UnderForge of Lack

えーっと以前、ファイルを人質にして身代金を要求するランサムウェア（人質ウェア）を紹介しましたが、今回報告されたソフトはパワーアップしています（しなくていい！）

ユーザーを締め出す新手の脅迫プログラムが出現
ランサムウェアは、ファイルを暗号化して身代金を要求する「Gpcoder」などが知られているが、Symantecが最近見つけたという「Ransomlock」は、ユーザーを自分のデスクトップから締め出し、コンピュータを操作できない状態にしてしまうという。

SMS Ransomware Threat
ユーザにSMS送信を促すための番号が表示されますが、このSMSコードは毎回ランダムに発生しており、入力しても無駄でしょう。

このトロイは特に危険ではありませんが、かなりウザッタイものです。
タスクマネージャの起動を阻害するために、CTRL+ALT+DELをフックされるため、タスクをKILLすることができません。
また、リブートしてセーフモードで起動しても Userinit レジストリに登録されているため、再起動のたびに人質ウェアが起動することになります。

この番号にSMSを送信してはいけません。
我々は、この解除コードを生成するためのツールをダウンロード提供しています。


うぜーーーーー（笑）

ロシア語なので、何言ってるんだかまったくわかりません（苦笑）
とにかく変な PE型をインストールしないように気をつけましょう。

------------------------
そういえば、
ランサムウェア「Gpcode」で暗号化されたファイルの復元方法が公開
RSA1024ビット鍵で武装したマルウェアの亜種「Gpcode.ak」が発見されて以来、その秘密鍵解読のため、Kaspersky Labは世界中に協力を呼びかけている。

力業による解析を進めているKaspersky Labだが、現実的な時間内で解析が終了するかどうかも分からず、秘密鍵が変更されればそれまでの取り組みが水泡に帰すことになる。

これはどうなったんでしょうね？（笑）

zlkon virus(仮称）によって、かなり長い時間公開停止に追い込まれていた２つのサイトが再開したようです。

http://death-sauce.jp/
公式サイトを再開させて頂きました


http://mag-puppine.com/
お知らせとお詫び


とりあえず、御苦労さまでしたということで。

ウィルス本体の活動の内容がまだはっきりしていないとはいえ、これ以上の拡大も確認されていないので、このまま少しずつ収束していく・・・のかな？

強いて言えば、今回の問題は
・Web経由でユーザが感染したかもしれないという、ユーザ被害
・Web作成に使用していたPCからのデータ漏えい
の２種類の側面で考えなければならないことで、

http://ameblo.jp/wdsc-blog/
その後、マカフィー社より送られた分析ツールを使用し、当PCのデータをマカフィー社へ返信、その結果、現在当該マルウェアはPC内で活動は停止させられた状況となっているとの公式回答を得ました。

------
対策が不十分なサイトは、復旧後数日で再度トップページが乗っ取られ、データの改竄がされたという記事も確認しておりましたが、WDSCではメインセキュリティベンダーのマカフィー社と連絡を取りながらPC内のデータをクリーンな状態にした上で、アップロードしたデータは一旦全削除、その上でFTPパスワードを変更し、ウイルスの影響を受けない状態でFTPアップロード環境を変更いたしました。

http://mag-puppine.com/osirase/index.html
当社では、4月10日（金）に事態を認識し、同日午後5時にサイトを閉鎖いたしました。その後、第三者セキュリティ専門会社に調査依頼のうえ、原因究明と再発防止に向け対策を実施し、安全を確認したページのみ、 本日より掲載を再開いたしております。そのほかのサイトに関しましては、万全を期するため引き続き調査と対策を行い、順次公開して参ります。

