Archive for 4 月, 2009

« Previous Entries
Next Entries »

Cracked : Atlus.com one day ago, unsure trojan spread'ed possibility

Posted in security on 4 月 28th, 2009 by gnome

ゲームベンダーの Atlusの USサイトがハッキングを受けた模様

公式っぽい見解:
Atlus.com Website Issue
That being said, if you visited Atlus.com (not Atlusonline.com) either today or yesterday, please make sure you have a quality anti-virus and anti-malware software installed, that you update the virus definitions, and scan your computer immediately. If you do detect a virus, please make sure to remove the virus first, then change the passwords to any sites that you may have visited after visiting Atlus.com.

出所不明の「公式見解」のコピー
Atlus Hacked, Oh dears...
Dearest fans of Atlus,
Today (4/24/2009), our web domain (atlus.com) was hacked and compromised. A third-party entity embedded malicious code into the script, and regretfully, for a period of a few hours (from roughly 9:00am PST until 2:30pm PST), this malicious software (which we believe we have identified as a Trojan) may have made its way onto your systems.

The faith and trust of our fans is of the utmost importance to us, a responsibility we don't take lightly. As such, we are deeply troubled by this development, and we are now working to repair and restore the website.

We advise any and all of our fans, whether they visited our website or not in the past day or two, to protect their computers with anti-virus software and to run malware removal software on their systems to ensure that their security is not compromised.

As we work quickly to restore the Atlus website and to investigate the nature of this security breach, we ask for your understanding and patience.

Sincerely,
Atlus


職場で開いている方:注意
Atlus.com hacked, trojan may have spread to visitors' computers
The folks behind our favorite high school lifestyle sim/dungeon crawler series, Persona, are apparently having some internet woes. It seems that yesterday, a "third-party entity" hacked Atlus' website (currently still down) and managed to embed a trojan that, "may have made its way" onto the system. The publisher is guessing that those who may have been affected by the trojan would have visited its website between 9AM PST and 2:30 PST, give or take.

Personaって " high school lifestyle sim/dungeon crawler series"って言うのか・・(知らなかった)
現時点 2009.04.28 AM4-JST では、 atlus.com は 仮想ホストベンダーの parallels の管轄下に入っている様子です。
NetName: GO-DADDY-SOFTWARE-INC Go Daddy

---------
現在のところ、詳しいウィルス感染の状況は不明です(誰もWepawet通してくれてなかった・・)

海外アトラスのサイトが何者かによってハック。訪問者のPCにウィルス感染の可能性


Atlusのfaviconって virustotalに似てるなぁ・・

Leave A Comment »

JVN warned several vulnerability via CGI RESCUE

Posted in security on 4 月 27th, 2009 by gnome

色々な CGIを配布している CGI RESCUE ですが、JVNから警報が出されました。

------
JVN#28020230
CGI RESCUE 製 Webメーラーにおける HTTP ヘッダインジェクションの脆弱性 [2009/04/27 15:00]

対策版: Webメーラー v1.04 セキュリティ修正版

------
JVN#76370393
CGI RESCUE 製フォームメールにおけるメールの不正送信が可能な脆弱性 [2009/04/27 15:00]

対策版: フォームメール、簡易BBS22、簡易BBS(普及版)の脆弱性情報

マルチパート対応フォームメール
【重要】12/Dec/2008 v1.42 任意の宛て先、内容でメール送信可能な脆弱性を修正
設計履歴は form2mail.cgi 冒頭の履歴をご覧ください。脆弱性情報が出た場合は必ず最新バージョンに入れ替えてください。

------
JVN#11396739
CGI RESCUE 製簡易BBS におけるクロスサイトスクリプティングの脆弱性 [2009/04/27 15:00]

対策版: フォームメール、簡易BBS22、簡易BBS(普及版)の脆弱性情報

簡易BBS
【重要】v10.32 13/DEC/08 クロスサイト・スクリプティング脆弱性を修正 , 削除キー保存機能の無効化 , Eメールのエンティティー化

------
JVN#36982346
CGI RESCUE 製簡易BBS22 におけるメールの不正送信が可能な脆弱性 [2009/04/27 15:00]

対策版: フォームメール、簡易BBS22、簡易BBS(普及版)の脆弱性情報

簡易BBS22
【重要】13/DEC/2008 v1.01 任意の宛て先、内容でメール送信可能な脆弱性を修正

---------
心当たりのある方は修正し、未修正のバージョンで運用しているサイトを見つけたら教えてあげてください。

それにしても最近、JVN頑張ってますね

Leave A Comment »

The Hot Zone regarding swine flu, and....

