UnderForge of Lack

一件だけだったので忘れてた

2009年5月のセキュリティリリース予定
PowerPoint : リモートでコードが実行される

最近、攻撃のメインが PDF/SWFに移ったので、PPTとかまったく省みられてないのですが、実はコレかなり長期間にわたってゼロデイ放置されてました（笑）

CVE-2009-0556

もっとも、実際に攻撃に使用された報告はまだありません。

TrendMicro のBlog　には載ってないのに、シグネチャでこんなのが登録されていました

TROJ_DROPPER.SPX
これはトロイを仕込まれている Windows7 RC1 ビルドの偽者です。
自己解凍型の実行ファイル(PE)として散布され、内蔵された実行型ファイルは、オリジナルの Windows7 インストーラと同じ SETUP.EXEであり、片方は CODEC.EXEです。TrendMicroは CODEC.EXEを TROJ_AGENT.NICEとして検出します。

もし、ユーザが不注意にもこのファイルを実行してしまったら、内蔵されていたマルウェアが稼動し、結果的に悪意を持ったルーチンが感染したシステム内を侵食することになります。

このウィルスはWindows 98, ME, NT, 2000, XP, および Server 2003 に影響します。


----------
偽のWindows 7 RC版に注意、インストールするとウイルス感染


----------
具体的な感染経路が不明ですね・・・

せめてどういう形状（ISO なのか？）とかの情報を出してほしかった・・

つい先日、データを人質に1000万ドルの要求があったばかりなんですが、

Botnet hijacking reveals 70GB of stolen data

ちょっと話が読みにくいのですが、間違ってたらごめんなさい

有名なBotNetである Torpig が UC(カリフォルニア大学)の学内システムを汚染、１０日間にわたって制圧下におかれていたらしいです。その間に 70GBのデータを盗み、, 8310 アカウントの個人情報や、410のクレジット番号等の金融情報が盗まれた模様。

Torpig Botnet Hijacked and Dissected

なんか・・・こんなニュースしか無いんですかね？

最近ちょっと精神失調気味です。

申し訳ありません。
DIGG 経由だったのでそのまま LINKで張ってしまいましたが、おもいっきり新型のマルウェアスキャッターに変貌しました。（記事を書いたときはもちろん安全でしたが・・・）

hXXp://www。pakzilla。com/

Analysis report for hXXp://www_pakzilla_com/2009/05/06/how-to-protect-your-website-from-gumblarcn-infection/

Redirects:
hXXp://litetopdetect。cn/index.php

＜iframe src="cache/readme.pdf"＞＜/iframe＞

＜iframe src="cache/flash.swf"＞＜/iframe＞

DownloadToFileA.pdfupd.exe.crash.php.hXXp://autobestwestern。cn/load.php?id=8

ひえー
また新手の手段をつかって来たなぁ・・


litetopdetect.cn
bigtruckstopseek.cn
autobestwestern.cn
213.182.197.23
JUNIK Ltd Latvia

こないだ塞いだトコの狭い範囲からは外れてました orz

もう JUNIK は全焼の方向で
213.182.192.0 - 213.182.223.255

JUNIK Ltd. -- RIPE NCC

----------------
追加
liteautotop.cn : 213.182.197.23 (213.163.91.92 or 213.163.91.93から変更)
featherlitecarcare.cn : 正引き不能

というか・・domainベースじゃキリがない
Malicious “Income” IFrames from .CN Domains -- Unmask Parasites. Blog.
* lotultimatebet .cn
* lotmachinesguide .cn
* cheapslotplay .cn
* lotultimatebet .cn
* cutlot .cn
* mediahousenameshopfilm .cn
* betbigwager .cn
* namebuypicture .cn
* thelotbet .cn (added: 04.17.2009)
* hotslotpot .cn (added: 04.17.2009)
* mixante .cn(added: 04.19.2009)
* lotante .cn (added: 04.19.2009)
* superbetfair .cn (added: 04.19.2009)
* litecartop .cn (added: 04.22.2009)
* betworldwager .cn (added: 04.22.2009)
* litecarfinestsite .cn (added: 04.22.2009)
* homenameregistration .cn (added: 04.22.2009)
* litegreatestdirect .cn (added: 04.25.2009)
* playbetwager .cn (added: 04.25.2009)
* nameashop .cn (added: 04.29.2009)
* mainnameshop .cn (added: 04.29.2009)
* superlitecarbest .cn (added: 04.29.2009)
* internetnamestore .cn (added: 04.30.2009)
* dotcomnameshop .cn (added: 05.02.2009)

orz...


