2009.06.11の雑記
-------------------
HijackThisは、Merijn Bellekom氏によって作成された Windowsのシステム情報検出ツールで、ウィルスやマルウェアによって変更されることの多い「危険な領域」のレポートを行うツールです。現在はHijackThis™として、TrendMicro社に売却され、開発権も移管されています。
海外でのウィルス被害のQ&A問答の際に、よく Report Hijack This Logs!と言われますね。
なにやら、HijackThisの変なバージョンが出回っているらしく(版権元の)TrendMicroが注意喚起しています。
Beware of Repackaged HijackThis Downloads
Beware, Trend Micro does NOT sell nor intend to sell HijackThis. Trend Micro supports its communities by providing information and updates to registry keys, validity of system or BHO (browser helper object) files.
Loaris Inc. とかいうとこが、勝手に HijackThisのUIだけ変えたものを再パッケージした製品を売ってるってことなんですかね?
SoftPediaなんかにも 30Euro で登録されてるっぽいですが・・(苦笑)
裁判沙汰になりそうな・・・・
参考:
HijackThisによるログの取得と、不正エントリの修正(fix)方法
-------------------
TrendMicroのBlogをもうひとつ
Stolen FTP Credentials Key to Gumblar Attack
ここで語られてるTrojan本体TSPY_KATES.Gは、Zlkon/Gumblar/Martuzで使用されていた aux=を使用するタイプですが、現在進行中の「模倣」Gumblarは明らかに違います。
MD5:0xB9E6EC4AE89C7CBF5FB7AF30B5751F1A
まぁ、Gumblarが SQLインジェクションではない点は4月ぐらいから明らかなので、SQL Injectionと、Injected Html(JavaScript)がゴッチャにされているのかも
「FTPパスワードが盗まれて、Web改ざんされている」――専門家が警告
ラックの研究開発本部 コンピュータセキュリティ研究所所長の岩井博樹氏によれば、同社では2008年ぐらいから、FTP経由で“一発”で不正侵入されるケースを確認しているという。
試行錯誤した痕跡がないことから、FTPのパスワードを盗まれ、管理者になりすまされて不正侵入された可能性が高いとする。「パスワードを変更しても不正侵入され続けたケースもある。そのケースでは、パスワードを盗むマルウエア(ウイルス)が管理者のパソコンに仕込まれている危険性がある」(岩井氏)。
そりゃ、トロイコードがネットワークの監視をしてる(らしい)んですから、感染状態でのパスワード変更はかえって危険ですよね。
Creating a website is indeed a big task but, considering the present threat landscape, monitoring it and keeping it secure from attacks is a bigger one.
Website administrators have the responsibility to keep their systems malware free, secure web server files from unauthorized access, and keep their website clean of malicious codes, for their own sake and most especially, their visitors’.
これを一般(個人)のウェブ・オーナーにしろとおっしゃる?(苦笑)
個人的な感想ですが、元になった脆弱性の問題と、盗まれたID/Passの水平漏洩の注意喚起のほうが優先だと思いますですよ。
Zlkonの攻撃が開始された(自分が最初に見つけたのは英国のストリーミングサイトでした)起点が、どういう経緯でインジェクションされたのか?は調べる意味があるかもしれません。
鶏と卵がどっち先なのか?という命題解決に似てますけどね
-------------------
Windows Sysinternalsは、Windowsをより低レベルで解析するためのフリーツール群です。
私がよく使っているのは、
ProcessExplorer、FileMon、DiskViewかな? たまに TCPViewも使っています。
たぶん、そんなツールをもっともよく使っているであろう(笑)SANSのスタッフが
SysInternals Survey
コレ 
5 minute - Sysinternals Customer Survey に協力しましょう~と言っています。
でも5分じゃ終わらなかった・・(苦笑)
-------------------
カウントダウンが巻き戻ったりしていたアノOSですが
Fedora 11リリース
というわけで、リリースされました
Fedora 11: Reign
*clap* *clap* *clap*
あとは人柱さんの報告待ちデス
-------------------
Bing、一時 Yahoo を抜き検索シェア 2 位に
へぇ?
そうなのかぁ・・・
※注:ウチは Firefox+NoScript推奨なので、その環境の人はそもそもこの解析ログにひっかかりません(笑)