Archive for 7 月 21st, 2009

人事ですかそうですか(Part2)

Posted in security on 7 月 21st, 2009 by gnome

----------

ログインページにおける不正表示について
hXXp://www.value-domain.com/info.php?action=press&no=20090721-1

7月6日、ログインページにて、ウィルスダウンロードを誘導するページへのリ
ンクが設置されていました。ウィルスについては下記が参考になります。

Microsoft Video ActiveX コントロール の脆弱性(MS09-032)について
 http://www.ipa.go.jp/security/ciadr/vul/20090707-ms-activex.html


あのですね・・
このどこがウィルス情報なワケですか?

と、前回も怒った記憶があるので、今回はどんなインシデント(笑)なのか、まとめて見ましょう


----------
今回は「デジロウィルス」の名前を使っておきましょう(笑)

感染の疑いのある人へのフローチャート:

1). Windows Web Components CVE-2009-1136

影響を受けるシステム

Windows Vista /SP1/2(※1)
Winodws XP /SP1/2/3
Windows 2000 SP4(※2)
以下の製品をインストールした覚えのある方、もしくはプレインストールされていた方
Office XP
Office 2003
BizTalk
ISA Server
Office Accounting and Business Contact Manager
あるいは、 Office2007 で互換性モードのためにオプションで OWC(Office Web Components)をインストールした方

で、Microsoft Office Web コンポーネント コントロールの脆弱性により、リモートでコードが実行されるの適用を行う前に悪意サイトにアクセスした方

※1 いつもなら Vistaには Un-Affected! とか書いてきますが、どこにもその記述が無いため、完全に影響がないとは言い切れません。
※2 Windows2000は SP4以外のサポートが終了しています。
※3 Server2003/2008 は ActiveX Control がロードされないため、関係ありません。

参照:More information about the Office Web Components ActiveX vulnerability

2). Microsoft Video ActiveX 脆弱性 CVE-2008-0015
(MPEG2TuneRequest 脆弱性)

影響を受けるシステム
Winodws XP /SP1/2/3
Windows XP Professional Edition x64
Windows Server 2003 SP2/x64 SP2/SP2 forItanium
※4

以上のシステムで、
[972890]Microsoft Video ActiveX コントロールの脆弱性により、リモートでコードが実行されるのFix it 適応を行わずに悪意サイトへの訪問を行った方(※5)

Vistaが除外される理由
ごめんなさい、Vistaでダケは直してました(てへっ)
Questions about Timing and Microsoft Security Advisory 972890

※4 Windows 2000 SP4 にはそもそも存在しないコンポネンツです。
※5 7/15のパッチで
[MS09-032]ActiveX の Kill Bit の累積的なセキュリティ更新プログラムとして修正済みです。

3). Adobe AcrobatReader/Flash Player 脆弱性
CVE番号は割愛(多すぎ)

影響を受けるシステム
Windows 2000 SP4
Winodws XP /SP1/2/3
Windows XP Professional Edition x64
Windows Server 2003 SP2/x64 SP2/SP2 forItanium
※5

Adobe Acrobat Reader の累積的な脆弱性バージョンを放置している方 (最新版:9.1.2)
Adobe Flash Player の累積的な脆弱性バージョンを放置している方 (最新版:10.0.22.87)

※5 Vista上での感染を聞いたことがない~恐らくDEPの回避ができないものと思われます。

----------

以上に心当たりのある方は、システムフォルダ内の以下の場所を確認してください

Windows 2000 SP4:
 C:\Winnt\System32

Windows XP, Vista:
 C:\Windows\System32


チェックするファイル:
carrsv.dll
diskcheck.exe
flashaegh.dll
mnpse.dll
ntst.dll

これらのファイルが存在した場合、速やかにウィルスチェックを行ってください。デジロウィルスに感染した可能性が極めて高いと思われます。

----------

デジロウィルスに感染した場合、特にネットワークゲームのID/Password情報が窃取された可能性があり、それに留まらずさまざまな ID/Passwordが窃取された可能性があります。

