UnderForge of Lack

Windows 7 Release Candidate Update
I’m pleased to share that the RC is on track for April 30th for download by MSDN and TechNet subscribers. Broader, public availability will begin on May 5th.

こどもの日は Windows7インストールで潰れそうですね（笑）

Beta1を動かしている（いた）方は
ベータ版から RC 版へのさらなる変更点 -- 2009.04.25
RC に向けてのベータ版からの変更点 -- 2009.03.23
あたりで予習しておくのも悪くないかもしれません。

ちょっと多いんでゲンナリしていますが・・・
Panda Securityの発表したWordPressを使ったBlack Hat SEO攻撃がかなり激しいものになっているようです。

Black Hat SEO and Rogue Antivirus -- 2009.03.27
Since several months ago, massive attacks (obfuscated javascript inserted - IFRAME to inject backdoors/keyloggers), thousand of hacked websites used to distribute rogue antivirus have been detected by major antivirus vendors, cyber intelligence labs and other security companies.

The exponential growth of rogue antivirus distribution through legitimate websites remain silent as the tactic used by the creators continued to become more sophisticated.

ここで警告を受けた fake Anti-Virus ソフト（Scanware）は、何と Microsoftの名前を騙っています。

「車名で検索したら偽ソフト」――キーワードの“乗っ取り”相次ぐ
スペインのパンダセキュリティは2009年4月14日、Googleなどの検索結果の上位に、「偽ソフト」配布サイトへのリンクが表示されるケースが増えているとして注意を呼びかけた。

同社が最近確認したのは、米フォードや日産自動車に関連した特定のキーワードを“乗っ取る”手口。それらのキーワードで検索すると、偽ソフトの配布サイトへのリンクが上位に表示される。同社によると、100万件を超えるリンクが確認されたという。

キーワードの種類は、「Ford Uk」のように短いものから、「1989 Nissan Pickup Truck Engine Check Light Troubleshooting」といった長いものまでさまざま。車名や部品名だけではなく、「Where Is The Horn Relay On A 2002 Nissan Sentra」といった文章もある。今回同社が公開したのは121件だが、乗っ取られているキーワードはそれ以上ある模様だ。

同社が公開する例では、検索結果に表示されたリンクをクリックすると、偽の動画サイトに誘導。動画再生プレーヤーのような画面をクリックすると、動画を再生するためのプログラムに見せかけて、偽ソフトをダウンロードおよびインストールさせようとする。

具体的な攻撃手法の動画 by Panda Security
Targeted Blackhat SEO Attack against Ford Motor Co.

検索キーワード "93 Ford Aerostar Tension Belt"

検索結果に、"How to loosen Tension Belt 93 Ford Aerostar" と出ます

ページに飛ぶと、何やら動画のようなものが出て、そこをクリックすると何かをインストールするように表示が出ます。

中身はお察しのとおりですが（苦笑）

--------
別のとこに仕掛けられていた、怪しげなインストーラ

setup.exe MD5:2a9889219ec9d0124892e5e64eaed2bd

Analysis Report for MD5:2a9889219ec9d0124892e5e64eaed2bd

後はもう、偽のセキュリティソフト
MS AntiSpyware 2009 が起動（しているような）画面になり、正規購入を迫ります


--------
Block Info
Black Hat SEO and Rogue Antivirus p.9
Massive black hat campaign still growing: Easter related websites, Ned.org, Ford and more

ドメイン (現時点では正引き不能なものが多い）
antivir-scan-pro-best.com
ns2.antivir-scan-pro-best.com
ns1.antivir-scan-pro-best.com
checker-pc-pro-av.com
sheck-pro-as.com

64.69.32.220
CoreExpress CoEX
メンドウなヒトは全部どうぞ（笑）
64.69.32.0/20 (64.69.32.0 - 64.69.47.255)

--
Fake AVへの誘導を行っていたサイト群

load-archive-av-pro.com
files.load-archive-av-pro.com
ns2.load-archive-av-pro.com
ns1.load-archive-av-pro.com
download-pro-as.net
load-antivir-pro-pc.com
files.load-antivir-pro-pc.com
download-pro-as.net

ecoweb.lv
195.88.80.127
netname: ECOWEB
descr: SIA TERON
country: LV
またラトビアなの！？ orz

195.88.80.0/23 (195.88.80.0 - 195.88.81.255)

--
Ford Morters を装ったサイトに使用されていたアドレス

globextubes.com
fasttube2009.com
globalstube2009.com
globextubes.com
streamingtubes2009.com

