UnderForge of Lack

さて、その終わったはずの Gumblarが完全に ShutDownさせられたかもしれない？というお話です

Gumblar Companion Finally Shutting Down?

最近誤訳をしたばかりなので（泣）一応原文をチェックしてみてください。
英語得意なわけじゃないんです・・・
斜め訳：
以前のBlogで以下のように報告しました

現時点では一週間以上の間、gumblar.cnとmartuz.cnは閉鎖状態ですが、その他の仲間は増殖し続けていました。悪意を持ったドメインは

liteautotop.cn
bigtruckstopseek.cn
autobestwestern.cn
bestlitediscover.cn
bigpremiumlite.cn
bigtopartists.cn
bigtopcabaret.cn
bigtopsuper.cn
giantnonfat.cn
hugebestbuys.cn
litebest.cn
litetopautoseek.cn
superdietfind.cn
yourlitetopfind.cn

と増え続けています。

つい先日、攻撃者がドメインリストを分割して、２つのIPアドレスでの攻撃に切り替えました

70.85.142.250
86.106.121.200

これら双方はとも、91.212.65.14というnameserverを使用しており、以下に示す複数のNameserverに登録していました。

この戦術は地方(home-grown : 意訳的にはIT先進国ではない～セキュリティ意識に欠ける)の防弾ホスティング問題と類似しています。しかし幸いなことに、現在はネームサーバ自身が閉鎖中のようです。これは朗報です。なぜなら、犯人は商売（攻撃）を続行するために余計なコストがかかるからです。いずれ、コストが高くなりすぎるならば、これらの特定な攻撃は終焉するでしょう。

もっとも、これはもぐらたたき(Whack-a-Mole)をやっているようなものです。ワンセットになったドメインの群れが引っ込んだら、他のセットが顔を出します。５月の前半の２週間で、ScanSafe STATは 919 もの別々の Web上の攻撃を検知しました -- Gumblarとその眷属はちょうどその期間の 3/919 の攻撃に過ぎません。

たった３ですか（苦笑）

70.85.142.250はMDL May 26, 2009で身内向けには通達済みでしたが、86.106.121.200のほうは漏れてました。ごめんなさい。
※MDLにも載ってないので、ScanSafe独自の調査なのかな？


防弾ホスティング(bullet-proof hosting)は、「悪意コンテンツだろうがスパマーだろうが」お構いなしに受け入れるホスティング会社を指します。
詳しくはこのへんを参考にしてください。
スパム・ビジネスに利用される「防弾ホスティング」と「防弾ドメイン」


DNSそのものを塞ぐのはイロイロ影響が出るかもしれませんし、他のDNSにzone fileが渡ってしまうとあまり意味がありませんが・・・

91.212.65.14 ？　んん？
Eurohost LLC Ukraine
塞いじゃって下さい・・・・

他のDNS
213.163.91.91
Serverboost IP space Netherlands
初見

209.44.126.7
Netelligent Hosting Services Inc. Canada Quebec
いつもの Zeusドメイン

213.182.197.23
JUNIK Riga Network Latvia
はいはい・・

202.73.57.20
dyn20-b57-access.superdsl.com.sg
Viewqwest Pte Ltd Singapore
初見
202.73.57.11と202.73.57.6でLuckysploit系の攻撃犯歴有
また、2009/01/21 に Zeus/wsnpoem の報告有
202.73.57.0/24

95.129.144.211
Ventrex LLP UK
LOVE MALWARESでクロ判定しておいた範囲内でした。

ということで、攻撃者の手札は相当狭められているようです。

Google検索すると（ちょっと危なげなとこに）危険DNSのリストがあり、そこにはバッチリ記載されていました。

しかし、DNSまで汚染してるとかアリエン・・・ラトビア、ウクライナ両国の人はそろそろ何とかしないと、国ごとブロックされかねませんよ？（苦笑）

-----------

いろいろなゴミも含めてコレが No.500 のPostでした。

-----------

ウチ的には既に終わった話の（はずの）Gumblarですが、巷では今頃騒ぎが広がっているようです。

厚労・国交省、公式サイトのハッカー攻撃を長期間放置

厚労・国交省、公式サイトのハッカー攻撃を長期間放置

問題はソコじゃないでしょ？

同省岐阜国道事務所の道路状況を伝えるサイトも改ざんされ、閲覧者のパソコンがコンピューターウイルスに感染する状態になっていた。改ざんは同７日から行われていたとみられ、２度にわたって利用者から「ウイルスが検知された」と指摘されていたが、同事務所では２４日までシステムを停止しなかった。その間のサイト閲覧件数は７０００件以上に上っている。

