Archive for 6 月 7th, 2009

2009.06.07 Malware said Good-night

Posted in RiskHedge on 6 月 7th, 2009 by gnome

寝るですよ・・z.z.z...

-------------
おかわり(苦笑)

IP: 87.106.103.122

Domain:

DOMAINGoogle BlockGoogle
blocked
count		Google Last Date
findbigmoneygame.cnSAFE0NOT YET
findbigsoftpack.cnSAFE0NOT YET
globalnameshop.cnSAFE0NOT YET
thebestwaytofind.cnBLOCKED122009-06-06

いや・・もうおなかいっぱいです・・・

恐らくこの数倍のドメインがあるものと思われます。
とりあえず、口は変わってないので IP ベースで塞いでおいてください。

-------------
Rogue / FakeAV / Trojan

IP: 92.38.0.41

Domain: 数えられません・・・

ドメイン洪水攻撃になっています。
悪事用にこんなに.comドメイン取れるんだなぁ・・と感心してしまいます。

MB8721NET 92.38.0.40 - 92.38.0.44 Czech Republic
MDLでは単独IPですが、SpamhouseのBlackListにも入っています

--------------
Rogue

IP: 64.213.140.69

Domain: updvms.cn

単一IP / 単一ドメインに、「よくもまぁこんだけ・・」という数の Malwareを詰め込んでいます。
これ全部をセキュベンダーに提出するのは、気が狂いそうになるでしょうね

Global Crossing Canada Toronto
64.213.140.68 - 64.213.140.71の範囲で散らばっています。

--------------
Rogue / Fake AV

IP: 78.129.166.166

Domain: 多数 (30個ほど)

この前の、「えっちなのかあんちういるすなのかはっきりしなさい!」が IPを移動した様子です。

Cayman British Islands Offshore Network 78.129.166.0/24 Cayman Islands
どこだそれは!? ケイマン諸島

78.129.166.5 および 78.129.166.166 で多数の悪事が引っかかります。
こんな素敵な場所で悪事するんじゃない!
ここにサーバがおいてあるわけじゃないでしょうが・・笑

--------------
Rogue / Fake AV

IP: 209.44.126.22, 36, 102, 103, 104

Domain: 多数

Zeus 御用達のカナダの防弾ホスト Netelligent Hosting Services Inc. はもう見飽きましたね?

--------------


Leave A Comment »

[Gumblar] 次のワンセット

Posted in RiskHedge on 6 月 7th, 2009 by gnome


IP:
87.106.103.122

Domain:

DOMAINGoogle BlockGoogle
blocked
count		Google Last Date
autobestwestern.cn:8080BLOCKED82009-05-16
bestfindaloan.cn:8080SAFE0NOT YET
bestlitediscover.cn:8080BLOCKED762009-06-05
bestlitetopfind.cn:8080BLOCKED52009-06-03
bestwebfind.cn:8080BLOCKED7722009-06-06
bigbestfind.cn:8080 SAFE22009-05-31
bigtopcabaret.cn:8080BLOCKED18302009-05-14
bigtopmanagement.cn:8080SAFE32009-06-01
giantbeaversdiet.cn:8080BLOCKED292009-05-25
giantnonfat.cn:8080BLOCKED42009-05-19
findbigbrother.cn:8080BLOCKED492 2009-06-06
finditbig.cn:8080SAFE0NOT YET
findyourbigwhy.cn:8080SAFE11202009-06-06
greatbethere.cn:8080SAFE12009-03-27
homenameworld.cn:8080SAFE32009-05-29
hugebest.cn:8080SAFE17932009-06-06
hugebestbuys.cn:8080BLOCKED10232009-05-15
hugepremium.cn:8080SAFE0NOT YET
hugetopdiscover.cn:8080SAFE14282009-06-06
litepremium.cn:8080SAFE0NOT YET
litetopdiscoversite.cn:8080BLOCKED1457 2009-05-28
litetopfinddirect.cn:8080BLOCKED102009-05-29
litetopseeksite.cn:8080BLOCKED52009-05-25
lotbetsite.cn:8080SAFE0NOT YET
lotwageronline.cn:8080SAFE0NOT YET
namebuyfilmlife.cn:8080BLOCKED30962009-06-06
nanotopdiscover.cn:8080BLOCKED32009-06-02
nonfathighestlocate.cn:8080SAFE12009-06-03
mediahomenameshoppicture.cn:8080BLOCKED14672009-06-06
mediahousenamemartmovie.cn:8080SAFE12009-05-30
mynewnameshop.cn:8080SAFE0NOT YET
technologybigtop.cn:8080BLOCKED7052009-06-06
thefilmmusic.cn:8080BLOCKED11322009-06-06
topfindworld.cn:8080SAFE2702009-06-06
toplitesite.cn:8080BLOCKED6562009-06-06
thebestyoucanfind.cn:8080SAFE10582009-06-06
tvnameshop.cn:8080BLOCKED4562009-06-06
usednamestore.cn:8080SAFE12009-06-03
yourlitetopfind.cn:8080BLOCKED15832009-05-21