64.69.32.203
上の CoreExpressと同じ

--
ペイロード中身の交信先：
nhgfngfdhngf.com - 216.240.148.9

OrgName: ATMLINK, INC.
OrgID: ATMLIN
City: Los Angeles
ATMLINKもMalware Block Listの常連ですね

216.240.128.0/19 (216.240.128.0 - 216.240.159.255)
ばっさりと・・

--
このページのトップから、怪しげな gifへのリンクが貼られていたようです。

hxxp://images2009best。com/perce/
30f07cdd01ead4f0dd74319d888cfdd9386f80b04bf230
740e19c810803919c83e9c9f487472375ee/70e/perce。jpg

perce.gif MD5:e49048a38d0757b92a34dff6fc3b3f74

中身は PE型のDropperですが・・・

Analysis Report for perce.gif

From ANUBIS:1032 to 216.240.157.91:80 - [imagesrepository.com]
Request: POST /resolution.php
Response: 200 "OK"
上述のATMLINK内

From ANUBIS:1033 to 88.214.205.8:80 - [zone-searching.com]
Request: POST /borders.php
Response: 200 "OK"

inetnum: 88.214.205.0 - 88.214.205.255
netname: uaonline-valued-dedicated
descr: iPipe Inc. dedicated/valued block
country: GB (uk)

--
同様に塞いだほうが良さそうなトコ

195.88.81.116 [dl.scan-anti-spy-4free.com]
195.88.80.207 [int.reporting32.com]
同上 ecoweb.lv（ラトビア）

78.47.186.162 [hitmidpoint.com]
inetnum: 78.47.186.160 - 78.47.186.167
netname: SIARHEI-SHANDROKHA
descr: Siarhei Shandrokha
country: DE


84.243.252.87 [staritquick.com]
inetnum: 84.243.252.0 - 84.243.252.255
netname: GFX-CUST-WORLDSTREAM
descr: WorldStream ip-block 5
org: ORG-WS14-RIPE
country: NL

89.248.168.46 [toppromooffer.com]
inetnum: 89.248.168.0 - 89.248.168.255
netname: NL-ECATEL
descr: AS29073, Ecatel LTD
country: NL

------------------
Norton評価 : lwl-softwares.com
195.88.80.41 (ecoweb.lv)
見つかった脅威の合計: 9

Norton先生かっこいい！（笑）

でも・・
これはまだまだ氷山の一角かもしれません・・・

見たくないリスト ↓
http://support.us.pandasecurity.com/blog/list.txt

げんなり orz

JS_AGENT.AVR
パターンリリース日: 2009/04/21

いつのまに（笑）

ていうか・・内容がないよu（自主規制 : ザブトン -2)

不正プログラムは、ユーザが悪意のあるWebサイトにアクセスした際に誤ってダウンロードすることによりコンピュータに侵入する場合もあります。

場合もありますって・・セキュベンダーがそんな解析でいいのか？（苦笑）

難読化が図られてて、ユーザが意図しない状況で不正ファイルをダウンロード、pdf/swfの脆弱性を突かれてそのままマルウェアをインストールされているから問題になってるっていうのが判ってないのかなぁ・・

不正プログラムは、Webサイトに組み込まれており、ユーザが上記のWebサイトにアクセスすると実行されます。
ユーザが能動的に zlkonを訪問してるわけじゃないんですが・・・

まぁ・・シグネチャを登録してくれただけで良しとしましょうか
（スクリプトによるダウンロードファイルの解析は別ですからね）

--------
参考までに

最初に報告されたのは 4/3のこの記事
Black Hat SEO and Rogue Antivirus p.5

ScanSafeの解析が 4/14です
Malware Manipulating Google SERPs

--------
JS_AGENT.AOIP
とはどう違うんだろう・・？

報道等で、ご存知かとは思いますが、「豚インフルエンザ」の危険性が流布されつつ有ります。

皆さんもお気をつけ下さい。

あと、デマなどに惑わされないように正確な情報の入手を心がけましょう（自戒含む）

インフルエンザQ＆A -- 国立感染症研究所 感染症情報センター

インフルエンザは、罹患している人の咳、くしゃみ、つばなどの飛沫と共に放出されたウイルスを、鼻腔や気管など気道に吸入することによって感染します。インフルエンザが流行してきたら、特に高齢者や慢性疾患を持っている人や、疲労気味、睡眠不足の人は、罹患したとき重症化する可能性が高くなるので、人混みや繁華街への外出を控えることも効果があります。