感染した後の回復の方法
My Sites Are Hacked – Here’s How I Fixed It

やはり、MalwareByte ですかねぇ・・

できれば回復レポートを出してほしかった

gumblarは元気すぎるだろ～

----------
pdf:
MD5:ceb7aedecae1a14aa45dd9c9acac1200
id2_20090508.pdf 2009.05.07 19:30:46 (CET) 1/40

ちなみに数日前は -- MD5:61461d9c9c1954193e5e0d4148a81a0c
gumblar.pdf 2009.05.02 12:45:07 (CET) 2/40

時間経過でも・・
unknown 2009.05.07 11:45:49 (CET) 14/40
unknown 2009.05.08 00:42:32 (CET) 15/40

まぁ・・あるいみショウガナイのかも・・、散布元がこれだけファイルをコロコロ変えてくるとシグネチャ定義では対応できません。

----------
swf:
MD5:18ddddfa7f50122f9b61afe0e853f8c6
id3_20090508.swf 2009.05.07 19:36:24 (CET) 2/40

過去版 -- MD5:5ae22276f03881082a2956b062ad0d3f
gumblar.swf 2009.05.02 12:45:10 (CET) 2/40

unknown 2009.05.07 11:47:28 (CET) 12/40
gumblar.swf 2009.05.08 00:53:04 (CET) 13/40

----------
exe (UPX):
MD5:71bfadfcf24eeb157b22d3d7aac7f17d
id10_20090508.exe 2009.05.07 19:42:31 (CET) 5/40

過去版 -- MD5:29148682df9c5a693b35b2b4529925b2
gumblar.exe 2009.05.02 12:45:06 (CET) 3/40

unknown 2009.05.05 02:21:29 (CET) 15/40
gumblar.exe 2009.05.08 01:00:50 (CET) 22/40

----------
そろそろ騒ぎになってきました・・・

PC INFECTED BY GUMBLAR VIRUS/TROJAN


Malware varning: Gumblar
よ・・読めない（泣）

緊急
hXXp://www.pakzilla.com/2009/05/06/how-to-protect-your-website-from-gumblarcn-infection/
How to protect your website from gumblar.cn infection
緊急

How to protect your website (PHP) from gumblar.cn infection

----------
Vistaでも感染するの？という質問に関するお答え

こちらが詳しく解析されていましたので参考に：
gumblar.cn
WindowsでNT6以外ということで、VistaやServer2008や7は除外されます
(2000やXPやServer2003が対象です)。

可愛らしいテーマに変わったなぁ・・と思った方、
こちらのミラーのほうがGoogle検索では上ですね（笑）
FFXI(仮)

----------
余談： IE8 はまだブロックしてないようですね！

ウィルス感染サイトに再び遭遇（今度はzlkon）
ただ、この作者はフリーメールを使っているようなので、フィルタリングで届いていない可能性もある（自分の場合は「xxx.xxx」のものなので、届いている可能性は高いと思うのだが）。

ごめんなさい（笑）

----------
（補足）
被害拡大防止の観点から、「gumblar.cn」感染サイトのURLを公開することにした。

完全に復旧したことを確認した後、この補足ごと削除する予定。

この辺は、どっちの視点に立つか？で、立ち振る舞いが変わってくると思うんですよね。

私も最初はサイトのURLを載せる事に抵抗があったのですが・・・・

きちんと対処して、ユーザに告知をしているとこが、こーいうとこにガンガン載せられて、（世間体的に）悪い印象を持たれてしまう。
にもかかわらず、まったく同じ状況を作っているサイトが、無告知で再開して「逃げ得」になってしまっているのが「なんだかな～」という印象をぬぐえないのです。

ましてや、今回は（曲がりなりにも）芸能人のサイトで、Blogコメントへの警報を消したにもかかわらず、まだ放置してるとか・・理解不能な対処をとってるとこがあるので・・・・

----------
特にこのMalwareに関しては、感染してしまった人の個人情報が筒抜けになってしまう可能性が極めて高く、そのことを通知しないのは重大な「告知義務違反」だと思うのですけどね・・・


いずれにせよ、まずは現在も散布を続けている陥落サイトが停止してくれることを祈るのみです。

（通報はしないつもりでしたが、もう一度だけやってみよう・・・）

----------
追記：
その、一番危険だった「スプリンクラー」が停止させられました（笑）