Posted in security on 4 月 27th, 2009 by gnome

感染の拡大が懸念される豚インフルエンザですが、GoogleMapを使って感染の飛び火状況を見れる MyMap がありました。

H1N1 Swine Flu

実に恐ろしい・・・拡大しないことを祈ります。

---------
こういうときに元気いっぱいなのは SEO業者やら Malwareの作者なんですが・・・

Swine Flu SEO



いまのとこまだ Malwareの配布サイトは無いようですが・・・

Click on the "Add to Cart" button at noswineflu.com and you'll be asked to buy a PDF file called "Swine Flu Survival Guide" for $19.95.

You'd be better off spending your money on this.

ま・・こんなの(pdf)に$19.95も払うくらいなら、ハードカバー買ったほうがよさそうです(笑)

---------
日本でも

豚インフルエンザでマスクのダイワボウがストップ高気配

苦笑

Leave A Comment »

Symantec said "Wake up"

Posted in security on 4 月 27th, 2009 by gnome

2行削除


ゴールデンウィーク直前に感染して、放置されるサイトが出ないことを祈りましょう。

--------
symantecWake up India, It’s Time to Vote!

おきろインド!
・・・・
じゃなくて、ラトビアなわけなんですけどね(苦笑)

※94.247.3.151あたりを見てみるとわかりますが、インドのレジストラから Web Server India って名前のレンタルサーバ会社がホストしているようです。

Web Server India, All Rights Reserved. ~ Office Address: G-128/2, 2nd Floor, B-4, Mohammadpur, New Delhi India


--------
以下はセキュリティに自信のある人だけネ

hxxp://www.webserverindia.com/

hxxp://94.247.3.151/

この両者を比較してみてください(苦笑)

wepawetAnalysis report for hxxp://94.247.3.151/
何もひっかからない・・・

けど?

Malicious Domains > Zlkon.lv > hs.3-151.zlkon.lv -(94.247.3.151)
苦笑


--------
Google94.247.2.0 の診断ページ
はい、このサイトでは不正なソフトウェアのホスティングが過去 90 日の間に検知されています。serona。pe。kr/, hitzwallpaper。com/, firat。edu。tr/ を含む 13771 個のドメインを感染させています。

増えてる増えてる・・・

--------
ちなみに、Malware Domain List の Forums に zlkon専用の特設エリアができていました(苦笑)

Googleさんも、Norton先生も全IP
94.247.2.0/23 (94.247.2.0-94.247.3.255)
をブロックしてくださいませんか?(笑)

Leave A Comment »

Windows7™ consists WindowsXP™ Mode™, huh?

Posted in News on 4 月 27th, 2009 by gnome

microsoft_windows_icoComing Soon: Windows XP Mode and Windows Virtual PC
Windows XP Mode is specifically designed to help small businesses move to Windows 7. Windows XP Mode provides you with the flexibility to run many older productivity applications on a Windows 7 based PC.

All you need to do is to install suitable applications directly in Windows XP Mode which is a virtual Windows XP environment running under Windows Virtual PC. The applications will be published to the Windows 7 desktop and then you can run them directly from Windows 7.

Windows XP Mode and Windows Virtual PC are best experienced on your new Windows 7 PC. We will be soon releasing the beta of Windows XP Mode and Windows Virtual PC for Windows 7 Professional and Windows 7 Ultimate.

は?
この時期にこんな追加ですか?