なお、本件による個人情報の流出はございません。

という部分が重要だと思います。

---------------------
尚、
TopPageに１回も何も載せなかったとこへのコメントは控えます（苦笑）
クライアントPCにまだウィルスが残っている可能性を否定できないので赤くしておこう

hxxp://www.rakuten.co.jp/barbir/

hxxp://www.rakuten.ne.jp/gold/i-na/

hxxp://www.crestronjapan.com/


6行削除 *DELETED*　穏便化

--------------------
でも、できたらFTPじゃなく、SFTPを使ってね（笑）

Confickerとのつながりを噂されている Spam Botnet、Waledacですが、活動を自粛なんて言葉は辞書にはないようです。

Online Casino, Geocities, and Waledac
Deviating from Conficker/Downad update and jigsaw puzzle menace, Waledac updated its spam emails and is now spamming online casino advertisements.
giocitiesのオンラインカジノを乗っ取ってみたり・・・


New Waledac Campaign: SMS ‘Snooping’ Software
After attempting to shock us with dire news of terrorist bombings, Waledac now attempts to entice us with offers of spying somebody else’s (notably a lover’s) SMS messages.
他人のSMS(ショートメッセージ）をのぞき見するツール（苦笑）を作ってみたり（実際に覗けるかどうかは知りませんよ？）・・

と活動の幅にバリエーションが増えてきました。


Waledac関連のシグネチャだけで・・・

• TROJ_WALEDAC.HX
  
• TROJ_WALEDAC.IC
  
• WORM_WALEDAC.KT
  
• WORM_WALEDAC.KW
  
• WORM_WALEDAC.LN
  
• WORM_WALEDAC.LT
  
• WORM_WALEDAC.LP

spam禁止（苦笑）

今年の１月に騒がれた MacOSのMalwareですが、今頃になってメディアに取り上げられたようです

Cybercriminals create botnet using Mac computers -- CBCNews.ca
A piece of malicious software unwittingly shared over a peer-to-peer network in January was the key tool in what security researchers are saying was the first known attempt to create a botnet of Mac computers.

Researchers at Symantec say the Trojan, called OSX.Iservice, hid itself in pirated versions of the Apple application iWork '09 and the Mac version of Adobe Photoshop CS4 that were shared on a popular peer-to-peer bittorrent network.


え？ MacOS Botnetですか！？

と思ったけど、McAfeeは別の見解：
Mac Malware In The News
Quite frankly there is not any functionality in this “bot” (some would simply call it a remote access trojan but let’s not split hairs OK!!) that we have not seen before. The only thing of concern here is that it does affect the Mac platform which certainly is fresh territory.

細かい定義はともかく、リモートアクセス可能なバックドアと、"Botnet"は違うんじゃないかな？

まぁ、MacOS自体がターゲットになったことが珍しいので、不安の喧伝をやりたかったのでしょう（ですよねぇ？　バルマーさん？）

MacOS上のセキュリティソフトは、「とりあえず」
ClamXav
あたりをお試しください。

参考:ClamXav -- MacWiki

Windows 2000およびXP SP2のサポートはFirefox 3.5で終了？
2010年に予定されているFirefox 3.5の次のバージョン（Firefox.next）ではWindows 2000およびXP SP2以前をサポート対象外にする、という提案が行われているとのこと

フォーラムではこの提案に対し、「まだWindowsユーザーの大多数はXPを使っており、さらにそのうちのどのくらいがアップグレードを行っているのか分からない。Microsoftがサポートしないとはいえ、、そのようなユーザーにもFirefoxを使えるようにするべきだ」という意見や、「むしろ Windows XPもサポート対象外にすべきでは。Windows Vistaには価値のあるたくさんの新機能があるし、Windows 7が成功すればXPの切り捨ても視野に入れられるだろう」という意見などが挙げられている。

------------
>Windows Vistaには価値のあるたくさんの新機能があるし
その意見を言った奴は、いったいどこの星のVistaを見たのだろうか。

>>
感情論になってしまうのは重々承知ですが
Vistaだってそこまで悪い娘じゃないんです…。
ただ少しだけ、そう、ほんの少しだけ気難しくて物覚えが悪いだけなんです…。
あんまり彼女を苛めないで下さい…。

