UnderForge of Lack

zlkon virus関連でIDS/IPSに登録しておいたほうがよい（と思われる）IPが追加で報告されてきましたので、取り急ぎ

-----------------------

CIDR: 78.110.175.0/24 (78.110.175.0-78.110.175.255)
CIDR: 193.138.172.0/22 (193.138.172.0-193.138.175.255)
CIDR: 94.247.2.0/23 (94.247.2.0-94.247.3.255)

-----------------------

Black Hat SEO planting trojans (再掲)
にもあったのですが

Unknown script embedded in file -- 03-03-2009, 04:27 PM

3/3の時点で埋め込みが行われていた際に使用されていたサイトは

hxxp://78.110.175.249/jq%20uery.js

IP Tracing (78.110.175.249)
LIMIT SUREHOST IP RANGE 1 -- Russian Federation [.ru] (ロシア連邦)

CIDR: 78.110.175.0/24 (78.110.175.0-78.110.175.255)

-----------------------

Site was hacked this morning - trying to figure out how they did it

そのロシアのサイトの埋め込みが発生したサイトオーナーの事件で、FTPアクセスログに残っていた不正アクセス元IP

193.138.172.5

IP Tracing (193.138.172.5)
BaltConn SIA -- Latvia [.lv] (ラトビア)

CIDR: 193.138.172.0/22 (193.138.172.0-193.138.175.255)

-----------------------
再掲しますが、今回のマルウェア配布先（元凶）

IP Tracing (94.247.2.195)
ZlKon -- Latvia [.lv] (ラトビア)

CIDR: 94.247.2.0/23 (94.247.2.0-94.247.3.255)


-----------------------
この先は未確定情報
-----------------------

まだよくわかっていない、ローカル側の感染状況ですが、PE型のMalwareについて少し情報を集めてみました。

ダウンロード元のリダイレクタがどういう基準で変化させているのかいまいち掴めないのですが

--------
8lv.exe -- MD5:791509d03706cbc8883536b5131341d4 (15,360 bytes)
MD5:0x791509D03706CBC8883536B5131341D4 -- ThreatExpert
Analysis Report for 8lv.exe -- Anubis

UPXによって固められた複合型のPEファイル

ペイロードからドロップ：２ファイル
bgrn.mym(bpagokx.nmy) 18,944 bytes
MD5:0x14B91FB4F6DF6C513C9886A3A93A9555
u.bat 60 bytes
MD5:0xA8B1A9C29F556C5E2195AF94B937B4CA

ファイルの改変
%System%\sqlsodbc.chm
　(WinXP -- C:\WINDOWS\system32\sqlsodbc.chm)

プロセスの生成
cmd /c C:\u.bat
　※ u.bat の実行
　　（ペイロードドロップのテンポラリフォルダ _t と、UPXファイルの消去）

レジストリの改変
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32 :: aux=C:\ ..\ bgrn.mym
or
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32 :: aux = "%System%\..\bpagokx.nmy"

--------
殆ど同一の動作をすると思われるもの：

sample.exe -- MD5:a6605b4e07b00661b042b2567ca3fada (15,360 bytes)
MD5:0xA6605B4E07B00661B042B2567CA3FADA -- ThreatExpert

ペイロードからドロップされ、レジストリに登録される AUXファイルが
　%Windir%\cqe.rgg 18,944 bytes
　　MD5:0xE6BE3C85D2583E2D24F0EA6928070B3D
に変更

--------
動作不明
??.exe -- MD5:6de7f96fe398ca304b1992869faf55c7

--------
詳細不明
lw6.exe -- MD5:2586a42cfdc03ea62694f5641b5d7633 (16,384 bytes)
H95[n].EXE -- Prevx

-----------------------
未確認情報ですが、不明なプロセスが
sqlsodbc.chm
をアクセスに行って、全体のパフォーマンスを下げ（あるいはハングアップ寸前）ているという話です。

まだこの脆弱性攻撃の具体例は無いのですが
CVE-2009-0119
これを狙ったものの可能性も否定できません。

Microsoft Windows CHM File Processing Buffer Overflow Vulnerability
Microsoft Windows is prone to a buffer-overflow vulnerability because of an issue when processing CHM files.

Successfully exploiting this issue would allow attackers to corrupt memory and crash the application associated with these files. Given the nature of this issue, attackers may also be able to run arbitrary code, but this has not been confirmed.