ZDnet_icoMS、「Windows 7」に「Windows XP Mode」を追加へ--旧アプリも利用可能に
ここしばらく、Microsoftはひそかに「Windows XP Mode」を開発してきた。このモードは仮想化を利用して、Windows XP用に設計されたアプリケーションをWindows 7でも簡単に利用できるようにする。この製品に詳しい情報筋によると、このアプリケーション互換モードは、Microsoftが2003年にConnectixから買収した「Virtual PC」技術をベースに開発したものだという。

Paul Thurrott氏とRafael Rivera氏が執筆したSuperSiteの記事によると、XPモードはWindows 7に標準搭載されるのではなく、「Windows 7 Professional」「Windows 7 Enterprise」「Windows 7 Ultimate」の各エディションの購入者に、無償でダウンロード提供される予定だという。同サイトには、Windows XP Modeをインストールして実際に使用している様子のスクリーンショットも掲載されている。


slashdot_icoWindows 7に旧アプリの動作が可能な「XP Mode」搭載
おそらく、今でもVistaで似たようなことをやっている人は多いと思うが、いちいち仮想マシンを作って、XPをインストールして、XPのデスクトップから起動して……という作業を行わなくても良くなる点はありがたい。これまで、こうした環境は、大規模配備を行っているエンタープライズ向けツールの一部として提供されていたが、Windows 7では「Professional」「Enterprise」「Ultimate」の各エディションを使う個人ユーザーでも(おそらく)手軽に利用できるようなる。

はい・・やってますねぇ・・VMwareですけど・・
というか、Vistaユーザ、馬鹿にされてるんじゃないですか?(苦笑)

Windows95のwikipedia仮想86モードの亡霊をみた気がします。

--------
あと、セキュベンダーは泣いてるだろうなぁ・・

ご愁傷様です(笑)

Leave A Comment »

The filter really keep going secure for you?

Posted in security on 4 月 27th, 2009 by gnome

SANSの記事を見てちょっと考え込んでしまいました。

To filter or not to filter?
A reader wrote in today asking about egress filtering. It seemed like a perfect topic considering it is one that seems to spark emotions depending on your role in your organization. I've heard arguments from both sides. Generally the lines are divided with the Network Group who deem it is to hard to do (i.e. lots of acls and/or rules, etc.) and the Security Group who says it needs to be done. Here are some questions to consider with egress filtering:

一般的なフィルタリングは、出口フィルタ(Egress Filtering)によって制御されています。一般的にはネットワーク管理部門(ACLやらルールやら・・煩雑な諸問題群)とセキュリティ部門によって線引きされるべきものなのでしょうが・・・

Q1. 出口フィルタは必要?
A1. 端的に必要です。出口制御無しであなたの会社の情報やネットワークを守ることは出来ません。

Q2. 出口フィルタは「ドコ」に設置されるもの?
A2. 実に難しく、本質的な質問です。一般的に言えば出口フィルタはインターネットとイントラネットの境目(DMZ-中立地帯)に設置されるべきであると考えているでしょう。しかしもし、あなたのコンピュータが営業部にあって、財務データや在庫データのアクセス領域が存在している場合、そのデータは全社的に流れるべきものですか?そうした状況は潜在的なインサイダー(漏洩の)脅威に繋がります。また信頼度を失った機器(compromised box)は内部情報を収集しています。求められるフィルタリングは、その業務や環境に大きく依存するものです。

Q3. どんな機器(devices)がフィルタを行えるのですか?
A3. フィルタリングの概念は年を追うごとに拡大しており、技術的に可能になっています。現時点でも多くの人が「フィルタリングはルータかファイオアウォールが行うもの」という固定観念を抱いていますが、現在では Web ProxyやMail Gatewayのようなシステムがフィルタリングの機能を持っており、フィルタリングを行うための正しいツールなのです。ACLsとFirewallルールは、限定された用法です。例えば、FirewallにどのTrafficがどこへOutbound可能かというルールを設定できますが、もしSPI(透過)型のFirewallであれば、より限定したアプリケーションレイヤーの内容をチェックする能力があります。私は SPI Firewallを HTTPプロトコルのような限られた形で深く精査する必要のあるフィルタへの導入をお奨めします。Web Proxyは、より正確なコントロールが可能になるでしょう。