空気が乾燥すると、インフルエンザに罹患しやすくなります。乾燥により咽頭粘膜のウイルス粒子に対する、物理的な防御機能が低下します。外出時にはマスクを利用したり、室内では加湿器などを使ったりして適度な湿度（50～60%）を保ちましょう。常日ごろからバランスよく栄養をとることも大切です。外出時のマスクの利用や帰宅時のうがい、手洗いは、かぜの予防と併せておすすめします。また、インフルエンザが飛沫感染であることから、インフルエンザに罹患し、咳嗽などの症状のある方は特に、周囲への感染拡大を防止する意味から、マスクの着用が推奨されます。

グーグルとマイクロソフト、本当の悪者はどっち？--RSA Conference 2009レポート
ここでWinkler氏は、「嫌われ者のMicrosoftと、皆がクールだと言うGoogle」を比較した。Microsoftは、生活のすべてをWindowsにて提供したいと考えている。そうすることで、彼らのソフトウェアが売れるからだ。Microsoftは個人のデータを入手しようとはしておらず、ソフトウェアの販売のみに注力している。

まぁ、公演者の Ira Winkler氏は、もともとNSAのヒトなんでアレですが、RSAには言われたくないとおもうぞ（苦笑）

VerisignがGeoTrustを買収、世界シェアは７割へ -- 2006.05

米上院、ベリサインの「.com」ドメイン管理独占で再び議論 -- 2006-09

ていうか、Googleも充分嫌われてると思うんですが（笑）

怒れる住民、グーグルストリートビュー車両を阻止 英国
【4月4日 AFP】英国・イングランド南部の村で1日、住民らが「泥棒に悪用される」として、米インターネット検索大手グーグル（Google）の「ストリートビュー（Street View）」用の写真を撮影していた自動車を阻止した。メディアが3日伝えた。

インクランド南部バッキンガムシャー（Buckinghamshire）州Broughtonの住民の1人、ポール・ジェイコブス（Paul Jacobs）さんは、英国放送協会（BBC）に対し、家の窓からグーグルの写真撮影車両が見えたので、近隣住民らに知らせたと述べた。

-----------
セキュリティホールmemoさんの記事を見て笑ってしまいました

2009.04.25
ちなみに、rsaconference.com には google-analytics.com なスクリプトが挿入されていますね。



うはは（爆笑）

ちなみに、講演者の ISAGのサイトはというと・・？


＜!-- text below generated by server. PLEASE REMOVE --＞＜!-- Counter/Statistics data collection code --＞＜script language="JavaScript" src="hxxp://us.js2.yimg.com/us.js.yimg.com/lib/smb/js/hosting/cp/js_source/whv2_001.js"＞＜/script>＜script language="javascript"＞geovisit();＜/script＞

あーなるほど、そういう派閥でしたか（笑）

よくありがちな罠ではありますが・・・

hxxp://www。adobeus。com/go/getflashplayer/flashplayer。exe

flashplayer.exe MD5:4e89b23ce00a35ec7f39505e65038850

中身はおもいっきりキーロガーです。

clever keyloggers, i wish i had the foresight to register adobeus.com. i'd be rollin' in stolen accounts by now, taking advantage of nerds' desire to see naked chicks and satellite watches.

UPX -- Trojan-GameThief.Win32.WOW

adobeus.com
Domain Name : adobeus.com
PunnyCode : adobeus.com
Registrant:
Organization : Zhang san
Name : ZhangSan
Address : Fujian province,Xiamen City
City : Xiamen
Province/State : Hubei
Country : cn
Postal Code : 321551

Loud Packet Inc. LOUDPACKET-NET (NET-67-43-144-0-1)
67.43.144.0-67.43.159.255
ちょっと範囲広すぎ？

Kitty Solutions Group VPLS-CUST (NET-67-43-151-0-1)
67.43.151.0 - 67.43.151.255
こんなもんで（笑）

---------
もっとも、この Trojan-GameThief.Win32.WOW は F-secureが１回ポカを演じてしまった経緯があったり・・
Trojan-PSW:W32/Wow.BRY
MMORPG World of Warcraftの一部のファイルであるWow.exeがTrojan-GameThief.Win32.WOW.bryという名で誤検知がございました。
Wow.exeはマルウェアではございません。
弊社製品から誤検知が発生し、多大なご迷惑をおかけしました事深くお詫び申し上げます。


Norton 評価 : adobeus.com
安全：Norton セーフウェブでこのサイトの問題は見つかりませんでした。

そうですか・・・

※Firefoxで、Redirect Removerを使っている方は、申し訳ありませんが *.norton.comを除外（「きれいにしない」）にしてください。

--------
adobeus.com -- McAfee SiteAdvisor
Malwareを配布しています。

撃墜（笑）