UnderForge of Lack

zlkon virus の怪しげなファイルの中の一つの検証結果が上がってきました

が・・・

bxatg.mnn -- MD5:e3110fefd25d7d7b512dfb1352477865

なんか PWD とか付いてるのでパスワード入手系の亜種かな？という想像はつくのですが

名付け親のカスペルスキーが検知できてないのは何故？

Trojan-PSW.Win32.Delf.ab

しかも No description だしなぁ・・

-------------------
Avira は

The file 'bxatg.mnn' has been determined to be 'MALWARE'.
Our analysts named the threat TR/PSW.Delf.AB.
The term "TR/" denotes a trojan horse that is able to spy out data, to violate your privacy or carry out unwanted modifications to the system.
Detection will be added to our virus definition file (VDF) with one of the next updates.

こう返答してきたらしいです。

いずれにせよ、レジストリ
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32
の AUX= に登録されているファイルが .dll .drv 以外の人は

現在も感染中
既にパスワード等を抜かれてしまった
現在もキーロガーが仕組まれている

という可能性を否定できません。

※1 mmdrv.dll, winmm.dll, ctwdm32.dll, aux.dll あたりが登録されているはずです。
※2 vista は wdmaud.drv かも？

『EMOBILE通信サービス』における通信品質確保を目的とした対策の検証実施について
イー・モバイル株式会社（本社：東京都港区虎ノ門、代表者：代表取締役会長兼CEO千本倖生、以下イー・モバイル）は、『EMOBILE通信サービス』にご契約いただいた全てのお客様に快適なサービスをご利用いただくため、「帯域制御の運用基準に関するガイドライン」に基づき、連続的かつ大量の通信を利用されている一部のお客様に対して、ネットワーク資源の品質・公平性確保を目的とした対策の検証を実施しますのでお知らせいたします。

■実施期間
2009年5月1日（金）～　2009年7月31日（金）
※お客様への影響と対策の効果を検証した上で、2009年秋を目途に正式に運用開始する予定です。

■概要
パケット通信ご利用実績を基に、連続的かつ大量の通信をご利用されている事を当社が確認したお客様に対して、より多くのお客様が快適にご利用いただくための通信速度制御を行う場合があります。対象となる条件については、別途、正式な運用開始の際にお知らせいたします。

すごく真っ当なことを言ってるだけだと思うんですが・・・

総務省も、推奨しているわけですしね（笑）

----------------------
イー・モバイル、「連続かつ大量の通信を行うユーザー」に帯域制御を実施

Yahooのコメント欄はカナリ紛糾している模様。

イー・モバイル、連続的かつ大量の通信を利用するユーザーに帯域制御を実施

./Jも、批判的な意見が多いですね（苦笑）


個人的には、ごく一部の（MADNESS）ユーザによって域帯が食い荒らされているのは間違いない事実ですので、納得できる範囲内の規制はやむをえないと思っています。特に電波は公共のものですからね。

問題はE-Mobileが契約の際に、どんな文言（甘言）で客を誘引していたか？という部分でしょうね（笑）

いずれにせよ、「これから調査する」段階ですので、私としてはコメントできないということにしておきます。

いつもの定例パッチの発表です。

2009年4月のセキュリティリリース予定

Microsoft Security Bulletin Advance Notification for April 2009

マイクロソフト セキュリティ情報の事前通知 - 2009 年 4 月


って・・中身に関する詳細が何にもないじゃん（笑）

ま・・事前予告なんでこんなもん・・・なのかな？
（先月は居なかったので知らない・笑）

内訳は「緊急(Critical)」x5, 「重要(Important)」x3, 「警告(Moderate)」x1 の８つ

Officeの中にPowerPointが入ってるかは不明です。

詳細が出たらまたネ

IRCに変なログが残っていたのでちょっと補足

現在問題になっている PDF系の問題は

CVE-2009-0927
Stack-based buffer overflow in Adobe Reader and Adobe Acrobat 9 before 9.1, 8 before 8.1.3 , and 7 before 7.1.1 allows remote attackers to execute arbitrary code via a crafted argument to the getIcon method of a Collab object, a different vulnerability than CVE-2009-0658.

