Statesでは確定申告シーズン(4/15)のようですが、それを狙ったフィッシングメールが多発しているようです。
Tax Season is Phishing Season
昨年までの傾向として、malwareを直接するような(稚拙な)やりかたが多かったのですが、今年はそれにかわって個人情報をPhishするような誘導メールが目立つようになっています。
海の向こうの話なのであまり関係ないかもしれませんけどね(苦笑)
----------------------
単に
"Tax Season is Phishing Season"
ってタイトルに釣られただけ(フィッシング!)
i P o r n なんて書かなきゃよかった・・と激しく後悔中
スパムリクエストに捉えられてしまったらしく、アダルト系と思われるサイトからスパムコメントが飛んでクルクル・・・
既に20個ほどSpam登録しましたが全く治まる気配がありません。
後悔先立たず(笑)
Confickerは結局何も起きなかったということで安閑としている方がいるかもしれませんが、同じ
MS08-067を使った新しいワームの存在が確認されました。
A Few Quiet Days… and a New Exploit of MS08-067 Has Been Identified
Confickerと同じ脆弱性を突くワームが出現
Neerisの最初に出現したのは2005年5月。これまでは別の脆弱性「MS06-040」を悪用するもので、MS08-067によって修正されたServer Serviceの問題とよく似ていました。しかし、このNeerisの作者はConfickerから何らかのヒントを得たらしく、一週間前に出現した新しい亜種はConfickerと非常によく似た特徴を備えています。
Microsoftによれば、もとはConfickerの作者がNeerisを真似た可能性もあるが、その後、NeerisがMS08-067の脆弱性悪用機能を採用した状況を見ると、両ワームの作者は手を組んでいるか、少なくとも互いに意識し合っているともみられる。
ウィルスの作者同士、切磋琢磨していいものを・・・ん?
ヤメテクレ(苦笑)
----------------------
Donbot - Joining The Club of Million Dollar Botnets
McAfeeはこのBOTワームを Donbotと呼んでいるようです
検出名 W32/IRCbot.gen.a はそれ自身を\netmon.exeとして保存し、\drivers\sysdrv32.sys (MD5: 0e219b74e2c68a34ca09d8fe114f6d11)というrootkitをインストール、Windows XP ServicePack2 以降で実装されている外向けセッション数の制限を解除するためにtcpip.sysを上書きし、その後IRCからのコマンド待機状態となります。
この新しくなったDonbotはConfickerと同様、“ms08_067_netapi” Metasploitモジュールが使われており、本来はセキュリティ検証用のシステム貫入試験ツールのはずが皮肉にもワーム・マルウェアの効率的な作成の手助けとなっている。
4b193a3eb51a43abd80a9b4bccbe4da2
smartkey.exe -- 6a8a50ef0704fb322fc2b57ecdbfd09d
なんだかなぁ・・・
もうラトビアに飛ばされるのはコリゴリなんですがね?
---------------------------
2009.04.08 18:30PM-JSTの段階で感染中
Analysis report for hxxp://mag-puppine.com/about/
Analysis report for hxxp://www.crestronjapan.com/
Analysis report for hxxp://www.4income.net/
8行削除 *** 感染状況など ***
---------------------------
さて、下記の方は感染したホストのオーナーの悲鳴ですが、何が発生しているのかを知る手がかりになるかもしれません。
Has my website been hacked?
ホストサイトのサポートBBSでの応対
Website Compromised!??!
CMS使ってる?
NO!
My website just uses html,css and javascript. I don't use jquery.
Hostから1回感染ファイルを消して再upしたらどうなる?
再upしたら問題ない
Ok. I downloaded one of the pages that has the code in it and deleted the code, re-uploaded it and then viewed it normally in IE. I don't see the code showing up in it.
デザインソフトのテンプレートか何か使ってる?
I coded my pages from scratch using notepad, no templates.
Host siteスタッフのポスト:
Just wanted to update the thread and let you guys know Chirs contacted support and I have the ticket assigned to me now.
I have a pretty solid idea of what happened and I don't think its any thing to be alarmed about. I checked a large pool of customers for the same code that our OP listed and haven't found any other instance of it. Also tech support is trained to alert us right away of things like this if they even suspect that it might be an issue and nothing has come up since this thread started.
私にはこの事態が何によってもたらされたのかという事に対し明瞭な意見があり、この事態は大きなアラームを出すようなものではないと考えています。私は多数の顧客の中で同じようなコードを持ったものが無いかどうかをチェックし、今のところ(この方以外)見つかっていません。また私どもは、こうしたケースのようにその事態が本当に大きな問題であるかどうかに関わらず、こうしてスレッド上で対応しているような迅速な顧客サポートを行えるように訓練されています。
Ok. The powweb techs said my password was too simple and so my account got hacked that way and then used the ftp to change my files. Everything is resolved now though. Hopefully it doesn't happen again.
