UnderForge of Lack

Archive for 7 月 11th, 2009

[EMERGENCY] XREA again and spreading via FC2

Posted in RiskHedge on 7 月 11th, 2009 by gnome

EMERGENCY

汚染源拡大：
例の ActiveX (msvidctl.dll) 攻撃を思いっきり助長している Xreaですが
とうとう、アクセス解析のサイトトップにもインジェクションコードが埋め込まれています。

ここまで事態が拡大しているにも関わらず、何も手を打とうとしないのは何故なのか？
よくわかりません。

hellh.net

ax.xrea.com
Aレコード：
219.101.229.189
219.101.229.188

どういうラウンドロビンになっているのか判りませんが、219.101.229.188のみが感染コードの撒布を行っているようです。

Analysis report for hXXp://219.101.229.188/

hXXp://１856317799:888/jp.js
hXXp://０x6EA52967:888/dir2/show.php
hXXp://０x6EA52967:888/dir2/go.jpg
hXXp://１856317799:888/counter.htm

1856317799(10進表記) 0x6ea52967(16進表記)
110.165.41.103

幸いなことに、現在 110.165.41.103 は無応答状態ですが、今後はわかりません

APNIC-HM Hong Kong

110.165.*.* で検索しても、過去犯歴は見当たりません。

尚、hellh.net は現在はなぜか FC2管轄のリモートホストに向けられています。

sata4.fc2.com

208.71.106.124
59.151.23.102
211.152.51.110

---
同様の改竄が FC2 を中心に広まっている模様。

個人サイトを書くと迷惑になる可能性がありますので、各自でgoogle先生にお尋ねください。

-------------

感染確認：

（恐らく) WIndows Vista, Server2008 のユーザ様には関係ありません。

最近、Webを閲覧している最中に突然
「"MicrosoftCorporation"からの
ActiveX control for steaming videoアドオンを実行しようとしてます」
が開いた記憶のある方は、Windowsフォルダ内の以下のファイルの有無をチェックしてください。

system32\carrsv.dll
system32\diskcheck.exe
system32\flashaegh.dll
system32\mnpse.dll
system32\ntst.dll

もし存在していた場合は、残念ながら

ウィルスに感染し、
バックドアを開かれ、
パスワード情報などが流出した
・・etc・・・

懸念があります。

亜種も飛び交い始めており、今後更に激しくなる可能性を否定できません。

Worm.AutoRun!sd6, Packed.Generic.181, Worm.Win32.AutoRun.lul, Generic.. -- 2009/06/04 0:34:38

not-a-virus:NetTool.Win32.ZXProxy.h -- 2009/07/07 3:09:10

Suspicious.MH690, Worm.Win32.AutoRun.gfq, New Malware.u, Mal/Packer.. -- 2009/07/07 14:33:02

念のために、ゲーム(MMORPGなど)を含む有価情報のパスワード変更を必ず、「感染していないことが確認された環境」から行ってください。
※KeyLoggerが埋め込まれている場合、パスワードの変更を行ったという情報が記録、送信されてしまうため、かえって危険です。

1 Comment »

2009.07.11 SAT

Posted in security on 7 月 11th, 2009 by gnome

暑い・・夏は暑いのがあたりまえなんですが・・

----------

wordpress 2.8.1 now available

WordPress 2.8.1
root / branches / 2.8

WordPress Fixes Multiple vulnerabilities
WordPress 2.8.1 has been released to fixes many bugs and tightens security for plugin administration pages. Some admin pages added by certain plugins could be viewed by unprivileged users, resulting in information being leaked. Not all plugins are vulnerable to information leak but WordPress advise upgrading to 2.8.1 to be safe.

いくつかのプラグインの admin pageが権限のないユーザからも見えてしまい、結果情報がリークしてしまう問題が修正されています。全てのプラグインがこの影響を受けるわけではありませんが、2.8.1へのアップデートを推奨します。

download now!
The latest stable release of WordPress (Version 2.8.1) is available

----------

DDoS to USA and South Korea because Bot

韓国、米国で発生している DDoS 攻撃に関する注意喚起

--
Born on the 4th of July
We've observed a number of malware components that are responsible for the attacks

W32.Dozer

Trojan.Dozer

バックドア待ち受け：
213.33.116.41 through TCP port 53
216.199.83.203 through TCP port 80
213.23.243.210 through TCP port 443

W32.Mydoom.A@mm

W32.Mytob!gen

Latest Updates on Ongoing DDoS on Governmental/Commercial Websites in USA and S. Korea
訳：

