UnderForge of Lack

というか、日本のメディアは何か１ヶ月くらいタイムリープしてませんかね？

Genoウイルスの感染メカニズム【前編】

新マルウエア「ＧＥＮＯウイルス」蔓延に注意（

日本でGenoウイルスの感染拡大を確認

先月の中旬あたりから既にわかってることを、何をいまさら・・・
って思ったりもするけど、まぁ良しとしましょう。
（so-netさんの 1/10 でも見習ってください ってのが私的感想）


----------------
さて、例の何に使われているかよくわからない sqlsodbc.chm ですが、 ScanSafe が「感染していない正常な」ファイルサイズと SHA-1 のリストを上げています。
※思いっきりミスしました。ごめんなさい。


Gumblar: Modified Sqlsodbc.chm Clue to Infection

5/16検体は 1323バイトだったなぁ・・とか思ったりして



---------------
アクセスユーザも減ってきたことですし、IRCで相談した内容をちょっと纏めてみますが

Zlkon/Gumblar/Martuz/Geno（長いので以下 Gumblar) の問題は終わったの？

と言われれば、「恐らく終わっていない」というのが私の見解です。


少し考えてみればわかることですが、今回感染が発覚して騒ぎになったのは、犯人グループがFTPであまりにも多くのインジェクションを行いすぎたためです。
しかし、単純に一般ユーザの中で FTP 環境を持っている人と持っていない人の比率を考えてみてください。
恐らく「現在も感染していて、まったく気がついていない」ユーザの数のほうが多いことは容易に予測できます。

そういった、「一般ユーザ」は自分が感染していることも知らず、自分の個人情報を次々と抜かれているかもしれませんし、Botnet経由で次々と感染ファイルをアップデートさせられ、ゾンビ化している可能性も否定できません。そして、それこそが犯人グループの望んだことだと思います。
（Botnetはサイレントに潜伏してこそ意味があります。）


気がついて対処できた人はまだ幸せなのです。

今後、潜伏したゾンビがどんな行動に出るかは全く予測できませんし、それが Botnetの恐怖でもあります。


感染した人が、その可能性に気がつくためには、「感染して汚染ファイルを散布していた」陥落サイトがその旨を告知しなければなりませんが、それを行っているところがどれだけあるか？　ということに関しては私は口を噤みたいと思います。


結論から言えば

インターネットは悪意の塊である側面があります。
上司から、お前の存在自体がセキュリティホールだ！と言われようとも
自己防衛の一助のために、私はこのサイトを続けています。

Mac互換機といえば、昔イロイロあったような気がしますが・・・・

最近物議を醸していた、Macクローン Open Computer(旧Open Mac)の販売元、Psystar が
Macクローン・メーカーのサイスター、破産保護手続きを申請
というわけで、例の訴訟は棚上げにされました。

Psystar Files Bankruptcy, Stalls Apple’s Case -- The Mac Overseer


そもそも、このサイスターという会社は
10年ぶりのMac互換機－謎の新興企業Psystar
こんな具合でして、いったい何だったのかよくわかりません（苦笑）

一応注意を～

模倣かどうかは不明ですが

216.195.60.227
leosex.org
APS telecom USA White Plains

で似たようなインジェクション～PDF/SWFコールが発見されました。
あまり洗練されてない方法なので、gumblar一派（笑）とは別かもしれません。
※それ以前に、ドメイン名からしてソッチ系のような気もしないでもない・・・

216.195.60.0/24 での過去暦は無いため新規かと思われます。
全範囲を焼くのは、飛び火するかどうか様子見してから・・かな？

※出張中の身に、ZIP(しかもパスワード無し）のファイルをMail添付で送ってきてくれた Bさんにぐーで殴るぞ感謝を・・・・

--------------

同様の例と思われるところ

64.86.16.8
freehostwap.com
Velcom CANADA64.86.16.0-64.86.17.255(64.86.16.0/23)
SpamHouseのSpammer List に入っているので遠慮なく


70.85.142.250
litetopseeksite.cn
THEPLANET.COM USA Texas Houston
また君のとこか・・

いや・・表題どおりでいいのかどうかは謎ですが

Which they ate with a runcible spoon


英国の画家で詩人でもあった エドワード・リアの代表作の一つ、The Owl and the Pussycatの一節をもじった内容で、クリックすると例のCanadian Phamacy の腕組んだ先生が現れましたとさ（苦笑）

いやはや・・Spammer もいろいろ大変ですね（笑）
※でもWaledacはシブトイですよ？

「Waledac」ウイルスが急増中、あの手この手でユーザーをだます -- 2009.04.21

PFWやIDE(IPS)が無いユーザが不正ドメインをブロックするためには hosts に延々と書き連ねていく方法しかないわけですが、SANS がブラックリスト化されたhostsファイルを頒布しているところを紹介しています。

Host file black lists


IPベースですらモグラ叩きになってるのに、hosts(完全一致domainベース)でのブロックにどのくらい意味があるかは未知数です。

ていうか、"DO NOT USE AS A BLOCK LIST" とか、このリストを使って発生する障害は SANS は一切負えません、とか書かないとブロックリストは書けないものなんでしょうね（笑）

というわけで、ウチのブロックリストも頭に Don't Read! とか入れようかな

Vista SP2 リリース後、いろいろな声を拾ってみましたが、概ね好意的に受け入れられているようです。
特にSP1の時に頻出したインストール失敗の声があまり聞かれませんね。

Vista SP2 正式版リリース
ハードウェア エコシステムのサポートと機能強化

オペレーティング システムのエクスペリエンスの更新


---------------
こちらは一つ前の RC版のときの eWeekレポートの翻訳版：
Windows Vista SP2――注目すべき改善はわずか

人柱レポーター（笑）の話によると
explorer.exe周りが速くなった
（多階層フォルダのコピーなど）
画面描画が速くなった
（特に画像ソフトの再描画）

という感じっぽいですね


---------------
問題は例のエラーが発生した場合ですが・・
Windows Vista および Windows Server 2008 用のシステム更新準備ツールについて

80073712
8024200D
このへんは手の打ちようがありません（苦笑）
多言語パックを入れていて、このエラーに遭遇した場合、一度全部の言語パッケージを取り除けば治る可能性もあるようですが、よくわかっていません。

800B0101
[Vista SP1 適用失敗] タイムトラベル！時間旅行で 0x800B0101 をぶっちぎれ！
いいのか、こんな対処で！？


--------------