Windows XP Service Pack 3 is vulnerable; other versions may also be affected.
しかし・・この攻撃の具体例はいくら探しても発見できず・・・

サンプルコードはかなり出回っているんですが・・・ MS Windows (.CHM File) Denial of Service (html compiled) -- securityreason

-----------------------

sqlsodbc.chm (windows xp 圧縮html/ヘルプファイル)
　C:\WINDOWS\system32
　50,727 bytes
　MD5:F639AFDE02547603A3D3930EE4BF8C12

これ以外のサイズ/ハッシュの場合は感染している可能性が高いです。

尚、win2kには chmは無いのであんまり関係ないですが（笑）
sqlsodbc.hlp
　C:\WINNT\system32
　17,148 bytes
　MD5:3177C8154F1011535FDD1B1B30D3D2E9

逆にいえば、sqlsodbc.chm が存在した時点でおかしいです

-----------------------

このクラッシュに乗じて更に別のマルウェアを導入された可能性は否定できませんが、やはり怪しいのはAUXに定義されたファイルでしょうね

bgrn.mym
bpagokx.nmy
cqe.rgg
（ファイル名はランダム生成の可能性大）

このへんの解析はまだ出ていないようです。

Confickerの件で、新しい（ヨタかも）ネタが上がってきました

Confickerワームと大規模ボットネットが結託か？
Waledacは大規模なボットネットを形成し、社会的なニュースや話題に便乗してさまざまな内容のスパムを流し続けているマルウェア。Symantec によると、Conficker.Cに感染したマシンのWindows Tempフォルダに、WaledacとConfickerの亜種が、それぞれ似たようなファイル名でほぼ同時刻に現れた。このことからSymantec は、Confickerの感染拡大にWaledacが関与している可能性があるとみて調査を続けている。

Downadup + Waledac?
We have come across a system infected with W32.Downadup.C that has provided some interesting information. We discovered some similarly named files, 484528750.exe and 484471375.exe, which had shown up in the \Windows\temp folder within one minute of each other. These files turned out to be W32.Waledac and a modified W32.Downadup variant, respectively.

興味深い事実を発見たとの報告を受けました。W32.Downadup.C(aka Conficker.C)に感染しているシステム上で、似たような名前を持つ .exeファイル、484528750.exe、および484471375.exeが発見されました。この両者は１分以内に windows/temp フォルダに現れました。これらはそれぞれ、W32.Waledacと、W32.Downadup(Conficker)の亜種であることが確認されました。

この新種のW32.Downadupには、瑣末な機能の違いが見られるものの、W32.Waledacの目前に存在したことによって疑念を抱かされました。

「Downadup(Conficker)はWaledacによって拡散しているのか？」

われわれが持っている情報は矮小すぎるため、全体を確認することはできませんが、今後ともより多くのデータを収集することで、本当にこの両者が複合感染しているものかどうかの調査を続行していくつもりです。

そういえば、早朝書いた TrendMicroの記事の後ろのほうにも

Conficker-Waledac connection? Possible, but we still have to dig deeper into this…
ConfickerとWaledacが結託してる！？　可能性はあるけど、慎重に見極めていきます・・・

って書いてあった気もするな（笑）

-----------------------
Waledacといえば、バイアグラ（苦笑）ってイメージしか湧かないんですが、なぜそうなのか？はこの辺をみてください。

WALEDAC Spamming Madness

WALEDACのスパムが気が狂った

-----------------------
余談：
Symantecはそろそろ Downadupの名称を Confickerにしてくれませんかね？（笑）

Windows7 RC1のリリースが間近に迫っているようです。

Delivering a quality upgrade experience

MS、Windows 7のRC版インストールでの注意点を説明

These instructions will be brief. Since everyone reading is a well-versed and experienced beta tester you know ALWAYS BACK UP YOUR MACHINE before running any OS installation and NEVER TEST AN OS ON YOUR ONLY COPY OF ANY DATA. Testing a pre-release product means just that it is testing and it is pre-release. Even though this is a Release Candidate, we are still testing the product. We have very high confidence but even if an error happens once in 1,000,000 we want to make sure everyone is taking the precautions normal for a pre-release product.

Windows 7の開発チームは、現在数百万人がWindows 7βをフルタイムで使っていることを認識しており、「どうしてもβ版からRCにアップデートしたいユーザーのために」バージョンチェックを回避してアップデートする方法を紹介している。

方法に関しては MSのBlogを見ても実物が来ないとなんともいえませんね（笑）

しかし、１００万人が「フルタイム」でWin7を使っているというのはMSとしては心強い数字なのかもしれません。


We’re just trying to be deterministic and engineer the product for the real world. Speaking of the real world, many have asked about upgrading from Windows XP. There's no change here to the plan as has been discussed on many forums. We realized at the start of this project that the “upgrade” from XP would not be an experience we think would yield the best results.

問い合わせが多いWindows XPからのアップグレードについても、サポートしていないとあらためて強調した。

Vistaからのアップグレードに関してはまだ未定のようですが・・

----------------------
日本語記事：
上の記事を翻訳したものではありませんが、やはり βから RC1への移行の注意点が記載されています。

Beta から RC への変更点 -- Windows の機能をオンまたはオフにする

----------------------
Windows7 はどうなるのか！？
実に楽しみではあります。

I'm still windows 2k /shrug

沈静化している感のある Confickerですが、一般ユーザのPCからほとんど駆逐されてしまった反面、企業のPC群から駆除されたのかどうかは不透明な状態のようです。

