UnderForge of Lack

----------

ThunderBirdがセキュリティアップデートしました。

Thunderbird 2.0.0.22 で修正済み

緊急は無いですが、任意コード実行の可能性のあるものが含まれますので、現在使用中の方はアップデートしましょう～
Thunderbird Ver2.0.0.22

----------

The Nine Ball

Another Messy Mass Compromise Emerges
いまだに１こも感染サイトを見つけられない The Nine Ball ですが（笑）
TrendMicroも
the Nine Ball domain is only one of hundreds of landing pages users can be redirected to
という微妙な表現を使って注意を促しています。

呼び出し側：
JS_DLOADR.ALP
トロイ本体：
TSPY_SILENTBAN.U

BHO(Browser Helper Object)のフックとか、恐ろしく昔の手口のような気がしないでもないですが・・・

XP/2000/2003サーバの方は（それなりに）気をつけましょう
※普通にアップデートして、普通のセキュソフトが入ってれば引っかからないはず。

----------

噂の岬ちゃん(旧コードネーム Morro)がいよいよ登場

Microsoft Security Essentials Beta

ITmedia は eWeek発の変な記事を載せてます。
Microsoftの「Security Essentials」は企業ユーザーを悩ませるか？
企業ユーザーは次のような質問を投げ掛け始めるかもしれない――「Microsoftはなぜ自社のOSをユーザーが安全に使えるようにするのに、セキュリティスイートを別途リリースする必要があるのだろうか？」
いまどきまだそんなこと言ってるような会社の DMZ の内側は Worm の巣窟なんじゃないですか？（笑）

----------

とある spammer のその後

The end of an era?

W. Bloomfield spam king pleads guilty
International spam king Alan Ralsky pleaded guilty this afternoon in U.S. District Court in Detroit to charges of violating federal anti-spam laws by sending millions of emails in a stock-fraud scheme.

Ralsky’s plea deal says prosecutors probably will recommend 35 to 43 months in prison when he is sentenced on Oct. 29.

----------

load.php系 インジェクション

こっちは静かに進行中の様子。感染サイトも発見しましたので、注意が必要です。

インジェクション nolohing.cn ， laed.ru
インジェクション nolohing.cn ， laed.ru 追記

laed.ru lead.ru 148

219.148.202.25 MAINT-CHINANET
58.251.56.239 China Unicom
200.112.152.42 Broadbandtech S. A.
210.1.248.252 FibreNet-Communications
217.219.20.242 Rayaneh Virayesh
以下２つはcNotesさんに記載されていたもの
220.164.82.72 MAINT-CHINANET
216.101.241.225 Barracuda Networks


nolohing.cn nolohing.cn 15 (NON BLOCKED)

92.38.1.11 Masterforex Ltd

Norton先生の検出：
Bloodhound.Exploit.196

使用されているのはおなじみの PDF getIcon Crushのようですので、普通にアップデートしていれば怖がることはありません。
CVE-2009-0927

--

MDLが復帰してたのでちょっとだけ追跡調査

210.1.248.252 は 2009.05.23 に Zeus/wsnpoemの binファイル撒布の履歴があります。
ドメインは ajal.ru
A レコードが laed.ru と同じなので、根っこは同じ Zeus系なのかもしれません。

他の履歴が無いので、範囲焼却はペンディングです。
robtexで見ると 206.101.241.225も存在しますね。


92.38.1.11 には同様に uplifing.cn というドメインが存在します。

ホスティング：
MFOREX-NET 92.38.0.0 - 92.38.7.255 CZ
ここには 92.38.0.41 という大量マルウェア投下(2009.06.07前後）のサイトも在りますので、防弾ホスト認定でいいかと思われます。


----------

アドビ、スマートフォン対応「Flash Player」ベータ版を10月公開へ

まぁ・・脆弱性さえなければ何でも・・・

でも、コレは無い（苦笑）

---------

EoF

濁った頭を、コーヒーでごまかしています

--------------

Apache 攻撃ツール公開

Apache HTTP DoS tool released -- 2009-06-18
According to the web site where the tool was posted, Apache 1.x and 2.x are affected as well as Squid, so the potential impact of this tool could be quite high considering that it doesn't need to send a lot of traffic to exhaust available connections on a server (meaning, even a user on a slower line could possibly attack a fast server). Good news for Microsoft users is that IIS 6.0 or 7.0 are not affected.