何故この部分をタイトルにしないんですか？

とか思ったりするけど、まぁいいヤ（乾燥した笑い）

正規サイト改ざん：ここまで広がった国内でのサイト汚染、訪問歴確認を
zlkon時代にヤられてたんですね

しかもそのレポートを PDF で配布するとか・・・・・空気の読めなさは素敵すぎます（苦笑）
道路状況ライブカメラ等のウェブサイトの改ざんに関する対応について

なぜ Scan しただけの JPEG貼り付けを PDF にするのか？　誰か理由を教えていただけませんか？（苦笑ｘ３）


ま、どのみち、一日10万アクセスを超える、英国の動画ストリーミングサイトやら、一日5万アクセスのタイのポータルサイトやらが感染してたので、その辺経由で問題が広がるのはこれからなんでしょう
（あるいは無かったことにされるのかもしれない）


---------------
あと、皆 「GENOウィルス」って言葉を連呼しているわけですが、いいんですかね？（苦笑）

まぁ、ScanSafeもG-Dataも Geno って言ってるので、いわいる「デファクトスタンダード」（笑）になってしまってるのかもしれませんね。ひょっとしたら広告効果になってるのかな！？

こういう話があったら 国交省ウィルスとか呼ばれるかもしれませんがネ

[MSA971778] Microsoft DirectShow の脆弱性により、リモートでコードが実行される
この脆弱性で、特別な細工がされた QuickTime メディア ファイルをユーザーが開いた場合、リモートでコードが実行される可能性があります。マイクロソフトは、この悪用コードによる限定的な攻撃が行われていることを確認しています。

またAppleですか？
と思ったら

Microsoft DirectXに新たな脆弱性が見つかる
なお、AppleのQuickTimeに脆弱性があるわけではない。

原文：
The vulnerability is in the QuickTime parser in Microsoft DirectShow. An attacker would try and exploit the vulnerability by crafting a specially formed video file and then posting it on a website or sending it as an attachment in e-mail. While this isn’t a browser vulnerability, because the vulnerability is in DirectShow, a browser-based vector is potentially accessible through any browser using media plug-ins that use DirectShow. Also, we’ve verified that it is possible to direct calls to DirectShow specifically, even if Apple’s QuickTime (which is not vulnerable) is installed.
という微妙な書き方・・・

マイクロソフト セキュリティ アドバイザリ: Microsoft DirectShow 脆弱性によりリモートでコードが実行されます。


何故 DirectShowのバグなのに、QuickTimeを無効化しないといけないか？って点に関しては目をつぶりましょう（笑）
※注：自分はQuickTime入ってないのでわかりませんが、英語版を見る限り "QuickTime pursing"の無効化のようですので、QuickTimeそのものを機能停止させているわけではなさそうです。
自動翻訳を責めてもしょうがないですね（笑）


-----------------------
追記：
New vulnerability in quartz.dll Quicktime parsing

If I have installed Apple’s QuickTime, am I safe?
Our investigation has found that the installation of Apple’s QuickTime does NOT mitigate this DirectShow’s vulnerability.
To be clear, whether you’ve installed Apple’s QuickTime or not, the vulnerability is in the Microsoft’s quartz.dll and it’s possible to craft an attack to call that DLL on the system regardless of whether Apple’s QuickTime is present.

誤訳怖い（笑）ので、原文も載せておきます。

要は、QuickTimeが入っていようが、なかろうが関係なく quartz.dll 経由の攻撃は成功する可能性があるということです。

・・・・マテ
これって、対象になるユーザは全員、対応必須ではないですか？

警報にしておこう

Windows 2000
Windows XP
Windows Server 2003
のユーザは以下のアドバイザリに従って、 QuickTime Parsingの無効化を行ってください。

マイクロソフト セキュリティ アドバイザリ: Microsoft DirectShow 脆弱性によりリモートでコードが実行されます。

-----------------------
CVEで調べるとこんなのが引っかかってきました
CVE-2009-0084
Use after free vulnerability in DirectShow in Microsoft DirectX 8.1 and 9.0 allows remote attackers to execute arbitrary code via an MJPEG file or video stream with a malformed Huffman table, which triggers an exception that frees heap memory that is later accessed, aka "MJPEG Decompression Vulnerability."
MJpeg -- Motion JPEG

マイクロソフト セキュリティ情報 MS09-011 - 緊急 : 2009/04/15
Microsoft DirectShow の脆弱性により、リモートでコードが実行される (961373)

