなどをマウントしたときに、自動的に動作させるプログラムのこと
AUTORUN.INF にその情報が記述されている。

日本語記述：
自動再生と自動実行との違いは何ですか。

--------
Confickerでヒドイ目にあった Microsoftですが、諸悪の根源を絶つ英断に踏み切ったことは評価したいです（笑）

ただ、今後 CD/DVDに代わる Smart USB flash drive（例えば、U3とか）を検知した際には、ハードウェアレベルでの調整を行うとしています。

U3なんか見たことない・・

U3対応のUSBメモリーを試してみた -- 2006.07

----------
Windows7ではAutoRun無効に、VistaとXPにも順次適用予定

セキュリティポリシー的に考えて
AUTORUNは時流に合うとらん、ってことでしょうか。

コーヒー返せ！（笑）

以前からアナウンスされていたとおり、IE8への自動アップデート勧告が開始されました。

当然ですが、Windows XP以降の話です。
私はメインPCが Win2kなので気がつきませんでしたけどね！

--------
システム管理部が IE8へのアップデートを認可していない場合、エンドユーザが勝手にIE8へのアップデートを行わないように
Internet Explorer 8 自動配布の無効化ツールキット
を、事前にインストールしている必要があったわけですが、きちんと対処されたでしょうか？（笑）

もっとも、シス管で管理しているようなところは、ユーザにアドミン権限なんかあたえてないですよね～
（与えているところもあるらしいですが・・苦笑）

--------
それにしても、Win2Kのユーザはどうすることもできないわけでして、いよいよ来年の７月の期限切れまで、レームダック状態になってしまいます。

Windows7にするのかどうかも含めて、win2kを大量に抱えているトコロは、今後の対処を考えなければならない時期にきていますね。

Vistaがあるにも拘らず、しつこく2kを使っている奴に言われたくないですか？（笑）

--------
あ、あと、スパイウェア対策に spybot S&D を使用している方は、IE8にアップデートすると速度低下のトラブルがありますので注意してください。

Internet Explorer 8 issues

対策： IE8の免疫を外す。

ウィルスかもしれないってファイルを送りつけてくださった（バカヤロー）Ｂさんに心から感謝を・・・

ていうか、.exeのまま mail 添付は止めてください（マジデ）

----------
１個目

readme.exe MD5:6f2ba9a03b31ed4e74d9fb3e5833c7b7

DVDTool286.exe MD5:6f2ba9a03b31ed4e74d9fb3e5833c7b7

WORM_ANTINNY.AN

Winny 暴露型かYO!

----------
２個目
Readme.exe -- MD5:1f1187e1a10952c7184ca05063a7a50a

Readme.exe MD5:1f1187e1a10952c7184ca05063a7a50a

たぶんコレの亜種
W32/Autorun.worm.g!f9007a93

しかし・・ Norton先生が無反応なのがちょっと気になるけど、UPX unpackしたら反応するのかな？

Ｂさんは zaq (AhnLab-V3)なので、おもいっきり踏んづけた可能性があります（苦笑）


----------
といっても、どっちもありふれたウィルスなんですが・・

次回からはせめて VT くらいは通してくださいね

さて・・１個前に PDF Exploitの話をしたばかりなのですが

Adobe Reader JavaScript Function Vulnerability
US-CERT is aware of public reports of a vulnerability affecting Adobe Reader. Reports indicate that this vulnerability is due to an error in the 'getAnnots()' JavaScript function. Exploitation of this vulnerability may allow a remote attacker to execute arbitrary code. Adobe has indicated via a blog entry that they are aware of the reports and are investigating the issue.

US-CERT encourages users and administrators to disable JavaScript in Adobe Reader to help mitigate the risk. To disable JavaScript in Adobe Reader, open the General Preferences dialog box. From the Edit-Preferences-JavaScript menu, un-check Enable Acrobat JavaScript.