米韓へのDoS攻撃はありふれた手口、都合のいい解決策は見当たらず
根本的な問題を解決するためには、DDoS攻撃そのものに対処することよりも、多数のユーザーが簡単にマルウェアに感染させられてしまう状況に対処することだとSANSは指摘。

ただし、エンドユーザーに家庭で使うPCのセキュリティ強化は期待できず(simply lack the skills)、また、期待すべきでもないとしている。セキュリティ強化の責任はユーザーに最も近い立場にあるインターネットサービスプロバイダーにシフトすべきだとSANSは提言し、それができない限りは、今回のような問題が今後も起きるだろうと予想している。

まさに、そのとおりなんですが、根本的な対策を打ちにくいのも実情です。
特にCATVやマンション内配線で、ルータ無しの直結線を行っている人が多すぎます（嘆息）
参考：ボット駆除活動宣言 -- CCC/総務省

--

米国や韓国のサイトを狙う大規模攻撃、原因はボットネット

--

MYDOOM Code Re-Used in DDoS on U.S. and South Korean Sites

感染した場合、（不幸にも）攻撃対象になるサイト一覧：

WORM_MYDOOM.EA
amazon.com やら yahoo.com やら含まれて居ますね

--
ここを見てる人に言っても釈迦に説法なのですが、周辺（親や地域、上司や部下）などで比較的ネットワーク系の知識の薄いであろうと思われる方がインターネット接続している場合、ちょっとだけ注意喚起をしてみるのはいかがでしょうか？

現在、

ルータは非常に安価なものですので、これを入れるだけで攻撃を相当緩和することができます。

セキュリティソフトに関しては、とりあえず無料のものを入れて貰うか、契約しているプロバイダで割引特典のあるセキュリティソフトを導入することを薦めてみてはいかがでしょうか？（後のフォローをISPに押し付けれるのでラク・笑）

----------

ActiveX (msvidctl.dll)攻撃・その後

Zero-Day Vulnerability in Microsoft Msvidctl
インジェクション部は、cNotes様のとこの解析とほぼ同じような流れで、残りのステップを解析しています。

多少、頭痛を伴うステップ：

CVE-2008-0015の脆弱性を悪用し、"Malcrafted"(悪意に基づいて作成された) .GIF ファイルの NumberOfBytesパラメータに従い、0x34h バイトのデータを読み込ませます。
しかし、読みこまれる bufferの実サイズはたった４バイトしかなく、ActiveX関数はその実サイズのチェックを行っていません。こうして読み込まれた残りの部分には 0xffffffff と 0x0c0c0c0c が構造化例外処理(SEH)を誘引させるために記述されています。
こうして、不正規に誘導されたチェイン構造に従い、0x0C0C0C0C 番地のシェルコードが実行させられてしまいます。

あとはトロイの実行ファイル(.exe)を実行され、バックドアをOpenさせられます。
幸いなことに、現時点でのトロイ本体のファイルは

svchost_2_.exe received on 2009.07.06 08:55:36 (UTC) 29/41(70.73%)
と、多数のセキュソフトで検知されていますので、それほど危険というわけでは無いようです。

逆に言えば、30%のセキュソフトが検知できてないわけですが・・・

特に nProtectが検知してないってドウイウコト？・とか思ったり・・

----------

Koobface周り

Koobface.DU returns to Twitter

Koobface Increases Twitter Activity

セキュリティ・トラブルの尽きない Twitterですが、いいかげん短縮URLを禁止にしたほうがヨクナイ？　とか思う今日この頃・・

----------

DDoSでヒドイ目にあっている

MDL様が更新再開の様子。

が、forumはまだおかしいようです・・

DDoS対処、タイヘンそうです

----------

NoScriptのIFRAME処理がおかしい
Firefox 3.5b3の頃からですが、NoScriptで<iframe>を禁止してるのに、表示されてしまうことが稀にありました。

そのうち治るだろうと思ってたのですが、Fx 3.5の正式版になったら更に酷く……ググって見たけどそれらしい情報も見つけられず……

う・・まだ 3.5 for Win 入れてない（苦笑）
というか出向先なので、自分の好みの環境を構築できないんですよね・・・

（こっそり VM上のLinuxには 3.5 入ってるのでちょっと試してみようっと)

----------

ロシアのアドレスからスパムコメントが飛んでくるようになりました（笑）

300/day くらい・・・
全部スパム逝きじゃぁ！

コメントを書いて消されちゃったって人は、ひょっとしたら操作ミスで消されているかもしれませんので、ごめんなさい

EoF