攻撃を受けると、reading requestでプロセスがハングアップ状態になってしまい、攻撃側が中断しても処理待ちで waiting queue を消費し尽くすまで無応答に近い状況になります。
Apacheもそうですが、Squid Proxyを運用している所も影響を受ける可能性があります（攻撃されたら）

X-a: b\r\n
を大量に検知した場合は IDS でブロックするルールを設定したほうがいいのかなぁ・・いろいろ調査してみましたが、コレダ！という対処が無い模様。

Apache HTTP DoS tool mitigation

SANSも、これらの緩和策をとる前に、運用中のサーバの稼動状況や稼動モジュールを熟慮した上で行うようにと警告しています。

TimeOut ディレクティブ

I did some testing with lowering this value down to 5 seconds – this might be too low because some slow clients will not be able to get the web page so don't blindly put this in your configuration files.

斜訳：
デフォルトのTimeOutは300秒-５分です。これはDoSツールが(POST/GET)コネクションヘッダを送ってから、5分間キープできることを意味します。デフォルト値の 256 セッションを食い尽くすのにはきわめて簡単です。私は色々試してみた後、TimeOutを 5 sec に変更してみました。この数値はきわめて小さいものであり、低速の回線から接続しているユーザは、処理が完遂するまえにタイムアウトしてしまうことになりかねません。
とりあえず、この(DoS)ツールで攻撃を仕掛けるApacheサーバに 4sec のタイムアウトを設定し様子を見ましたが、それは正しく緩和できているように見受けられました。ただ、このツールは、より余計なトラフィックを発生させます。私の実験では、5sec タイムアウトによるApache環境下で、2MB/min (= ~45 kb/sec) のトラフィック以上になると危険水域に達するようです。

また、mod_limitipconnを使用して、同時接続数を制限する方法も有効です。

いずれにせよ、DDoSにならない限り、単独IP（もしくはProxy経由）ですので、攻撃を受けてから考えるようにしてもよいかもしれません。

Apacheに新たな脆弱性発見

mod_limitipconnによる接続数制限

-----------

Slowloris and Iranian DDoS attacks

例のイランのWebサーバ攻撃にも使われてるっぽいですね

----------
EoF

夜
あー蒸し暑い・・

-----------

Websense の反撃

Nine-Ball Mass Injection - Details

少なくともWebsense的には、まだ 30,000サイト以上の感染サイトがあるらしい・・・

でも、実際の感染サイトの検索は・・・

少なくとも私は見出せませんでした

セーフ ブラウジング -- rnw.kz の診断ページ 1610
セーフ ブラウジング -- bro.tw の診断ページ 1382
セーフ ブラウジング -- rmi.tw の診断ページ 2582
セーフ ブラウジング -- molo.tw の診断ページ 253
セーフ ブラウジング -- mias.tw の診断ページ 22
セーフ ブラウジング -- ninetoraq.in の診断ページ 31

この辺全部当たったんですけどね・・・

どなたか、感染サイトを見つけた方は（こっそり）教えてください

-----------

Foxit Reader 3.0に脆弱性

まさに試金石

アドビ製品のセキュリティ問題に苦しめられる企業
今回も指摘しておくが、もしAdobe製品を使用することが危険だと考えるのであれば、他の製品を検討してみた方がいいだろう。