亜種の一例
Win-Trojan/OnlineGameHack.14433.B

多数の亜種があるらしいので、一概に対応策を提示できません。

亜種の中には IRC経由でのBotnetコマンド待ちうけを行っているものもあり、更に悪質なマルウェアを埋め込まれた可能性も否定できません。

また、自分の PC が Botnet 化(ゾンビPC化)した場合、あなたの意図に反して犯罪に使用されている可能性もあり、最悪のケースとしては見覚えのない犯罪に加担したことで訴追される可能性もあります。

----------

対処:
基本的には、バックアップを取り、リカバリポイントまで差し戻し、もしくはクリーンインストール

HijackThisに詳しく、ComboFix/MalwareBiteの動作を正確に理解できる方は、そのインストラクションに従って除去することが可能かもしれません

一部のセキュリティソフトは、検出しても完全に除去できない可能性があるものが存在します。

インシデントが懸念される際の対策の基本理念は
 常に最悪のケースを想定し、対処すること
だと思っています。

----------

For English Visitors:

Well, there's terribly injection that Japanese IT integrator compromised regarding Microsoft Office Web Components(OCW) exploits. The compromised site scattered malicious code almost 2 weeks without any attention. It seems NOOOOOB but they're IT company. Although they removed malicious code unless any attention for visitors that possibly infected via virus and victims have been theft their credentials as their risks. Do you think they're trusty?

----------

あー疲れた
EoF

Leave A Comment »

「遅い」

Posted in security on 7 月 21st, 2009 by gnome


解析サーバーの不具合について(2009/07/21)
分散しておりますデータ解析用のサーバーの2番目のサーバーにおいて、7月7日
頃から改ざんされ、不正なページ(10日頃までウィルスが自動ダウンロードさ
れていた)へリンクするスクリプトが設置されておりました。
21日までにサーバーを交換し最新版のソフトウェア、設定に切り替え、運用を
再開しています。

実際の攻撃サイトが閉鎖されたのが早かったため実害は少ないとは思うものの、「サーバー運営業者」としてコレはどうなんでしょうね?

自分的にはもう防弾ホスト認定寸前なわけですが(笑)

Leave A Comment »

2009.07.21 連休の後・・・

Posted in security on 7 月 21st, 2009 by gnome

2009.07.21 the day after


Belgium (.be) 独立記念日

昨日の渋滞に巻き込まれた方、本当にお疲れ様でした。

----------

昨日の Firefox 3.5.1 脆弱性への反撃

milw0rm 9158 “stack overflow” crash not exploitable (CVE-2009-2479)
In the last few days, there have been several reports (including one via SANS) of a bug in Firefox related to handling of certain very long Unicode strings. While these strings can result in crashes of some versions of Firefox, the reports by press and various security agencies have incorrectly indicated that this is an exploitable bug. Our analysis indicates that it is not, and we have seen no example of exploitability.

ここ数日、Firefoxに関してのバグ報告が飛び交っており、それは「非常に長いUnicode文字列の取り扱い」に関連したレポート(SANSを含む)だと思われます。これらに示された、特定の文字列によってFirefoxのいくつかのバージョンにクラッシュが引き起こされますが、それらのレポートにあるような不正利用可能(exploitable)なバグであるという幾つかのプレスやセキュリティサ機関での検証は誤ったもの(incorrectly)です。我々の分析ではそれが発生しないことを示しており、不正利用可能な例を一切確認していません。

On Windows, Firefox 3.0.x and Firefox 3.5.x are terminated due to an uncaught exception during an attempt to allocate a very large string buffer; this termination is safe and immediate, and does not permit the execution of attacker code.

Windows上において、Firefox3.0.xと 3.5.xは非常に長い文字列バッファを実行しようとした際に、実行不能な例外処理として停止します。この停止は安全、かつ即座に行われるもので、攻撃者コードの実行を許す性質のものではありません。

Mac/Linuxに関しては、今のところ Drive by Download 攻撃の例が少ないのでアレですが、いずれにせよ今回の一件は Milw0rmに「釣られた」のかもしれませんね(苦笑)

まぁ、確かにクラッシュ=リモートコード実行可能では無いのは事実です。
※正確にはクラッシュではなく、"terminated due to an uncaught exception" と言っていますので性質が違います。

----------

WordPress 2.8.2

WordPress 2.8.2
WordPress 2.8.2 fixes an XSS vulnerability. Comment author URLs were not fully sanitized when displayed in the admin. This could be exploited to redirect you away from the admin to another site.