ていうかしつこいよ(泣)
ぐぐる先生のブロック基準がよくわかりません・・・(2009.06.07 15:00-JST 時点の調査です)


-------------------
1&1 Internet AG SCHLUND-CUSTOMERS Great Britain(United Kingdom)
87.106.100.0 - 87.106.103.255

あれれ? 1&1 ですか・・??
こういうとこに差し込まれるのが一番困る

MSも泣いているかもしれない
海外での導入事例集:1&1 Internet AG
私も泣いてますよ、ええ・・関係者がモロにここホスティングだし!

とりあえず、他の悪事に引っかからないので単体指定です。
ドイツの1und1ルータ群から飛んでるので、本当に英国なのかどうかは?ですが(たぶん)英国内のデータセンターなのでしょう
ま、ドイツのデータセンター内の「英国向けラック群」かもですけどね

-------------------
もともと、4-job。com というサイトがあり、そのアカウント情報を不正使用されているのかもしれないという意見を貰いました。
4-job。com 自体は現在も運用中。

1und1のシステムに限らず、FTP PASSを知られるとDomainの移管なんかも可能なサイトは多いかもしれません。
つまり、自分が知らない間にサイトが乗っ取られて、どんどん悪事に加担しているかもしれないと・・・

これって、「過去に Gumblar に感染したサイトの末路はこうなるかもしれない?」という恐ろしい示唆なんですが・・・・

-------------------
現時点で過去の攻撃手順との明確な差異は見当たりません。

Adobe Flash Player の最新版へのアップデート
Adobe Acrobat Reader の最新版へのアップデート
 注意:最新版 9.1.1 は、まず 9.1をインストールした後、9.1.1 Updaterを使用します。

また予防措置的にAdobe Acrobat Reader の PDF-JavaScriptの機能停止を行いましょう。
Update on Adobe Reader Issue

できればブラウザの JavaScript も何らかの予防措置が必要ですが、恐れていた「陥落サイト内で全てを実行させられてしまう」環境が整ったことにより、NoScriptだけでの安全性保持が難しくなってきました。
現時点では、まだ有効ではありますが・・・

-------------------
人様の環境にウィルスなんかダウンロードできるわけもなく
出向中の身なので、解析とかできないんですけど、一応・・・
どうもコレらしい?というリンクをもらいました。

MD5:0xB9E6EC4AE89C7CBF5FB7AF30B5751F1A

何だか、従来型の Zlkon/Gumblar (sqlsodbc.chm使用 / drivers32:aux= に登録)とはうって変わっていますね・・
というか、LuckySploits のマルウェア動作に似ているような印象を受けます。

しかし・・・この悲惨な状況はいったい?
load.exe -- 2009.06.07 02:24:26 (UTC) 2/39 (5.13%)

1 Comment »

6月定例パッチ情報

Posted in security on 6 月 7th, 2009 by gnome

マイクロソフト セキュリティ情報の事前通知 - 2009 年 6 月
2009 年 6 月のセキュリティリリース予定
小野寺です。
今月は、計10件 (緊急6 件重要 3 件警告 1 件) の公開を予定しています。

先月が少なかったとおもったら・・・・

そういえば、放置状態だった PowerPoint脆弱性(MS09-017でも修正しきれなかった部分)が含まれているようです。もっとも、問題になっていたのは MacOS だったようですので、MS側のモチベーションの問題だったのかも(笑)

そして、現在問題になっている quartz.dll の問題ですが、当然のことながら今回のパッチには間に合わず、ゼロデイ続行っと。もっとも、FIX IT による回避策が提示されていますので、完全にゼロデイ状態とは言えないかもしれませんが・・・
June 2009 Advance Notification

しかし・・いつも思うんですが、なんで MS のパッチ情報はこうも分かりにくいんでしょうね?

--------------------

あと、「MSのパッチに合わせて定例パッチを出すぞ」宣言をしていた Adobe が早速何かを出してくる様子・・・

Adobe Security Bulletin Advance Notification
Adobe considers this a critical update and recommends users be prepared to apply the update for their product installations.
Details of where to download updates will be posted to Adobe’s Security Bulletins and Advisories support page on June 9.
詳細は9日のお楽しみ(?)
楽しくない!

Leave A Comment »

ホットワード padding margin 恐らく ドメイン Rogue
割引クーポンまとめ情報 - クー割