こんな記事を撃ったオチをどう付けるんでしょうね（笑）

-----------

持ち込まれたPCの半数以上がウイルス感染--パステムセゾンが公表
パステムセゾンは6月22日、同社が2008年12月よりヨドバシカメラ全店に設けられているPC相談カウンター「PC DOCK」で展開しているサービス「100円ウイルスチェック」において、サービスの開始から半年間で持ち込まれた約2500台のPCのうち、半数以上がウイルスやスパイウェアに感染していたと公表した。


トラッキングクッキー１個でも「感染」とかいうオチじゃないでしょうね？

-----------

脳がうまく廻ってないので、apache DDoS ツールの一件は明日に回します

-----------

空梅雨かと思ってたら大雨になりましたが、水不足への懸念は解消されたのでしょうか？

-----------------

最近、FakeAVとか偽アンチウィルスとか呼ばれているカテゴリーのマルウェアが異常なペースで増大しています。

その中でも、半分脅迫によって課金を迫るものを Scareware と呼んでいるようですね。

Scareware Attacks

Scareware attacks spreading to Twitter, Google and legit media websites

これらによって、怪しげなアンチウィルス（のような）マルウェアを導入させられてしまう人が急増しています。

Windowsでインターネット接続をする以上、何らかの防御策は必須なワケですが、こうした予期しないセキュリティソフトのインストール要求は、殆どがロクデモナイ（rouge)マルウェアになっています。

まず、自分は何のセキュリティソフトをインストールして、どの部分が何から守られているのかきちんと把握することが望ましいのですが・・・

ここを見てるヒトに言っても釈迦に説法ですね

-----------------

まぁ、そんな偽セキュリティソフトですが、普通一般的には「そんなんインストールするわけねぇだろ！？」と思いたいわけですが・・

Anti-Malware-Malware!?!

「USB worm の退治をいますぐ！」とか言われて、やっぱり .exeを実行してしまうひとは後を絶たないようです。

ともあれ、出所不明の PE型をクリックしないクセを付ける何らかの手立てが必要なのかもしれませんね？

IT セキュリティ予防接種調査報告書
またソレを蒸し返すのか！？

-----------------

phpMyAdmin

phpMyAdmin Scans

こないだ話に出た、phpMyAdminの脆弱性ですが、コレを狙った UDP洪水攻撃が発生していると SANSが指摘しています。

ツールがでまわっているという話もありますが、SANSでは確認できていないようで、そんな（悪意）Toolを見かけたら報告してほしいと言っています。

とりあえず、mysql + phpMyAdmin 環境下の方は、バージョンチェック、および インストールスクリプトの削除を行い、Firewall のルールの見直しを行ってみてはいかがでしょうか？

最新版： phpMyAdmin 3.1.3.2

-----------------

MSを騙るspam・・・の話っていつやったんだっけかな？ (２日前でした)

偽のセキュリティ警告メールに注意、MSをかたってウイルスを配付

“Critical Update” Leads to Critical Info Theft


自分ノトコにはまだ来てない（笑）ので、なんともいえませんが、流行しているようですので気をつけましょう

そういえば、アマゾンの５００円券が当たるアンケートってメールは来てたな（苦笑）

-----------------

出会い系にメールアドレス30万人分横流し

定着するのか・・・

ていうか、こんなメールに返信する時点で終わってるような気もしますが、どうなんでしょうね？

-----------------

EoF

----------

Firefox 3.5 RC2

出向先なので、いままで見送ってきたけど、そろそろ入れてみようかな～

Firefox 3.5 リリース候補版（RC2）ダウンロード開始
なお、RCをインストールすると現行のFirefoxが上書きされる。Mozillaは、このRCは早期評価やフィードバックを目的としたバージョンであり、すべてのアドオンが対応しているわけではないとしている。