WordPress 2.8.2 は XSS脆弱性を修正しました。
コメント投稿者のURLがAdmin権限で表示した際に完全に処理(sanitized)されておらず、Adminから別のサイトに対してリダイレクトされてしまう可能性がありました。

もう少し詳しい解説:
Why is WordPress 2.8.2 a Critical Update?

WordPressオーナーがコメントの投稿ページを開こうとした際に、全く予期しないページにリダイレクトされるということは、そこが Drive by Download のウィルスサイトだったり、


こんなサイトだったらどうします?
ということですね。

WordPress 2.8.1 サイトオーナの方は大至急(ASAP)にアップデートしてください。

----------

about Waledac ...

Waledac—an Overview

右に居座ってる腕組んだ先生(Canadian Phermacy)で有名な Waledacなのですが、とにかくソーシャルエンジニアリング的な手法を駆使し、ありとあらゆるスパムで感染者を拡大させているようです。

最近はマイケルジャクソン氏の死去に伴う色々な悪さをやってましたね・・・

今はまだ英語・スペイン語あたりが主流ですが、単純な翻訳を通しただけの日本語スパムで時事ネタが飛んでくるようになると引っかかってしまう人が拡大するのは避けられないでしょう。

もう一つの雄、Zbotもこんな感じでがんばってます(苦笑)
Photos From Michael Jackson’s Memorial Mask Malware

※ポルトガル語で飛んできたスパム
Trojan-Downloader.Win32.Banload.bej, Downloader, PWS-Banker, Mal/Generic-A

----------

Symbian should be called "Sexy Spammer"?

Q & A on "Sexy View" SMS worm

応答が面白かったので(英語のわかる方は)読んでみてください(笑)
「Sexy View」SMSワームについてのQ&A


Q: Which phones are affected by this?
A: All Symbian Series 60 3rd edition phones by Nokia, LG and Samsung. So, for example, best-selling phones like Nokia N95 or Nokia E71.
日本にはあまり関係ない話かな?

Symbian 60 series 3rd Gnと思われる機種:
SoftBank X01NK | SoftBank
SoftBank 705NK|SoftBank
SoftBank X02NK|SoftBank
グローバルモデル | SoftBank

FOMA NM850iG サポート情報
FOMA NM705i サポート情報
FOMA NM706i サポート情報

----------

ThePlanets

Beware of malicious Rapidshare links sent to you by a friend.
RapidShareやMegaUploadあたりのファイルをホイホイ信用しないのは、ここに来ている方には当然なわけですが(きっとそうですよね!)

Sophosが The Planet(AS21844)を防弾ホスト認定しました(笑)

----------

Inj3cti0ns

インジェクション FireFox3.5 Heap Spray Vulnerabilty 追記1


bvgg6.cnBLOCKEDbvgg6.cn470
59.34.197.151AS4134CHINA-TELECOM
 
3b3.orgBLOCKED3b3.org470
66aaaaaa.comTHROUGH66aaaaaa.com8
8866.orgTHROUGH8866.org5270
h65uj.8866.orgBLOCKEDh65uj.8866.org30
ds355.8866.orgBLOCKEDds355.8866.org4
qvodwf.comTHROUGHqvodwf.comNOT YET
buffer-ad.qvodwf.comTHROUGHbuffer-ad.qvodwf.comNOT YET
59.34.197.154AS4134CHINA-TELECOM

この多段攻撃に使用されている他のドメイン:


hongse88.com (トロイ本体撒布先)

s31.cnzz.com (.php リダイレクション)

js.tongji.linezing.com (js リダイレクション)

中国語なので他はわからず・・・

----------

いつだってねらわれるのはカモから

カモだから狙われるのか、狙われるようなことをやるからカモなのか・・・
永遠の課題かナ?(笑)

----------

EoF

Leave A Comment »

ホットワード padding margin 人事 ログイン 不正
割引クーポンまとめ情報 - クー割