CVE-2009-0658、CVE-2009-0927、CVE-2009-0193、CVE-2009-0928、CVE-2009-1061(Unspecified)、CVE-2009-1062

とは違う、新たな脆弱性が発見され、現在ゼロデイ状態となっています。

--------
Two Adobe 0-day vulnerabilities
現在、Adobe Acrobat Readerには２つの「ゼロデイ」脆弱性が存在することが発表されました。現在のすべてのバージョンの Acrobat Readerが影響を受けます。ひとつは 注釈(annotation)の関数で、もうひとつは custom Dictionary 関連の脆弱性に関連しています。双方の脆弱性ともに、Adobe Acrobat Readerの JavaScriptシステムに関連したバッファオーバーフローの問題であり、JavaScriptをOFFにすることで回避できます。

これらのexploitsはLinuxプラットフォーム上で脆弱性が確認され、インターネット上に公開されましたが、Windows上でも動作するでしょうし、botnet agentsによって短期間に拡散される可能性があります。

まぁ・・そうでしょうね（苦笑）


Update on Adobe Reader Issue
To mitigate the issue disable JavaScript in Adobe Reader and Acrobat using the following instructions below:

1. Launch Acrobat or Adobe Reader.
2. Select Edit>Preferences
3. Select the JavaScript Category
4. Uncheck the ‘Enable Acrobat JavaScript’ option
5. Click OK

----------
２月くらいから言ってるような気もしますが

Acrobat ReaderのJavaScriptを OFF にする。
日本語版のAdobe Readerでは、「編集」メニューの「環境設定」を選び、表示された画面の「分類」で「JavaScript」を選択。そこで表示される「JavaScript」の項目の「Acrobat JavaScriptを使用」のチェックを外せば無効になる（初期設定では有効）。

PDFにJavaScriptが存在しなければならない理由をだれか教えてください（笑）

クラッキングによって不正なタグをインジェクションされていた（とみられる）altus.comが復帰しています

hxxp://www.atlus.com/index.php

で、何に感染していた？という話はよくわからないのですが
So Glad You're Back!
Company computer. The anti-virus software was a corporate version of Norton, not my choice. I have a Mac at home.

Bloodhound.Exploit.196

想定される脆弱性：
CVE-2009-0927

既にパッチ公開済み：

Adobe ReaderおよびAcrobat用セキュリティアップデート公開

----------
ユーザ投稿の話なので、本当かどうか？という部分は「？」ですけどね

GW前ということで、イロイロとセキュリティ的な話が出てきています

長期休暇を控えて 2009/04 -- JPCERT/CC


とりあえずやるべきこととしては

Windows Autorunの禁止
百害あって一利なし

セキュリティソフトの自動更新のチェック
（まさか、セキュソフトなしって人はここには居ないでしょうから・笑）

パスワードの再チェック
必要に応じて強度の高いパスワードに変更

このへんまでは、ここを見てる人には釈迦に説法でしょう

----------
ルータ・ファイアウォールのルールの見直し
やばそうなポートは塞ぎましょう

近年の標的型攻撃に関する調査研究－調査報告書－ 2008.03.18
IPAは 80と443以外は全部塞げ！とおっしゃってますが・
それはちょっとヤリスギでしょうに（汗

絶対に塞いでおきたいのは

この辺は外(WAN)からの入出力を許していいことは何一つ無いはずです。

----------
他にふさいだほうがいいもの

この辺は、各自の環境によって変わります
FTPをそのまま使ってる人は 20/21を塞ぐとアレですが、逆に言えば使わないような環境を双方で構築しましょう。
※PASVモードの場合、最初の接続だけ20/21応答が必要なところが多い

見た瞬間笑ってしまいましたが・・

Spam referencing Swine flu outbreak
Predictably enough, today we started to see spam taking advantage of concerns around the current Swine Flu outbreak.

swine fluの拡大を伝え、HELP! と叫んでいますね・・

In the campaign seen earlier today, the purpose of the spam is meds related. Anyone clicking on the link in the message is redirected to an all too familiar Canadian Pharmacy site.


いくらなんでも無理があるだろ！

Waledacも、ちょっとヒネリが足りませんね。

Firefox 3.0.10 がリリースされました

Firefox 3.0 セキュリティアドバイザリ
Firefox 3.0.10 で修正済み
2009-23 nsTextFrame::ClearTextRun() におけるクラッシュ

Firefox 3.0.9 で行われたセキュリティ問題の修正のひとつによって、一部のユーザが頻繁にクラッシュに遭遇するというリグレッションが生じてしまいました。特に HTML Validator アドオンのユーザが影響を受けましたが、他のユーザも一部の状況でこのクラッシュを経験していました。調査の結果、このクラッシュが、過去にセキュリティ脆弱性として特定されたケースに似たメモリ破壊によるものであることが判明しました。

そういえばちょこちょこクラッシュしてたような気もします（苦笑）