なんか、ほかにもありそうだなぁ・・

-----------------------
でも・・どのみち・・・
DirectXに脆弱性 -- べつになんでもないこと
いいばっちゃんだなぁ（AA略）

参考： 5/26雑記 QuickTime脆弱性
というのが残っていますので、やっぱりQuickTimeもろとも停止してしまうことを（私は）お奨めしておきます。

-----------------------
iTunesはどうすんだよ！？
という怨嗟の声は・・・・シラナイ（苦笑）

私はつかったことないけど、解決策の一つとか
iPodに対応した「Winamp 5.2」リリース -- 2006/02
最新版のこととかはわかりません。

今日はあまり面白くないかも
（しかめっ面してセキュリティのことを考えるのはその筋の人だけでいい！）

----------------
IMのパスワードがネットで検索可能に、トロイの木馬で流出
原文：
Your IM Account Information is Available on the Internet!

IMといわれると、なんかよくわかりませんが、要はMSN Messangerのようなものの事です。
私はずっとIRCから離れられないのですが・・・・

ユーザーが被害に遭わないためには、IMアプリケーションは常に公式サイトからダウンロードし、無関係なサイトが提供している各種アドオンや付加機能付きのIMは避けた方がいいと、Symantecは助言している。
こうしたセキュリティの基本は、どの世界でもいっしょなのです。

---------------
Fake Anti-Spam Filter Leads to Keylogger

Spam Mailがうざったいからといって、妙なSpam Filterを入れたらキーロガーだったという話（苦笑）

最近、Spamが頻発しているブラジルの話っぽいですね

Fix-W32Fbound.c(.)exe

AntspmBR.com(.)br

見かけたら気をつけましょう


---------------
huahahahahaha! ってなつかしいフレーズだなぁ
※Muhahahahaha! というのも有り

インドネシアで見つかった「海賊版を止めましょう」のようなメッセージの出るMalwareの話

Stupid way to end piracy

愚かな方法と断じられています（笑）

そういえば、昔こんなのもありましたね
Vocal Cancel


海賊版の話は、こちらにも上がっていました。
著作権法違反相次ぐ：海賊版ソフト販売/発売前楽曲をニコ動に無断公開

---------------

セキュリティ会社のトップが見せた情報漏えい騒ぎでの対処と防止策

セキュリティ会社が、メール同報送るのに CC に入れちゃだめだよね
終わり

で済む話を延々とやってます（笑）

ヒューマンエラーとセキュリティ不備の境目は非常に難しいですが、メール送信を上長承認にすると仕事の流れが悪い悪い・・・

メールを同報で送るときはデフォルトで CC を出さないようにしたほうが良いような気がします。
※To に全部投げ込む人は論外として・・・

---------------

あぁ・・オチが無かった・・・

仕様です。

あなたの遭遇したバグや不具合の「イケてない回避策」は？

というか、日本のメディアは何か１ヶ月くらいタイムリープしてませんかね？

Genoウイルスの感染メカニズム【前編】

新マルウエア「ＧＥＮＯウイルス」蔓延に注意（

日本でGenoウイルスの感染拡大を確認

先月の中旬あたりから既にわかってることを、何をいまさら・・・
って思ったりもするけど、まぁ良しとしましょう。
（so-netさんの 1/10 でも見習ってください ってのが私的感想）


----------------
さて、例の何に使われているかよくわからない sqlsodbc.chm ですが、 ScanSafe が「感染していない正常な」ファイルサイズと SHA-1 のリストを上げています。
※思いっきりミスしました。ごめんなさい。


Gumblar: Modified Sqlsodbc.chm Clue to Infection

5/16検体は 1323バイトだったなぁ・・とか思ったりして



---------------
アクセスユーザも減ってきたことですし、IRCで相談した内容をちょっと纏めてみますが

Zlkon/Gumblar/Martuz/Geno（長いので以下 Gumblar) の問題は終わったの？

と言われれば、「恐らく終わっていない」というのが私の見解です。


少し考えてみればわかることですが、今回感染が発覚して騒ぎになったのは、犯人グループがFTPであまりにも多くのインジェクションを行いすぎたためです。
しかし、単純に一般ユーザの中で FTP 環境を持っている人と持っていない人の比率を考えてみてください。
恐らく「現在も感染していて、まったく気がついていない」ユーザの数のほうが多いことは容易に予測できます。

そういった、「一般ユーザ」は自分が感染していることも知らず、自分の個人情報を次々と抜かれているかもしれませんし、Botnet経由で次々と感染ファイルをアップデートさせられ、ゾンビ化している可能性も否定できません。そして、それこそが犯人グループの望んだことだと思います。
（Botnetはサイレントに潜伏してこそ意味があります。）