ホスト会社の技術者は、自分のパスワードがあまりにも単純すぎたためにハックされ、それによってFTP経由で侵入、ファイルを改竄されたと思われるとのこと。現在は全てが改善された。もう二度とこんなことが起きないことを望みたいね。
Passwordを盗まれたというのがこの応答の顛末のようですが、その経路に関してはまだ不明です。
-----------------------
04.09 Early Morning
昨日は時間がなかったので英文のみだった部分をいいかげんに簡単に翻訳してみました。
「ホスト会社としてはこう言うしかないだろうね」という部分は置いておきまして、ホスト側で他の顧客(ホスティング領域)のデータを検索して、当該の被害者以外はみあたらなかったということは、この被害者の個人的な環境のみが汚染され、それによってサーバに何かがアップロードされても、サーバ内で拡大感染する性質のものではなかったということでしょうか?
※ホストそのものからの感染ではない・・・と
しかし、こう世界規模で一斉に発生している以上、「弱いパスワード」だけが原因で起こったとは考え難いと思うんですけどね・・
js script - for Juliet : page2
この辺をナナメ読みすると、キーロガー的な何かによって FTPリクエストが飛ばされたと同時に ID/PASSを抜かれている可能性があるという示唆が有ります。最初はセッションハイジャックによって、FTP送信の際に自動的に末尾に付与されるマルウェアかも?という感じだったのですが、FTPログに見知らぬIPからのアクセスが確認されたようですので、「ウィルス作者」が「手動」で埋め込んでいる可能性が高まりました(なんとなく笑える)
被害にあった方は今後のためにも、ホスティング会社に FTPアクセスログを出してもらい、覚えの無いログイン元IPを所定の機関に提出してくださることをオネガイします。
えと・・・ここかな?(笑)
不正アクセスに関する届出について
一太郎にバッファオーバーフローの脆弱性
脆弱性は、リッチテキストファイルの読込み処理に存在する問題に起因するもので、細工されたファイルを直接開いたり、Webサイトなどを経由して閲覧したりした場合にバッファオーバーフローが誘発される。攻撃者がユーザー権限で任意のコードを実行できる可能性がある。
JVN#33846134
一太郎シリーズにおけるバッファオーバーフローの脆弱性
ワープロソフトの一太郎シリーズには、バッファオーバーフローの脆弱性が存在します。
本脆弱性は JVN#29211062, JVN#32981509, JVN#50495547 で修正されたものとは異なる問題です。
[JS09002] 一太郎の脆弱性を悪用した不正なプログラムの実行危険性について
--------------------------
ジャストシステム・・大丈夫かな?
ジャストシステム、計測機器大手のキーエンス傘下に
熊本の人から「ヤメテクレ」といわれそうだ・・・
熊本を表示するトロイの木馬が出現
問題のExcel(.xls)ファイルは特定の人物を標的にして電子メールで送信されたものだといい、ファイルを開くと熊本市の地図画像が表示される。しかし、その陰ではシステムフォルダに攻撃コードが仕込まれて実行されており、バックドアを開いて攻撃者と通信を確立しようとする。
Spying via XLS files
このファイルは特定の人物に送られてきたもので、真に「ターゲット型」のマルウェアです。
もしこの XLSファイルを開くと
実際のところ、このXLSファイルを開いてしまった時点で、不正な動作により標的のコンピュータは乗っ取られています。
まず、system32フォルダに新しい2つのDLL("apimgr.dll" and "netserv.dll")を埋め込んで実行され、それによって以下の2つのサイトに接続を試みます。
# feng.pc-officer.com
# ihe1979.3322.org
現時点で ihe1979.3322.org はリゾルブ不能であり、feng.pc-officer.comは代用のIPに変わっています(which is 63.64.63.64)。これらは攻撃者が一時的なホストとして選択した可能性があり、将来的にmaliciousなサイトにリプレスされる可能性があります。
pc-officer.comのドメイン名に悪印象を持っている方もいるかもしれません。2006に取得されたこのドメインは既に別のターゲット攻撃の踏み台に使用された経歴を持っています。ISC blog entry from September 2007.
その時に使用されたのは .DOC ファイルであり、使用されたホスト名は ding.pc-officer.com,であって、 feng.pc-officer.comではありませんでした。
------------------------------
味噌天神周辺
Java 6 update 19
Apple QuickTime 7.5.6
Adobe AIR 1.5.3.9130Shockwave Player 11.5.6.606
Thunderbird 3.0.4
O
OOo 3.2
RealPlayer SP1.1.2(12.0.0.641) 
Skype 4.2.0.155
Pidgin 2.6.6
Wordpress 2.9.2
WireShark 1.2.7 |
 |
 |
 |
 |
BEFORE BURNER
I love Steven Ballmer!
KILL Acrobat JavaScript
Firefox 3.6.3
Chrome 4.1.249.1045
Opera 10.51
Secunia PSI
MyJVN VerChk
2010.05.31
2010.06.30
焼却炉