Q4. フィルタリングによって、デメリットはありませんか?
A4. はい。すべてのデバイス毎に全てのフィルタリングを掛けようとしているのならば、仕事に必要な量のトラフィックを減衰させられてしまう可能性があります。ACLやFirewallルールは余りにも多くて煩雑なものとなっており、あなたがそれらが何を行っているのか、どういう問題点があるのか?といった部分を知ることができなくなっています。ブロックされていると感じるとき(デバイスの種類やACL/ルールに依存しますが)、一部のルールをスルーすることでトラフィックを確保するような局面があるかもしれません。たとえば、全てのルータがあなたの"Egress filtering"を実行しようとしている場合、自分の仕事を余計に増やしてしまっている可能性があります。それらのルータはより高いレベルでのみフィルタリングを行い、他の部分はスルーさせることにより本当の意味での「出口チェック(Egress Enforcer)」になると考えられます。

企業の場合、そのセグメントに応じたフィルタリングが適切に行われているかチェックできる人がいるかどうか?も問題でしょうが・・・

今のセキュリティソフトは、ウィルスチェッカで、ブラウザで、パーソナルファイアウォールでそれぞれフィルタリングしながらoutboundを出しているので、無駄なチェックを何度も通っている?と思う節が無きにしもあらずです・・そのあと、ルータで更にパケットフィルタしますし・・・

※そんだけチェックしても、Maliciousなサイトを防げないってのは今のやり方のどこかに間違いがあるのでしょうか(苦笑)

Leave A Comment »

Oracle Critical Patch - April 2009

Posted in security on 4 月 27th, 2009 by gnome

ちょっと古いですが (April 22)

Oracle Critical Patch Update Advisory - April 2009

Due to the threat posed by a successful attack, Oracle strongly recommends that customers apply fixes as soon as possible.
This Critical Patch Update contains 43 new security fixes across all products.

Microsoft並に何書いてあるか判らないページですね(苦笑)

CVEコードもヤマのようにあるので、こちらを参照してください
Map of Public Vulnerability to Advisory/Alert

CVE-2009-0972 ~ CVE-2009-0997辺りの扱いと違ってる気もしますが、それだけ修正件数が多いということなのでしょう。

Security Advisoriesで特に警報が出ているのは

Oracle Security Alert for CVE-2008-3257
This Security Alert addresses the security issue CVE-2008-3257, a vulnerability in the Apache Connector component (mod_weblogic) of the Oracle Weblogic Server (formerly BEA WebLogic Server). This vulnerability may be remotely exploitable without authentication, i.e. it may be exploited over a network without the need for a username and password. A knowledgeable and malicious remote user can exploit this vulnerability with resulting availability, integrity and confidentiality impact.

Apache Web サーバ用の WebLogic プラグインにおけるセキュリティ脆弱性とパッチの提供

以前の勧告で、httpd.conf に
LimitRequestLine 4000
を入れている方は注意してください。

※そのままでも問題無いという説もあり

Oracle WebLogic Server での Apache Connector によるリモートからのコード実行 -- 2008.08.01
CVE-2008-3257

-------
JVE
JVNTA09-105A
Oracle 製品における複数の脆弱性に対するアップデート

Leave A Comment »

Windows7 RC1 public release will be available at "Children's Day"

Posted in News on 4 月 26th, 2009 by gnome

Windows 7 Release Candidate Update
I’m pleased to share that the RC is on track for April 30th for download by MSDN and TechNet subscribers. Broader, public availability will begin on May 5th.

