UnderForge of Lack

-----------------------
要するにザルということですね・・？

迷惑メール：経産省と総務省が相次ぎ業者に行政処分～両者の違いは？
国内で運営し国内から広告メールを送信してたものばかりが処分対象になっている点や、処分者すべてが一切の説明もなく、雲隠れして終了という幕切れも気にかかるところだ。

縦割り行政の弊害なのかは分かりませんが、spamがちっとも減らないのはメリットがあるからなんでしょうね。

それにしても、so-netの斬り口は鋭いとこを突いてますね

-----------------------

Google 発表 TOP10 malwares

Top 10 Malware Sites

圧倒的ではないですか・・・？

しかし、２万、３万、４万と、どんどん感染サイトが増えている・・・らしい beladen.net はどこでしょう？

-----------------------

Windows7 10/22 発売（とMicrosoftが発表）

Windows 7、10月22日に発売--Vistaユーザー向けに特別アップグレード価格も設定

重要なのはここかな？

テクノロジ保証プログラムは、すぐにスタートするものではないが、Microsoftは、現在、Windows Vistaを用いているユーザーに対しても、何らかの低価格でアップグレード可能なプログラムを提供する可能性も示唆している。

実際の価格と、Vistaユーザへの割引がどのくらいになるのか？　期待してみましょう。

-----------------------

不正PDFによる攻撃が続いている件に関して

Empty PDF delivers nothing but pain

中身が無いにもかかわらず JavaScriptが入っている PDF は、明確な悪意ファイルとして検知も可能のようですが、有意情報（たとえば、H1N1インフルエンザへの注意喚起など）をダミーにした JavaScript挿入の PDF は、セキュソフト的に検知が難しい（正規のJavaScriptと悪意コードの違いを解析しなければならなくなるため）

そもそも、PDFにJavaScriptが必要な理由がわかりません（苦笑）

素直に Acrobat Readerを最新のもの（9.1.1)にして、JavaScriptをOFFにするのが最も望ましい対策であると思っています。

-----------------------

まさに「トロイの木馬」（苦笑）

NTTコムのVPN経由でウイルス感染

NTTコミュニケーションズのIP-VPNネットワーク経由によるワーム感染、被害が広がる

コメントにもありますが、Port 137-139,445 が、客先向けのネットワーク監視において、双方向にピアスされてるとか、常軌を逸してますね。

ま、他山の石として、今頃必死に調整しているVPNディストリビュータが100社くらいはあると見た（笑）


-----------------------

いつでもカモをねらってる

うはは（笑）

もし私が人事担当者なら、そんな書類を出してきた時点でフラグたてちゃいますね（苦笑）

こんな無意味な警告も珍しい・・

「ＰＤＦ」閲覧ご用心　開くと感染、新型ウイルス拡大中

いったい何の脆弱性で、どうすれば緩和できるのかまったく書いていません。

そもそも「心当たりの無い添付ファイル」を開く時点で、終わってる話であって、PDFだろうがPE(.exeなど)であろうが関係ない話です。

Gumblarが騒がれているのは、意図せずにPDF/SWFを開かせられ、まったく感知しないうちに感染させられるからだと思うのですけどね・・・

--------------
逆説的に言えば PDFが標準として出回り、PDFに対する警戒感が無くなっているということなのかもしれません。

※そもそも拡張子の表示をOFFにしている人は、それが PDFなのかどうかすら分かっていないような気もしないでもありませんが・・・

他参考：
コンピュータウイルス・不正アクセスの届出状況[5月分]について

ぇ～　まだGumblarネタ続けないといけないの？

Swine flu and Troj/JSRedir-R
レバノンの政府サイトが感染したまま放置されている様子・・・

Sophosのようなセキュリティ企業が警報しても反応無いんだから、個人で警報しても難しいのは当然かな・・？


あと、自分のサイトが Google BlackListed されている場合の解除方法が Unmask Parasiteに記載されていました。

Gumblar/Martuz Aftermath

--------------
そういえば、TrendMicroがようやくウィルス本体の識別名を出してきたようです。

インターネット脅威マンスリーレポート - 2009年5月度
5月は引き続き「BKDR_AGENT（エージェント）」の亜種「JS_AGENT」などを埋め込む、Webサイト改ざんが確認されています。改ざんされたサイトの中には、最終的にFTPサーバのアカウントを盗む「TROJ_SEEKWEL（シークウェル）」がダウンロードされるケースが確認されており、盗み取ったアカウントを悪用して別のWebサイトを改ざんしようとする狙いがあるようです。Webを閲覧するユーザは、こうした改ざんされたサイトから不正なサイトに誘導されないようにするためにも、セキュリティ製品の危険なWebサイトへのアクセスをブロックする機能を利用することが有効です。

って・・FlashとAcrobat Readerのアップデート注意喚起が抜けてるような気がしないでもない・・・

TROJ_SEEKWEL
って・・TROJ_SEEKWELだけ、詳細がないじゃないですか！？

図1：「JS_AGENT」などを使用した正規サイト改ざんの概念図
のウィルスが妙にかわいい（笑）

先日書いたArticleですが、ソース元がこちらでした。
nappa さん。ありがとうございます。

Experts: Gumblar attack is alive, worse than Conficker

訳：
「Gumblar」攻撃、いまだに沈静化せず--ScanSafe報告

ScanSafeのシニアセキュリティリサーチャーのMary Landesman氏は5月29日、攻撃者は攻撃したウェブサイトをホスティングするサーバ設定を変更したため、引き続きサーバを操ることが可能で、これらウェブサイトを訪問したユーザーのコンピュータに攻撃コードをダウンロードさせるドメインの追加を続けることも可能であると述べた。「ある時点で、（ウェブサイトへの）これらの攻撃が開始されるだろう」とLandesman氏は述べている。
という部分は、
実際にコード変更されたことが確認されているとは言っていないため、感染ユーザに対する注意喚起というところでしょうか？

実際問題として、感染してしまったユーザは、まったく気がつかないまま永遠に（自分の）機密情報をタレ流している可能性は否定できませんし、Botnet端末化して、犯人のアフィリに協力させられているかも知れません。

いずれにせよ、感染者への早急なケアが急務なのですが、セキュソフトも入れておらず、Microsoft UpdateもAdobe系Updateも行っていない（そもそもUpdateの存在すら知らない）ユーザはどうすることもできないのが実情です。

---------------
原文には Confickerよりもタチが悪いという話が出ていますが、これは私も同意します。

実際のところ、私の周辺で Conficker(DownAdUp)に感染した例は０ですが、Gumblarは３件居ます。

要するに Confickerの脆弱性である MS08-067は、普通の人は Windows/Microsoft Updateで塞いでいることが多いのです。

しかし、Acrobatやら Flashやらは、一般の人は「個々にUpdateしなければならない」ことすら知らないため、ここまで問題が大きくなりました。

Windowsが統合アップデートリポジトリを持たないことが、大きなセキュリティリスクとなっていることは自明の理です。

--------------

しかしアレですね。

同じ日の ScanSafeの Blog が
Gumblar Companion Finally Shutting Down?
こうなっていますので、ずいぶん論調が違うもんだなぁ・・とか思います（苦笑）