う・・・（ちょっと考え込んだ）


どうでもいいけど、なぜロボ？（笑）

参考：
Firefox 3.5RC2

----------

アップルのスティーブ・ジョブズ氏が肝臓移植を受けていた
実はなんと約2カ月前に肝臓移植手術を受けていたそうだ。術後の経過は良好だそうで、予定通り今月中に復帰できるそうなのだが、事前には手術という情報は公表されていなかったわけで、驚いた人も多いのではないだろうか？

昨日 Yahoo でチラっと見かけて驚きましたが、そのまま忘れてました（汗）

無理せず養生してから復帰してほしいものです。

----------

中国「発」 spam の急増

Situational Awareness: Spam Crisis and China

Spam Crisis in China
What do we do about this situation? For now, we are only calling for increased awareness. If you have a Blog, mention this.

OK（笑）

中国発 spam の最悪な点は、ドメインとホスティングが洪水状態になって対処が不能な点だとおもいます。
今回の The Planetと 8080インジェクションに使用されている .cn ドメインの数を数えるだけで何日も徹夜することになるでしょう・・

----------

"会社"に潜む情報セキュリティの落とし穴・・・・？
CAPTCHAの効果を考える――正しい理解と実装を心掛けよ

「会社・・？」

「ねとらぼ」と記事が錯綜してるのかもしれない（笑）

----------

Websense の発した Nine-Ball 警報ですが、40,000サイトもの感染サイトが実際には見当たらない件に関して
とうとう Yahoo-UKに Vnunetソースで書かれちゃったし（苦笑）
Nine ball attack was 'overstated'

自分的には、zlkon絶賛感染拡大中の間、マトモなArticleを出し続けてくれた ScanSafe / So-Net への評価が非常に高いわけですが、今回のWebsenseの発表のように、どこで感染しているのかはっきりしない「Mass Injection」のような記事を打ち続けると、「狼が来たぞ～！」になっちゃいそうで逆効果だと思うんですよね・・・
ま、Websenseの反応待ちです。

※だいたい、MS06-014(2006.04.11)とか、CVE-2006-5820 (2006.11.08)とかの原因で、いまどき感染してるような人は何やっても感染すると思いますですよ？

----
ところで Conficker はどうなったんでしょう？（苦笑）

:8080 インジェクション　続き

「現在までに発覚していたスキャッターをまとめてほしい」
とか無茶なことを言われたので調査・・・

とりあえず、自分が認識していた差込先：

69.59.28.225	2009.06.18
72.0.255.141	2009.06.13
72.38.121.90	2009.06.11
72.47.221.40	2009.06.16
77.37.14.18	2009.06.16
77.37.18.36	2009.06.13
77.37.19.173	2009.06.20
77.37.19.179	2009.06.17
78.109.29.116	2009.06.17
78.109.29.114	2009.06.17
80.248.218.241	2009.06.11
82.109.45.51	2009.06.17
82.115.86.94	2009.06.11
87.106.103.122	2009.06.16
87.106.220.76	2009.06.16
88.191.78.48	2009.06.19
88.198.234.147	2009.06.09
89.171.115.10	2009.06.11
90.156.114.78	2009.06.13
91.121.146.101	2009.06.17
207.182.136.106	2009.06.10
207.182.136.107	2009.06.11
207.182.136.108	2009.06.11
212.84.166.131	2009.06.11
212.95.50.167	2009.06.13
213.165.80.179	2009.06.16
216.154.213.166	2009.06.11

で・・この辺は、陥落サイトのレジストラントを流用（窃取したアカウント情報流用と思われる）か、

Raymond Keaton	Keaton＠cybernauttech.com
Michelle Rea	rea＠cybernauttech.com
Scott Bell	ScottKBell＠missiongossip.com