気がついて対処できた人はまだ幸せなのです。

今後、潜伏したゾンビがどんな行動に出るかは全く予測できませんし、それが Botnetの恐怖でもあります。


感染した人が、その可能性に気がつくためには、「感染して汚染ファイルを散布していた」陥落サイトがその旨を告知しなければなりませんが、それを行っているところがどれだけあるか？　ということに関しては私は口を噤みたいと思います。


結論から言えば

インターネットは悪意の塊である側面があります。
上司から、お前の存在自体がセキュリティホールだ！と言われようとも
自己防衛の一助のために、私はこのサイトを続けています。

Mac互換機といえば、昔イロイロあったような気がしますが・・・・

最近物議を醸していた、Macクローン Open Computer(旧Open Mac)の販売元、Psystar が
Macクローン・メーカーのサイスター、破産保護手続きを申請
というわけで、例の訴訟は棚上げにされました。

Psystar Files Bankruptcy, Stalls Apple’s Case -- The Mac Overseer


そもそも、このサイスターという会社は
10年ぶりのMac互換機－謎の新興企業Psystar
こんな具合でして、いったい何だったのかよくわかりません（苦笑）

一応注意を～

模倣かどうかは不明ですが

216.195.60.227
leosex.org
APS telecom USA White Plains

で似たようなインジェクション～PDF/SWFコールが発見されました。
あまり洗練されてない方法なので、gumblar一派（笑）とは別かもしれません。
※それ以前に、ドメイン名からしてソッチ系のような気もしないでもない・・・

216.195.60.0/24 での過去暦は無いため新規かと思われます。
全範囲を焼くのは、飛び火するかどうか様子見してから・・かな？

※出張中の身に、ZIP(しかもパスワード無し）のファイルをMail添付で送ってきてくれた Bさんにぐーで殴るぞ感謝を・・・・

--------------

同様の例と思われるところ

64.86.16.8
freehostwap.com
Velcom CANADA64.86.16.0-64.86.17.255(64.86.16.0/23)
SpamHouseのSpammer List に入っているので遠慮なく


70.85.142.250
litetopseeksite.cn
THEPLANET.COM USA Texas Houston
また君のとこか・・

いや・・表題どおりでいいのかどうかは謎ですが

Which they ate with a runcible spoon


英国の画家で詩人でもあった エドワード・リアの代表作の一つ、The Owl and the Pussycatの一節をもじった内容で、クリックすると例のCanadian Phamacy の腕組んだ先生が現れましたとさ（苦笑）

いやはや・・Spammer もいろいろ大変ですね（笑）
※でもWaledacはシブトイですよ？

「Waledac」ウイルスが急増中、あの手この手でユーザーをだます -- 2009.04.21

PFWやIDE(IPS)が無いユーザが不正ドメインをブロックするためには hosts に延々と書き連ねていく方法しかないわけですが、SANS がブラックリスト化されたhostsファイルを頒布しているところを紹介しています。

Host file black lists


IPベースですらモグラ叩きになってるのに、hosts(完全一致domainベース)でのブロックにどのくらい意味があるかは未知数です。

ていうか、"DO NOT USE AS A BLOCK LIST" とか、このリストを使って発生する障害は SANS は一切負えません、とか書かないとブロックリストは書けないものなんでしょうね（笑）

というわけで、ウチのブロックリストも頭に Don't Read! とか入れようかな

Vista SP2 リリース後、いろいろな声を拾ってみましたが、概ね好意的に受け入れられているようです。
特にSP1の時に頻出したインストール失敗の声があまり聞かれませんね。

Vista SP2 正式版リリース
ハードウェア エコシステムのサポートと機能強化

オペレーティング システムのエクスペリエンスの更新


---------------
こちらは一つ前の RC版のときの eWeekレポートの翻訳版：
Windows Vista SP2――注目すべき改善はわずか

人柱レポーター（笑）の話によると
explorer.exe周りが速くなった
（多階層フォルダのコピーなど）
画面描画が速くなった
（特に画像ソフトの再描画）

という感じっぽいですね


---------------
問題は例のエラーが発生した場合ですが・・
Windows Vista および Windows Server 2008 用のシステム更新準備ツールについて

80073712
8024200D
このへんは手の打ちようがありません（苦笑）
多言語パックを入れていて、このエラーに遭遇した場合、一度全部の言語パッケージを取り除けば治る可能性もあるようですが、よくわかっていません。

800B0101
[Vista SP1 適用失敗] タイムトラベル！時間旅行で 0x800B0101 をぶっちぎれ！
いいのか、こんな対処で！？


--------------