こどもの日は Windows7インストールで潰れそうですね(笑)

Beta1を動かしている(いた)方は
ベータ版から RC 版へのさらなる変更点 -- 2009.04.25
RC に向けてのベータ版からの変更点 -- 2009.03.23
あたりで予習しておくのも悪くないかもしれません。

1 Comment »

Rush over fake AV's campaign

Posted in security on 4 月 26th, 2009 by gnome

ちょっと多いんでゲンナリしていますが・・・
Panda Securityの発表したWordPressを使ったBlack Hat SEO攻撃がかなり激しいものになっているようです。

Black Hat SEO and Rogue Antivirus -- 2009.03.27
Since several months ago, massive attacks (obfuscated javascript inserted - IFRAME to inject backdoors/keyloggers), thousand of hacked websites used to distribute rogue antivirus have been detected by major antivirus vendors, cyber intelligence labs and other security companies.

The exponential growth of rogue antivirus distribution through legitimate websites remain silent as the tactic used by the creators continued to become more sophisticated.

ここで警告を受けた fake Anti-Virus ソフト(Scanware)は、何と Microsoftの名前を騙っています。

「車名で検索したら偽ソフト」――キーワードの“乗っ取り”相次ぐ
スペインのパンダセキュリティは2009年4月14日、Googleなどの検索結果の上位に、「偽ソフト」配布サイトへのリンクが表示されるケースが増えているとして注意を呼びかけた。

同社が最近確認したのは、米フォードや日産自動車に関連した特定のキーワードを“乗っ取る”手口。それらのキーワードで検索すると、偽ソフトの配布サイトへのリンクが上位に表示される。同社によると、100万件を超えるリンクが確認されたという。

キーワードの種類は、「Ford Uk」のように短いものから、「1989 Nissan Pickup Truck Engine Check Light Troubleshooting」といった長いものまでさまざま。車名や部品名だけではなく、「Where Is The Horn Relay On A 2002 Nissan Sentra」といった文章もある。今回同社が公開したのは121件だが、乗っ取られているキーワードはそれ以上ある模様だ。

同社が公開する例では、検索結果に表示されたリンクをクリックすると、偽の動画サイトに誘導。動画再生プレーヤーのような画面をクリックすると、動画を再生するためのプログラムに見せかけて、偽ソフトをダウンロードおよびインストールさせようとする。

具体的な攻撃手法の動画 by Panda Security
Targeted Blackhat SEO Attack against Ford Motor Co.

検索キーワード "93 Ford Aerostar Tension Belt"

検索結果に、"How to loosen Tension Belt 93 Ford Aerostar" と出ます

ページに飛ぶと、何やら動画のようなものが出て、そこをクリックすると何かをインストールするように表示が出ます。

中身はお察しのとおりですが(苦笑)

--------
別のとこに仕掛けられていた、怪しげなインストーラ

setup.exe MD5:2a9889219ec9d0124892e5e64eaed2bd

Analysis Report for MD5:2a9889219ec9d0124892e5e64eaed2bd

後はもう、偽のセキュリティソフト
MS AntiSpyware 2009 が起動(しているような)画面になり、正規購入を迫ります


--------
Block Info
Black Hat SEO and Rogue Antivirus p.9
Massive black hat campaign still growing: Easter related websites, Ned.org, Ford and more

ドメイン (現時点では正引き不能なものが多い)
antivir-scan-pro-best.com
ns2.antivir-scan-pro-best.com
ns1.antivir-scan-pro-best.com
checker-pc-pro-av.com
sheck-pro-as.com

64.69.32.220
CoreExpress CoEX
メンドウなヒトは全部どうぞ(笑)
64.69.32.0/20 (64.69.32.0 - 64.69.47.255)

--
Fake AVへの誘導を行っていたサイト群

load-archive-av-pro.com
files.load-archive-av-pro.com
ns2.load-archive-av-pro.com
ns1.load-archive-av-pro.com
download-pro-as.net
load-antivir-pro-pc.com
files.load-antivir-pro-pc.com
download-pro-as.net

ecoweb.lv
195.88.80.127
netname: ECOWEB
descr: SIA TERON
country: LV
またラトビアなの!? orz

195.88.80.0/23 (195.88.80.0 - 195.88.81.255)

--
Ford Morters を装ったサイトに使用されていたアドレス

globextubes.com
fasttube2009.com
globalstube2009.com
globextubes.com
streamingtubes2009.com