朝っぱらから笑わせないでください（苦笑）

Vistaが良いOSなのはわかりますが、一般ユーザの視点でみるとやっぱり不要な（FATな）部分が多すぎるように思います。Windows7(Vista SP2・ぇ）に期待しておきましょう。

それにしても、XP SP3を切り捨てるのは難しいんじゃないでしょうかネ。XP SP2以前を性懲りもなく使っているユーザは知りませんけど・・・

2Kですか？
すでに来年の７月でサポートが切れるのはわかっていますので切ってもらってもいいですよ・・ええ（泣）

参考:
Proposal: Raise minimum requirements for 1.9.2 on Windows to WinXP SP3

Adobe製品やUSBメモリを悪用する脅威が増加――シマンテックが報告
シマンテックは4月16日、このほど公開した2008年のインターネットセキュリティ脅威リポートに関する記者説明会を行い、Webを媒介にする脅威について解説した。正規サイトの改ざんやサードパーティー製アプリケーションの脆弱性を悪用する手口が増加している。

「正規のWebサイトを改ざんしてユーザーをマルウェア感染サイトに誘導する手口が一般化した。攻撃者はXSSなどの脆弱性を突いて不正サイトに誘導するための“iframe”をいかにして仕掛けるかに注力している」と説明した。

Webベースの脅威ではWebブラウザの脆弱性を悪用する手法に加えて、サードパーティー製アプリケーションの脆弱性を悪用する手口が増加。特に Adobe AcrobatやFlashの脆弱性を狙う攻撃が増え、ブラウザのプラグインの脆弱性を突く攻撃のうち、Adobe Acrobatが占める割合は2007年の1％から2008年は4％に、Flashの占める割合は同2％から2008年は4％にそれぞれ増加した。また、 Java Scriptを悪用する手口の割合も同4％から2008年は13％に増加している。

XSSはサーバサイド、提供CMSの脆弱性辺りの問題ですが、今回発生している一連のzlkonショック（笑）は、Webパブリッシャ側のクライアントがウィルス感染によって引き起こされていると考えられていますので性質が悪いです。

Adobe Acrobat Reader/ Adobe Flash Player は比率的にインストールしている人が高いでしょうから、攻撃側としても成果の期待値が高まるわけで・・・

ゼロデイ的な攻撃が増えた昨今、自己防衛が重要になってきます。

参考：
シマンテック インターネットセキュリティ脅威レポート

参考：サマリー（英語版）
Symantec Internet Security Threat Report Finds Malicious Activity Continues to Grow at a Record Pace


参考：レポート本文（PDF -- 110p -- 3.57MB）
Volume XIV, Published April 2009 -- Symantec Global Internet Security Threat Report

JVN#82744714 -- LovPop.net 製 apricot.php におけるクロスサイトスクリプティングの脆弱性

LovPop.net が提供する apricot.php は、ウェブページのアクセスログ解析を行うためのソフトウェアです。apricot.php には、クロスサイトスクリプティングの脆弱性が存在します。

なお、apricot.php は 2009年3月19日をもって、公開およびメンテナンスを終了しています。そのため、引き続きアクセスログ解析ソフトを使用する場合は、同等の機能が実装された他製品の使用を推奨します。

懸念される事態：
ユーザのブラウザ上で任意のスクリプトを実行される可能性があります。


無料アクセス解析プログラム ─ apricot.php 1.20
apricot.php の公開は終了しました。 (2009/03/19)

このソフトが原因で発生した損害に対して、開発者は責任をもちません。 自己責任のもとでご利用ください。 またこのソフト、およびこのソフトを改造したものを商用利用することは 基本的に許可していません。

というわけですので、自己サーバ・レンタルサーバ環境で使用している方は使用を中断し、別の解析ツールへの乗り換えを検討してください。