CVE-2009-0658
Buffer overflow in Adobe Reader 9.0 and earlier, and Acrobat 9.0 and earlier, allows remote attackers to execute arbitrary code via a crafted PDF document, related to a non-JavaScript function call and possibly an embedded JBIG2 image stream, as exploited in the wild in February 2009 by Trojan.Pidief.E.

この２つの話だとおもいます。

３月頃に騒がれたPDFウィルスは、CVE-2009-0658の脆弱性を突いたものでした。

今回、zlkonで見つかったPDFウィルスは dropper.pdf -- MD5:af28f3bc9424a3da7ff8bc84740bce93
Pidief EN
と思われますが確証はありません。

※というのも、Symantecが Trojan.Pidief.A -- 2007.10として検出してるんですよね～
　単にヒューリスティックなのかもしれませんが

----------------------------
今回、CVE-2009-0927を突いた新種のウィルスの存在が確認されました。

Adobe Acrobat/Reader getIcon() Vuln Exploit in the Wild

Cyber criminals have now updated their PDF exploits to include the getIcon() vulnerability (CVE-2009-0927). We currently detect this as TROJ_PIDIEF.OE.

As usual, we highly encourage users to update now to the latest versions of Adobe Acrobat and Adobe Reader (if you haven’t yet). Reading the security advisory by Adobe closely, we see that this issue was previously fixed in version 8.1.3 but not for version 9.0:

PATCH NOW
いずれにせよ、Adobe Acrobat Reader を使いつづけるなら、パッチを充てましょう。
あと、PDFにJavaScriptなんか不要だと思う方は、このへんを参照してJavaScriptを切ってください。

-----------------------------
CVE

脆弱性情報データベース Common Vulnerabilities and Exposures（CVE）は、「脆弱性は全ての情報が詳細にわたって一般に公開されているべき」とするフルディスクロージャ運動の具現化の一つで、アメリカ政府の支援を受けた非営利団体MITRE社によって脆弱性情報データベースの具体的な構築に向けての提案が行なわれ、その場で具体的な検討が行なわれたことをきっかけに、CVEが作成されることとなった。

他の脆弱性情報データベースと異なり、内容がベンダ依存でない（業界標準名が用いられている）ことが利点として挙げられる。なお、MITRE社はCVEをデータベースではなく辞書だとしている[2]。その真意は、CVEの目的は「識別可能性の確保＝個々の脆弱性に固有のCVE番号を割り当て、CVE番号によって脆弱性を識別可能とすること」と「命名＝個々の脆弱性に（業界標準的な）名前を付けること」であり、詳細情報は外部サイトや他の脆弱性データベースに任せるというものである。

一応、日本にも似た取り組みを行っている団体があることはあるのですが・・
Japan Vulnerability Notes（JVN）
CVEの機械翻訳と、結局日本語のリファレンスが出る頃には事態が間に合ってないことが多いため、役にたっているかどうかは「？」という状況です。一太郎の（最初の）脆弱報告も先にUSで報告されてますしね（笑）
この辺は、ニワトリと卵の関係のようなもので、もう少しIPAが緊急対応に関する提案あたりを積極的に行うべきなのでしょうかね？

-----------------------------
閑話休題

質問にあったCVEナンバーですが、

CVE-2007-5659 : Assigned (20071023)
Multiple buffer overflows in Adobe Reader and Acrobat 8.1.1 and earlier allow remote attackers to execute arbitrary code via a PDF file with long arguments to unspecified JavaScript methods. NOTE: this issue might be subsumed by CVE-2008-0655.

CVE-2008-2992 : Assigned (20080702)
Stack-based buffer overflow in Adobe Acrobat and Reader 8.1.2 and earlier allows remote attackers to execute arbitrary code via a PDF file that calls the util.printf JavaScript function with a crafted format string argument, a related issue to CVE-2008-1104.

CVE-年-受付番号 という順番で見ていくと、相当古いということがわかると思います
この辺の脆弱性の問題が 2009年でも問題になっているのは相当アップデートを怠っているユーザでないか？と思うのですが

（でも結構多そうですね・笑）