マカフィー、3 月のサイバー脅威の状況を発表


マカフィー、CONFICKER ワームへの不安に応えて情報を提供
インターネットセキュリティのリーディングカンパニー、McAfee Inc.（NYSE: MFE）は本日、「Conficker」ワームによって4 月1 日に広められる恐れのある潜在的脅威に関する懸念が一般の人々やメディアの間で高まっていることを受け、不安軽減策を講じました。また、消費者や企業向けの簡単な手引きを用意して、完璧に保護できるようにしています。

余談ですが、その「リーディングカンパニー」さんがこんな事故（？）を起こすのはどうかと思うのですが？

エラー1920が発生し、VirusScan Enterpriseのインストールに失敗します。（ユーザ名にダブルバイトをご利用の場合）

苦笑

-------------------------
余談は置いておきまして、

なにもなし

MS内部でも、Confickerに関する過剰報道への倦怠感と、一向に進まない企業の「自動アップデート」にイラダチを募らせているご様子。

まぁ、企業内で「検証のためにパッチが直ぐに適用できない」というのは、単に管理者が「もしトラブって責任を負わされるのがイヤ」という心の叫びなんでしょうがネ（笑）

-------------------------
あとは、TrendMicroの

Downad.KK/Conficker.C p2p Port Generation Code Exposed
Confickerの P2Pネットワークを利用したポート生成コードが解析された！

解析されても 相互IP通信そのものの遮断法に繋がらないような気もする（待ち受けポートがランダムで変わるため）

※このホラー映画の広告みたいな見出しはなんなんでしょうね？（笑）

とか、

DOWNAD/Conficker Watch: New Variant in The Mix?
onficker(DOWNADUP)の複合型新種が登場か！？
WORM_DOWNAD.Eで定義された新種は

• 2009.05.03に活動を「停止」する
  
• ランダムなファイル名でランダムなサービス名を提供する
  
• ダウンロードされたコンポネンツを自己破棄する
  
• MS08-067を利用して可能なら外部IPを、コネクションがなければLocalIPを使用する
  
• Port 5514を開き、SSDPリクエストを通して自分をhttpdサーバとしてブロードキャストする。
  
• 以下のサイトにアクセスを試みる
  
  • Myspace.com
    
  • msn.com
    
  • ebay.com
    
  • cnn.com
    
  • aol.com

・・・・・・・・
という感じで、あまり変化のないニュースが延々と続いていまして、読むほうもなんとなく倦怠期に入っています（苦笑）

SSDPリクエスト：
netstatでリッスンしているプロセスを特定する

-------------------------
なんとなくですが・・・このまま徐々に駆除されつつ、駆除できないところはシブトク残るという感じになってしまうんでしょうか？

「docomo PRO series BlackBerry Bold」の発熱事象に関する対処方法および販売再開のお知らせ
2009年2月27日（金曜）に『「docomo PRO series™ BlackBerry® Bold™」の一時販売停止のお知らせ』にてご案内いたしましたとおり、携帯電話が発熱するという事象が確認されました。
この度、本事象の原因が、電源を制御するソフトウェアの不具合によるものであると明らかになり、現在ご愛用いただいておりますお客様につきましては、ソフトウェア更新を実施していただくことで改善することが可能となりました。本日よりソフトウェア更新を開始いたしますのでお知らせいたします。
なお、4月10日（金曜）より、「docomo PRO series BlackBerry Bold」の販売も再開いたしますので、併せてお知らせいたします。


BlackBerry® Bold™ のソフトウェア更新内容


あわせてドコモでは、「ブラックベリーインターネットサービス」、「ブラックベリーエンタープライズサービス」、「ブラックベリーデュアルサービス」の月額利用料を無料にするキャンペーンを1カ月延長し、5月31日まで実施する。


出鼻を挫かれた感のある Blackberryの日本展開ですが、今後はスムーズにいく・・・？のかな？

関連:
2009年はスマートフォン市場にも厳しさが忍び寄る

［WSJ］ HTC、Android携帯を4機種以上リリース

【台湾】エイサー、9月に「Android」携帯発売か

有名なセキュリティ情報サイト
セキュリティホール memo
さんに、うちの記事・・というか落書きが記載された模様で、アクセス数が急増（といっても３００程度ですが）。

恐縮する反面、非常にコッパズカシイ思いをしています。
列記されることを認識してなかったので、タイトルがいいかげんなのが一目瞭然（苦笑）

ZLKON virus spread over Japanease E-commerce site? (UnderForge of Lack, 4/6)。解説ページ。
What's compliance under the emergency (UnderForge of Lack, 4/7)
So... WTF geno reverted back Virus site (UnderForge of Lack, 4/7)
Latvia Tour spread over (UnderForge of Lack, 4/8)

WTFって何だ？って聞かれたけど、グーグル先生に聞いてください（泣）

ああ・・はずかしい
公開先立たず（苦笑）ですね
＃後悔するまえに公開すんなよというblog上の話

-------------------
新しくやってきた方へ

拝啓

いらっしゃいませ
当サイトはこんな変なサイトですので、いろいろ不手際が有ると思いますが生暖かく見てくださいませ。

敬具