UnderForge of Lack

-------------

:8080 injection (Gumblar/Zeus関連）

陥落サイトがだんだん絞られてきました。

77.37.19.173	2009.06.20
88.191.78.48	2009.06.19
69.59.28.225	2009.06.18
82.109.45.51	2009.06.17
91.121.146.101	2009.06.17
77.37.19.179	2009.06.17
82.109.45.51	2009.06.17
72.47.221.40	2009.06.16
77.37.14.18	2009.06.16

とりあえずこのへんを焼いておけば無難な感じです。

-------------

spam系の話はあまりやらないのがウチの方針だったのですが・・・・

迷惑メールの報告はどこへ？SNS「小野寺涼子」からのメール

ちょ・・！？
小野寺さんですか？（笑）

sapfront.info
すでに有効な A レコード無し

rnixi.com → RNIXI ですよ？
124.42.121.39
Langfang Development Area Huarui Xintong Network T 124.42.96.0 - 124.42.127.255 China Beijing

-------------

明らかに日本人狙いです

nicovedeo.com
61.139.126.14

尚、このレジストラント abc00623@163.com で検索すると
skywebsv.com
61.139.126.91
も引っかかります。

MAINT-CHINANET 61.139.0.0 - 61.139.127.255 CN (CHINANET-SC)
以前報告した際と IP が変動していませんので、そのまま焼き続行で

-------------

Lucky Sploits

mbmail.eu
91.212.65.15

最近おとなしくなってますが、まだ存在します。

-------------

Zeus/Zbot

91.212.65.13
59.125.231.252		999admins.cn
91.121.8.196		scananida.com.pl
122.224.5.189		shock--world.com
174.132.180.98		w-crook.com.ar
217.107.219.153		tsesar.jino.ru

Zbotもなかなか駆逐できません

最近 THE PLANET経由のマルウェアやら偽アンチウィルスが多発していたわけですが

今回の量は半端じゃありません。

/14 焼きとか久しぶりですが、全焼却推奨しておきます

THEPLANET.COM INTERNET SERVICES

174.132.0.0-174.133.255.255 (174.132.0.0/15)

74.52.0.0-74.55.255.255 (74.52.0.0/14)

範囲を絞ろうかな？とかも思ったのですが広範囲に飛び火しているので、THE PLANET自体が防弾ホスト化していると判断せざるを得ませんでした。

なお、ドメインは数百のオーダーで存在しますので、挙げるのは割愛させてください。

最近、オチを突っ込まれることが多くなったようなキガスル（笑）

メールウイルスの「予防接種」

開かなかった人の査定が下がるのですねｗ

ええぇぇぇ～

いったいどうすりゃいいんだい(AA略）
みたいな？（苦笑）

イヤマテヨ
先に手を離したほうが本当の母親と認定した（らしい）大岡越前にちなんで
先に上司に注進した人がボーナス査定UPってのはどうでしょう？

-----------

USBメモリ経由の感染機能を持つマルウエア調査報告書

一般社団法人になった JPCERT/CC に別に含むところがあるわけではありませんが

「USB Autorun を切りましょう」　（２０文字）
で済む話を、５０ページもの PDF にする技術力は素敵だと思います。

MSのアンチ・アンチウィルスソフトウェア作戦が開始されようとしています。

MSの無料ウイルス対策ソフト「Microsoft Security Essentials」、まもなくベータ公開

Microsoftは米国時間6月23日、これまで提供してきた「Live OneCare」スイートを終了し、よりシンプルな無料のコンシューマー向けセキュリティ製品の提供へと移行するのに伴い、新たなマルウェア対策サービス「Microsoft Security Essentials」のパブリックベータ版を公開する予定である。

セキュリティ戦国時代（笑）を制するのは誰か？
いや・・別に制さなくてもいいんですけどね・・・

無償マルウェア対策ソフト: Microsoft Security Essentialns (Morro)

Microsoft Security Essentials は、マルウェア対策のすそ野を広げる事が目的のソフトウェアですので、法人での利用や、既存の信頼のおけるマルウェア対策ソフトウェアからの置き換えには不向きかもしれません。

独禁法違反の回避のためにも必要な言葉なんでしょうね・・たぶん・・
まぁ、ベータテスタの反応が気になるところですね。


ちなみに、Microsoft Security Essentials は、コードネーム Morro と呼ばれていたものの正式製品名です。
Morroの由来は、ブラジルの地名 "Morro de Sao Paulo" から来ており、「岬ちゃん」とか呼ばれているようです（笑）

----------

Websenseの出した 40,000以上の感染例報告 "The Nine-ball" ですが、

Nine-ball a Scratch
Naturally we were a bit surprised that such an allegedly massive attack could bypass our sentries.