の３人トリオによって取得された .cn ドメインを使用していました。


--------------------------

あと、出前も追加しておきます（もういらない！？）

84.16.247.12

2009.06.20

.cn のレジストラント・・・・・

Bobby Rice	bobbyrice794＠hotmail.com
Boyd Mason	boydmason621＠gmail.com
Burns Wright	burnswright564＠yahoo.com
David Rivera	davidrivera834＠yahoo.com
Daniel Thomas	danielthomas134＠yahoo.com
Frank Andrews	frankandrews467＠gmail.com
Gregory Russell	gregoryrussell326＠hotmail.com
Hudson Collins	hudsoncollins672＠gmail.com
Matthew Stone	matthewstone947＠yahoo.com
Phillip Wilson	phillipwilson689＠gmail.com
Raymond Best	raymond＠cybernauttech.com
Rose Campbell	rosecampbell952＠yahoo.com

なんかもう、追っかけるのタイヘンなんですよコレ・・（嘆息）

しかも、ページがどんどん赤くなっていく（苦笑）

-------------

:8080 injection (Gumblar/Zeus関連）

陥落サイトがだんだん絞られてきました。

77.37.19.173	2009.06.20
88.191.78.48	2009.06.19
69.59.28.225	2009.06.18
82.109.45.51	2009.06.17
91.121.146.101	2009.06.17
77.37.19.179	2009.06.17
82.109.45.51	2009.06.17
72.47.221.40	2009.06.16
77.37.14.18	2009.06.16

とりあえずこのへんを焼いておけば無難な感じです。

-------------

spam系の話はあまりやらないのがウチの方針だったのですが・・・・

迷惑メールの報告はどこへ？SNS「小野寺涼子」からのメール

ちょ・・！？
小野寺さんですか？（笑）

sapfront.info
すでに有効な A レコード無し

rnixi.com → RNIXI ですよ？
124.42.121.39
Langfang Development Area Huarui Xintong Network T 124.42.96.0 - 124.42.127.255 China Beijing

-------------

明らかに日本人狙いです

nicovedeo.com
61.139.126.14

尚、このレジストラント abc00623@163.com で検索すると
skywebsv.com
61.139.126.91
も引っかかります。

MAINT-CHINANET 61.139.0.0 - 61.139.127.255 CN (CHINANET-SC)
以前報告した際と IP が変動していませんので、そのまま焼き続行で

-------------

Lucky Sploits

mbmail.eu
91.212.65.15

最近おとなしくなってますが、まだ存在します。

-------------

Zeus/Zbot

91.212.65.13
59.125.231.252		999admins.cn
91.121.8.196		scananida.com.pl
122.224.5.189		shock--world.com
174.132.180.98		w-crook.com.ar
217.107.219.153		tsesar.jino.ru

Zbotもなかなか駆逐できません

最近 THE PLANET経由のマルウェアやら偽アンチウィルスが多発していたわけですが

今回の量は半端じゃありません。

/14 焼きとか久しぶりですが、全焼却推奨しておきます

THEPLANET.COM INTERNET SERVICES

174.132.0.0-174.133.255.255 (174.132.0.0/15)

74.52.0.0-74.55.255.255 (74.52.0.0/14)

範囲を絞ろうかな？とかも思ったのですが広範囲に飛び火しているので、THE PLANET自体が防弾ホスト化していると判断せざるを得ませんでした。

なお、ドメインは数百のオーダーで存在しますので、挙げるのは割愛させてください。

最近、オチを突っ込まれることが多くなったようなキガスル（笑）

メールウイルスの「予防接種」

開かなかった人の査定が下がるのですねｗ

ええぇぇぇ～

いったいどうすりゃいいんだい(AA略）
みたいな？（苦笑）

イヤマテヨ
先に手を離したほうが本当の母親と認定した（らしい）大岡越前にちなんで
先に上司に注進した人がボーナス査定UPってのはどうでしょう？

-----------

USBメモリ経由の感染機能を持つマルウエア調査報告書

一般社団法人になった JPCERT/CC に別に含むところがあるわけではありませんが

「USB Autorun を切りましょう」　（２０文字）
で済む話を、５０ページもの PDF にする技術力は素敵だと思います。