64.69.32.203
上の CoreExpressと同じ

--
ペイロード中身の交信先:
nhgfngfdhngf.com - 216.240.148.9

OrgName: ATMLINK, INC.
OrgID: ATMLIN
City: Los Angeles
ATMLINKもMalware Block Listの常連ですね

216.240.128.0/19 (216.240.128.0 - 216.240.159.255)
ばっさりと・・

--
このページのトップから、怪しげな gifへのリンクが貼られていたようです。

hxxp://images2009best。com/perce/
30f07cdd01ead4f0dd74319d888cfdd9386f80b04bf230
740e19c810803919c83e9c9f487472375ee/70e/perce。jpg

perce.gif MD5:e49048a38d0757b92a34dff6fc3b3f74

中身は PE型のDropperですが・・・

Analysis Report for perce.gif

From ANUBIS:1032 to 216.240.157.91:80 - [imagesrepository.com]
Request: POST /resolution.php
Response: 200 "OK"
上述のATMLINK内

From ANUBIS:1033 to 88.214.205.8:80 - [zone-searching.com]
Request: POST /borders.php
Response: 200 "OK"

inetnum: 88.214.205.0 - 88.214.205.255
netname: uaonline-valued-dedicated
descr: iPipe Inc. dedicated/valued block
country: GB (uk)

--
同様に塞いだほうが良さそうなトコ

195.88.81.116 [dl.scan-anti-spy-4free.com]
195.88.80.207 [int.reporting32.com]
同上 ecoweb.lv(ラトビア)

78.47.186.162 [hitmidpoint.com]
inetnum: 78.47.186.160 - 78.47.186.167
netname: SIARHEI-SHANDROKHA
descr: Siarhei Shandrokha
country: DE


84.243.252.87 [staritquick.com]
inetnum: 84.243.252.0 - 84.243.252.255
netname: GFX-CUST-WORLDSTREAM
descr: WorldStream ip-block 5
org: ORG-WS14-RIPE
country: NL

89.248.168.46 [toppromooffer.com]
inetnum: 89.248.168.0 - 89.248.168.255
netname: NL-ECATEL
descr: AS29073, Ecatel LTD
country: NL

------------------
Norton評価 : lwl-softwares.com
195.88.80.41 (ecoweb.lv)
見つかった脅威の合計: 9

Norton先生かっこいい!(笑)

でも・・
これはまだまだ氷山の一角かもしれません・・・

見たくないリスト ↓
http://support.us.pandasecurity.com/blog/list.txt

げんなり orz

Leave A Comment »

JS_AGENT.AVR : TrendMicro stamped their signature about zlkon virus

Posted in security on 4 月 26th, 2009 by gnome

JS_AGENT.AVR
パターンリリース日: 2009/04/21

いつのまに(笑)

ていうか・・内容がないよu(自主規制 : ザブトン -2)

不正プログラムは、ユーザが悪意のあるWebサイトにアクセスした際に誤ってダウンロードすることによりコンピュータに侵入する場合もあります

場合もありますって・・セキュベンダーがそんな解析でいいのか?(苦笑)

難読化が図られてて、ユーザが意図しない状況で不正ファイルをダウンロード、pdf/swfの脆弱性を突かれてそのままマルウェアをインストールされているから問題になってるっていうのが判ってないのかなぁ・・

不正プログラムは、Webサイトに組み込まれており、ユーザが上記のWebサイトにアクセスすると実行されます。
ユーザが能動的に zlkonを訪問してるわけじゃないんですが・・・

まぁ・・シグネチャを登録してくれただけで良しとしましょうか
(スクリプトによるダウンロードファイルの解析は別ですからね)

--------
参考までに

最初に報告されたのは 4/3のこの記事
Black Hat SEO and Rogue Antivirus p.5

ScanSafeの解析が 4/14です
Malware Manipulating Google SERPs

--------
JS_AGENT.AOIP
とはどう違うんだろう・・?

1 Comment »

« Previous Entries
Next Entries »
ホットワード padding margin ベンダー ハッキング 受け
割引クーポンまとめ情報 - クー割