ScanSafeも寝耳に水だったらしく、実際のインジェクション例を捉えるのに時間がかかったと言っています。

Total number of requests to sites involved in the attacks: 333
Total compromised websites observed: 62

And from our unique perspective, 333 requests involving 62 compromised websites is certainly not something we would brand a "massive injection".

あはは・・（乾燥笑い）

参考：
rnw.kz

molo.tw

----------

quartz.dll を使った悪意コードの例が出回り始めたようです。

DirectShow Exploit In the Wild

DirectShow Exploit In the Wild, Part II


このexploitsは QuickTimeをインストールしているかどうかに関わらず実行されます。

Windows 2000、Windows XP または Windows Server 2003 のユーザは以下のアドバイザリに従って適切な処置を行ってください。
マイクロソフト セキュリティ アドバイザリ: DirectShow 脆弱性により、リモートでコードが実行される.

また、Firefox + NoScript 環境の方は、IFRAMEもデフォルトでブロックするようにし、必要に応じて許可していくようにしましょう。

----------

iPhone 3.0 が公開されました。

iPhone OS 3.0 ソフトウェア・アップデート

ということで機能面ばかりが喧伝されていますが・・・

iPhone OS 3.0の6月18日リリースに含まれる脆弱性対応

About the security content of iPhone OS 3.0 Software Update

相変わらず大量のセキュア・アップデートの山・・・

脆弱性問題のセキュアアップデートだけは別にしてほしいものですが・・
iPod Touch は有料です

iPod touch - Software Update

----------

email版「ドッキリカメラ」

「標的型攻撃」対策には“予防接種”が効果的、JPCERTが2600人で実証
このファイルにはWebビーコンが仕込まれているとともに、「このメールは統計調査のためのものです。このような怪しいメールの添付ファイルを開いてはいけません」といった“種明かし”が書かれている。

そして、ボーナスの査定に・・・！？
そもそも、ドッキリカメラなんかいまどきの人は誰も知らないよ？

----------
EoF

昨日は体調不良でお休みしました
------------------

Air France Flight 447 Spam Arrives with PowerPoint Exploit

Deceitful Advertisement thru Dating Spam

Australian Taxpayers Targeted by Phishing Attack

Tattletale Spam Reveals Malicious File Instead of Gossip

TrendMicroのblog が４つ連続でspamネタになっています。

--
こっちはもっと危険かもしれません

Fake Microsoft Updates coming back?

Title: Important Windows Xp/Vista Security Update
というメールが送りつけられてきて、リンクから remtool_conf.exe をダウンロードしてPCをスキャンするように促されます。その際に既存のAntiVirusソフトをOFFにするようにと書いてあります。
ダウンロード先：
windowsupdate.microsoft.ssl.com
38.100.66.185

PSINet, Inc.
って・・PSInetですか・・・？
なんか幽霊をみたような気分ですが・・

This IP address originates from a server which is located in Texas and is not a Microsoft server.

この怪しげな remtool_conf.exeは Symantec のEURAの入った正式版・・・のように見えますが、実際には・・・

トロイ本体のダウンロード先：
makemymoneys.com
69.89.31.147
Bluehost Inc. 69.89.16.0 - 69.89.31.255 USA UT. Provo
BlueHostは、少数ながら幾つもの犯歴が報告されていますので、この際炉にクベテしまってもＯＫではないでしょうか？

--
一方、Sophosからは
Fake Microsoft Security Alert - KB910721

Update for Microsoft Outlook / Outlook Express （KB910721）
というタイトルで、
officexp-KB910721-FullFile-ENU.exe
というPEを添付してきたメールの例を報告しています。

中身は、Troj/Spy-CU というトロイです。

いずれにせよ、Microsoftがメールでファイルを添付してきたり、URLに誘導してファイルをダウンロードさせたりすることはありません。

MSのセキュリティ情報をかたる偽メールが再流通

----------------
長くなったので、これで閉じようっと